- COMP.SEC.100
- 2. Johdanto
- 2.1 Kyberturvallisuuden määritelmä
Kyberturvallisuuden määritelmä¶
Perinteisesti kyberturvallisuuteen liittyvät asiat käsitettiin ICT-asioista vastaavien tahojen toiminnoiksi. Sittemmin yhteiskunta on muuttunut tietoyhteiskunnaksi ja tullut riippuvaiseksi tietojärjestelmien ja -verkkojen toiminnasta ja alttiiksi niihin kohdistuville häiriöille. Digitaalinen toimintaympäristö on nykyisin kiinteä osa ihmisten arkea ja kyberturvallisuudesta on tullut kaikkien yhteinen asia.
Turvallisuus¶
Turvallisuus on termi, jolla on englannin kielessä kaksi vastinetta: safety ja security. Tavallisessa kielenkäytössä safety yhdistyy enemmän tahattomuuteen ja security tahallisuuteen siten, että safety suojaa onnettomuuksilta (työ-, palo-, liikenneturvallisuus) ja security tarkoitukselliselta vahingoittamiselta (turvahenkilöstö, -tarkastus, turvallisuuspolitiikka, -neuvosto). Lisäksi erilaisia suojauskeinoja ajateltaessa safety liitetään useammin välineisiin ja security toimijoihin. Erottelu tulee esiin mm. kyberfyysisten järjestelmien yhteydessä.
Vaikka oltaisiin (enempi) security-turvallisuuden puolella, on silti kaksi vaikeasti erotettavaa käsitettä kyberturvallisuus ja tietoturvallisuus. Näiden käyttö ei ole aina johdonmukaista, vaan tilanteesta ja asiayhteydestä riippuen on ymmärrettävä, kummasta on kyse. Niillä on paljon yhteistä, mutta kummallakin on paljon omaa “aluettaan”, kuten kohta käy ilmi.
Tietoturvallisuuden osa-alueita¶
Tietoturvallisuuden on perinteisesti määritelty olevan huolehtimista kolmesta tietoon liittyvästä ominaisuudesta: luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability). Nämä yhdessä muodostavat tietoturvallisuuden CIA-mallin.
Tietoturvallisuus (information security)
Tarkoittaa järjestelyjä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus.
Luottamuksellisuus (confidentiality) tarkoittaa, että tieto ei ole saatavissa muille kuin niille, joilla on lupa tietoa hyödyntää. Esimerkkejä luottamuksellisuuden toteuttamisesta ovat verkkoliikenteen salaaminen, viranomaisasiakirjoille asetettavat turvallisuusluokat ja se, ettei kaikilla terveydenhuollossa toimivilla ole oikeuksia katsoa kaikkien asiakkaiden tietoja.
Eheys (integrity) tarkoittaa, että tieto on sitä, mitä sen kuuluisikin olla. Tämä ei tarkoita, että tieto olisi totta tai muulla tavoin “hyvää”, vaan sitä ettei mikään eikä kukaan ole muuttanut sitä tahallaan eikä vahingossa. Kun tieto alunperin syntyy, se ei vielä ole eheää tai epäeheää, mutta heti kun sitä tallennetaan, siirretään ja käsitellään, eheys voi särkyä. Tiedon eheyttä on sekin, että verkkolaskun maksaja tarkistaa vastaanottajan maksutiedot.
Saatavuus (availability) tarkoittaa, että tieto on käytettävissä silloin, kun sitä tarvitaan. Esimerkiksi tietoliikenneyhteyksien toimivuus on merkittävä osa tätä tavoitetta.
Kyberturvallisuus¶
Kurssin nimenä ja aiheena on kyberturvallisuus, koska tietoturvallisuus ei enää riitä. Mikä tahansa tietoturvaloukkaus voi olla osa hyökkäystä, joka vaikuttaa kriittiseen infrastruktuuriin tai on jopa suoraan kohdistettu siihen. Kriittisellä infrastruktuurilla tarkoitetaan perinteisesti näitä seitsemää alaa: energia, vesihuolto, terveydenhuolto, kuljetukset, pankkitoiminta, rahoitusmarkkinat, tietoverkko (vrt. NIS2-direktiivi). Muitakin kybervaikutuksen kohteita on, esimerkiksi poliittinen päätöksenteko.
Kyberturvallisuus ulottuu siis laajemmalle fyysiseen maailmaan kuin tietoturvallisuus. Toisaalta tietoturvallisuus koskettaa “kaikkea tietoa”, kun kyberturvallisuuden “ydin” on digitaalisen maailman toiminnoissa. Tietoturvallisuuden tavoitteet ja keinot ovat myös kyberturvallisuudessa tärkeitä, mutta kyberturvallisuutta ei usein mielletä yhtä konkreettisena kuin tietoturvallisuus, vaan ennemminkin melko abstraktina tavoitetilana, ehkä vain viranomaisten asiana.
Kyberturvallisuus (cyber security)
Tarkoittaa tavoitetilaa, jossa sähköriippuvaiseen ja laajasti verkottuneeseen digitaaliseen toimintaympäristöön voidaan luottaa.
Tämän kurssin jälkeen tiedät, mikä oman tietoturvasi kybervaikutus voi olla ja miksi jotkin kyberturvatoimet voivat vaikuttaa sinun tietoihisi.
Digitaalinen turvallisuus¶
On muitakin tapoja jäsentää keskeiset käsitteet. On esitetty yläkäsitettä digitaalinen turvallisuus, joka koostuisi viidestä osa-alueesta: kyberturvallisuus, riskienhallinta, toiminnan jatkuvuus ja varautuminen, tietoturvallisuus ja tietosuoja. Digitaalinen turvallisuus voi olla hyödyllinen joissain tarkasteluissa, mutta on hyvä huomata, että sen osa-alueista kyberturvallisuus tässä kurssimateriaalissa enimmäkseen sisältää muut neljä (ks. edellä). Tämä tulee esille myös alla olevassa kuvassa, jossa oikeanpuoleinen kolmio esittää digitaalista turvallisuutta ja vasemmanpuoleinen liittää sitä eritasoisiin toimintaympäristöihin. Voit halutessasi lukea termistä lisää täältä (oleellisin alkaa dokumentin sivulta 14).