Kyberturvallisuuden määritelmä

Perinteisesti kyberturvallisuuteen liittyvät asiat käsitettiin ICT-asioista vastaavien tahojen toiminnoiksi. Sittemmin yhteiskunta on muuttunut tietoyhteiskunnaksi ja tullut riippuvaiseksi tietojärjestelmien ja -verkkojen toiminnasta ja alttiiksi niihin kohdistuville häiriöille. Digitaalinen toimintaympäristö on nykyisin kiinteä osa ihmisten arkea ja kyberturvallisuudesta on tullut kaikkien yhteinen asia.

Turvallisuus

Turvallisuus on termi, jolla on englannin kielessä kaksi vastinetta: safety ja security. Tavallisessa kielenkäytössä safety yhdistyy enemmän tahattomuuteen ja security tahallisuuteen siten, että safety suojaa onnettomuuksilta (työ-, palo-, liikenneturvallisuus) ja security tarkoitukselliselta vahingoittamiselta (turvahenkilöstö, -tarkastus, turvallisuuspolitiikka, -neuvosto). Lisäksi erilaisia suojauskeinoja ajateltaessa safety liitetään useammin välineisiin ja security toimijoihin. Erottelu tulee esiin mm. kyberfyysisten järjestelmien yhteydessä.

Vaikka oltaisiin (enempi) security-turvallisuuden puolella, on silti kaksi vaikeasti erotettavaa käsitettä kyberturvallisuus ja tietoturvallisuus. Näiden käyttö ei ole aina johdonmukaista, vaan tilanteesta ja asiayhteydestä riippuen on ymmärrettävä, kummasta on kyse. Niillä on paljon yhteistä, mutta kummallakin on paljon omaa “aluettaan”, kuten kohta käy ilmi.

Tietoturvallisuuden osa-alueita

Tietoturvallisuuden on perinteisesti määritelty olevan huolehtimista kolmesta tietoon liittyvästä ominaisuudesta: luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability). Nämä yhdessä muodostavat tietoturvallisuuden CIA-mallin.

Tietoturvallisuus (information security)

Tarkoittaa järjestelyjä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus.

Luottamuksellisuus (confidentiality) tarkoittaa, että tieto ei ole saatavissa muille kuin niille, joilla on lupa tietoa hyödyntää. Esimerkkejä luottamuksellisuuden toteuttamisesta ovat verkkoliikenteen salaaminen, viranomaisasiakirjoille asetettavat turvallisuusluokat ja se, ettei kaikilla terveydenhuollossa toimivilla ole oikeuksia katsoa kaikkien asiakkaiden tietoja.

Eheys (integrity) tarkoittaa, että tieto on sitä, mitä sen kuuluisikin olla. Tämä ei tarkoita, että tieto olisi totta tai muulla tavoin “hyvää”, vaan sitä ettei mikään eikä kukaan ole muuttanut sitä tahallaan eikä vahingossa. Kun tieto alunperin syntyy, se ei vielä ole eheää tai epäeheää, mutta heti kun sitä tallennetaan, siirretään ja käsitellään, eheys voi särkyä. Tiedon eheyttä on sekin, että verkkolaskun maksaja tarkistaa vastaanottajan maksutiedot.

Saatavuus (availability) tarkoittaa, että tieto on käytettävissä silloin, kun sitä tarvitaan. Esimerkiksi tietoliikenneyhteyksien toimivuus on merkittävä osa tätä tavoitetta.

Vastaa kysymyksiin.

Mihin tietoturvallisuuden osa-alueeseen liittyy dokumenttien versionhallinta?
Mihin tietoturvallisuuden osa-alueeseen liittyy tiedostojen varmuuskopiointi?
Mihin tietoturvallisuuden osa-alueeseen liittyy maksun tietojen varmistaminen ennen laskun tilitystä?
Mihin tietoturvallisuuden osa-alueeseen liittyy junassa tapahtuva kovaääninen puhe koskien firman asiakassopimusten tietoja?

Kyberturvallisuus

Kurssin nimenä ja aiheena on kyberturvallisuus, koska tietoturvallisuus ei enää riitä. Mikä tahansa tietoturvaloukkaus voi olla osa hyökkäystä, joka vaikuttaa kriittiseen infrastruktuuriin tai on jopa suoraan kohdistettu siihen. Kriittisellä infrastruktuurilla tarkoitetaan perinteisesti näitä seitsemää alaa: energia, vesihuolto, terveydenhuolto, kuljetukset, pankkitoiminta, rahoitusmarkkinat, tietoverkko (vrt. NIS2-direktiivi). Muitakin kybervaikutuksen kohteita on, esimerkiksi poliittinen päätöksenteko.

Kyberturvallisuus ulottuu siis laajemmalle fyysiseen maailmaan kuin tietoturvallisuus. Toisaalta tietoturvallisuus koskettaa “kaikkea tietoa”, kun kyberturvallisuuden “ydin” on digitaalisen maailman toiminnoissa. Tietoturvallisuuden tavoitteet ja keinot ovat myös kyberturvallisuudessa tärkeitä, mutta kyberturvallisuutta ei usein mielletä yhtä konkreettisena kuin tietoturvallisuus, vaan ennemminkin melko abstraktina tavoitetilana, ehkä vain viranomaisten asiana.

Kyberturvallisuus (cyber security)

Tarkoittaa tavoitetilaa, jossa sähköriippuvaiseen ja laajasti verkottuneeseen digitaaliseen toimintaympäristöön voidaan luottaa.

Tämän kurssin jälkeen tiedät, mikä oman tietoturvasi kybervaikutus voi olla ja miksi jotkin kyberturvatoimet voivat vaikuttaa sinun tietoihisi.

Digitaalinen turvallisuus

On muitakin tapoja jäsentää keskeiset käsitteet. On esitetty yläkäsitettä digitaalinen turvallisuus, joka koostuisi viidestä osa-alueesta: kyberturvallisuus, riskienhallinta, toiminnan jatkuvuus ja varautuminen, tietoturvallisuus ja tietosuoja. Digitaalinen turvallisuus voi olla hyödyllinen joissain tarkasteluissa, mutta on hyvä huomata, että sen osa-alueista kyberturvallisuus tässä kurssimateriaalissa enimmäkseen sisältää muut neljä (ks. edellä). Tämä tulee esille myös alla olevassa kuvassa, jossa oikeanpuoleinen kolmio esittää digitaalista turvallisuutta ja vasemmanpuoleinen liittää sitä eritasoisiin toimintaympäristöihin. Voit halutessasi lukea termistä lisää täältä (oleellisin alkaa dokumentin sivulta 14).

Digitaalinen turvallisuus

Valitse yksi tai useampi vaihtoehto.

Kumpaa aluetta kukin esimerkki lähinnä edustaa? Palautteiden kautta näet, miten kurssihenkilökunta on asiasta ajatellut. Oma näkemyksesi käsitteiden rajoista saa olla erilainen.

“Julkishallinnon työntekijöille järjestetään tietovuotoa koskeva harjoitus.”
“Kyberturvallisuuskeskus antaa tiedotteen koskien puhelimien kautta leviäviä huijausviestejä.”
“Yrityksen tietohallinto varoittaa kalasteluviesteistä.”
“Sairaala päivittää insuliinipumppujen firmwaren.”
Palautusta lähetetään...