Kyberturvallisuuden määritelmä

Tietoyhteiskunta on riippuvainen tietoverkkojen ja -järjestelmien toiminnasta ja altis niihin kohdistuville häiriöille. Perinteisesti kyberturvallisuuteen liittyvät asiat käsitettiin ICT-asioista vastaavien tahojen toiminnoiksi. Digitaalisuuden muuttaessa toimintaympäristöä oleellisesti näin ei kuitenkaan enää ole. Digitaalinen toimintaympäristö on nykyisin läsnä kaikkialla ja kiinteä osa ihmisten arkea. Kyberturvallisuudesta on tullut kaikkien yhteinen asia.

Turvallisuus

Turvallisuus on sana, jolla on englannin kielessä kaksi vastinetta: safety ja security. Karkeasti ajateltuna safety kuvaa enemmän tunnetilaa (olla turvassa joltakin) ja security käytännön keinoja (turvallisuuden saavuttaminen). Toisaalta erilaisia suojauskeinoja ajateltaessa safety liitetään useammin välineisiin ja security toimijoihin. Lisäksi tavallisessa kielenkäytössä safety yhdistyy enemmän tahattomaan vahinkoon ja security tahalliseen vahingoittamiseen siinä mielessä, että safety suojaa onnettomuuksilta (esim. liikenneturvallisuus), kun taas security suojaa tarkoitukselliselta vahingoittamiselta (esim. tietokonevirukset). Erottelu tulee esiin mm. kyberfyysisten järjestelmien yhteydessä.

Suomen kielessä turvallisuus-sanaan niputetaan laajasti erilaisia asioita. Kaksi vaikeasti erotettavaa ovat kyberturvallisuus (cyber security) ja tietoturvallisuus (information security). Käsitteitä käytetään ristiin, eikä se ole usein kovinkaan johdonmukaista, vaan tilanteesta ja asiayhteydestä riippuen on ymmärrettävä, kummasta on kyse.

Tietoturvallisuuden osa-alueita

Tietoturvallisuus on perinteisesti määritetty olevan kolmen tietoon kohdistuvan keskeisen asian huomioimista: luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability). Nämä yhdessä muodostavat tietoturvallisuuden CIA-mallin.

Tietoturvallisuus (information security)

Tarkoittaa järjestelyjä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus.

Luottamuksellisuus (confidentiality) tarkoittaa, että tieto ei saa olla saatavissa muiden toimesta kuin niiden, joilla on lupa tietoa hyödyntää. Esimerkkejä luottamuksellisuudesta ovat mm. verkkoliikenteen salaaminen, viranomaisasiakirjoille asetettavat turvallisuusluokat ja se ettei kaikilla terveydenhuollossa toimivilla ole oikeuksia katsoa kaikkien asiakkaiden tietoja.

Eheys (integrity) tarkoittaa sitä, että tieto on sitä mitä sen kuuluisikin olla. Keskeisiä eheyteen liittyviä asioita ovat mm. tiedon muuttumattomuuden varmistaminen. Tiedon eheyteen liittyvä asia on esim. varmistua siitä, että suurta verkkolaskua maksaessa vastaanottajan maksutiedot ovat todellakin ne mitkä niiden pitää olla.

Saatavuus (availability) tarkoittaa niitä keinoja, joilla huolehditaan tiedon olevan käytettävissä silloin, kun sitä tarvitaan. Esimerkiksi tietoliikenneyhteyksien toimivuus on merkittävä osa tätä tietoturvallisuuden tavoitetta.

Vastaa kysymyksiin.

Mihin keskeiseen tietoturvallisuuden osa-alueeseen liittyy dokumentin muokkaustietojen (kuka on muokannut ja milloin) tallentaminen järjestelmään?
Mihin keskeiseen tietoturvallisuuden osa-alueeseen liittyy tärkeiden tiedostojen varmuuskopiointi?
Mihin keskeiseen tietoturvallisuuden osa-alueeseen liittyy maksun tietojen varmistaminen ennen laskun tilitystä?
Mihin keskeiseen tietoturvallisuuden osa-alueeseen liittyy junassa tapahtuva kovaääninen puhe koskien firman asiakassopimusten tietoja?

Kyberturvallisuus

Kurssin nimenä ja aiheena on kyberturvallisuus, koska tietoturvallisuus ei enää riitä. Kukaan tietoturva-ammattilainen ei saa enää sivuuttaa oman organisaationsa ulkopuolista turvallisuusmaisemaa. Mikä tahansa tietoturvaloukkaus voi olla osa jotain vakavampaa, joka vaikuttaa kriittiseen infrastruktuuriin tai on jopa suoraan kohdistettu siihen. Kriittisellä infrastuktuurilla tarkoitetaan näitä seitsemää alaa: energia, vesihuolto, terveydenhuolto, kuljetukset, pankkitoiminta, rahoitusmarkkinat, tietoverkko. Muitakin kybervaikutuksen kohteita on, esimerkiksi poliittinen päätöksenteko.

Kyberturvallisuus on siis laajempi käsite kuin tietoturvallisuus, mutta asia ei ole näin yksiselitteinen. Tietoturvallisuus laajenee myös ns. digitaalisen maailman ulkopuolelle ja koskettaa “kaikkea tietoa”, kun taas kyberturvallisuuden “ydin” on digitaalisen maailman toiminnoissa. Tietoturvallisuuden keinot ja kolme keskeistä tavoitetta ovat myös kyberturvallisuudessa tärkeitä. Toisaalta kyberturvallisuus käsittelee myös niitä vaikutuksia, jotka ulottuvat digitaalisen maailman ulkopuolelle fyysiseen maailmaan. Kyberturvallisuus ei siis käsitteenä ole niin konkreettinen kuin tietoturvallisuus, vaan kuvaa abstraktimpaa tavoitetilaa. Usein kyberturvallisuus saatetaan mieltää vain viranomaisten asiaksi. Tämän kurssin jälkeen tiedät, mikä oman tietoturvasi kybervaikutus voi olla ja miksi jotkin kyberturvatoimet voivat vaikuttaa sinun tietoihisi.

Kyberturvallisuus (cyber security)

Tarkoittaa tavoitetilaa, jossa sähköriippuvaiseen ja laajasti verkkottuneeseen digitaaliseen toimintaympäristöön voidaan luottaa.

Kyberturvallisuuden sanasto ja Tepa-termipankki määrittelevät näiden termien eroa seuraavasti:

Tietoturvaa ovat ne järjestelyt, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Kyberturvallisuuteen kuuluvat toimenpiteet, joilla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia.
   Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin.

Digitaalinen turvallisuus

On muitakin tapoja jäsentää keskeiset käsitteet. On esitetty yläkäsitettä digitaalinen turvallisuus, joka koostuisi viidestä osa-alueesta: kyberturvallisuus, riskienhallinta, toiminnan jatkuvuus ja varautuminen, tietoturvallisuus ja tietosuoja. Digitaalinen turvallisuus voi olla hyödyllinen joissain tarkasteluissa, mutta on hyvä huomata, että sen osa-alueista kyberturvallisuus tässä kurssimateriaalissa enimmäkseen sisältää muut neljä (ks. edellä). Tämä tulee esille myös alla olevassa kuvassa, jossa oikeanpuoleinen kolmio esittää digitaalista turvallisuutta ja vasemmanpuoleinen liittää sitä eritasoisiin toimintaympäristöihin. Voit halutessasi lukea termistä lisää täältä (oleellisin alkaa dokumentin sivulta 14).

Digitaalinen turvallisuus

Valitse yksi tai useampi vaihtoehto.

Mistä seuraava on esimerkki? “Julkishallinnon työntekijöille järjestetään tietovuotoa koskeva harjoitus.”
Mistä seuraava on esimerkki? “Kyberturvallisuuskeskus antaa tiedotteen koskien puhelimien kautta leviäviä huijausviestejä.”
Mistä seuraava on esimerkki? “Yrityksen tietohallinto varoittaa kalasteluviesteistä.”
Mistä seuraava on esimerkki? “Sairaala päivittää insuliinipumppujen firmwaren.”
Palautusta lähetetään...