Tietoturvallisuus - SecMeter

Sisältöön

Tietoturvallisuus

Yritysturvallisuus > Tietoturvallisuus
Tietoturvallisuus on keskeinen osa yrityksen turvallisuuskulttuuria, joka keskittyy tiedon saatavuuden, eheyden ja luottamuksellisuuden turvaamiseen.

Riittävää tietoturvatasoa ei ole määritelty lain tasolla eikä oikeustapausten perusteella. Aukottomaan tietoturvaan pyrkiminen voi olla ideaali päämäärä, mutta ei koskaan realistinen tavoite.

Lähtökohtaisesti yrityksen tulee itse arvioida tietoturvatason riittävyys, ottaen huomioon liiketoiminnan laajuus, tietojen merkitys ja tietojen luottamuksellisuus.

Käsitteellä tietoturvallisuus tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta. Tietoturvallisuudella ymmärrettiin aiemmin kaikkia niitä toimenpiteitä, joilla turvattiin ns. tietojenkäsittelyrauha. Käsite kyberturvallisuus vakiintui Suomessa vuoden 2014 alusta, jolloin Kyberturvallisuuskeskus aloitti toimintansa.

Saatavuus (availability)
Yrityksen velvollisuus on huolehtia tietojärjestelmän asianmukaisesta varmistamisesta ja tietojen suojaamisesta vahingossa tai luvatta tapahtuvalta tietojen siirtämiseltä tai hävittämiseltä.

Eheys (integrity)
Yrityksen velvollisuus on suojata tiedot (mm. liikesalaisuudet ja henkilötiedot) vahingossa tai oikeudettomasti tapahtuvailta tietojen muutoksilta. Tallennettujen tietojen tulee säilyä virheettöminä viimeisestä käsittelykerrasta.

Luottamuksellisuus (confidentiality)
Yrityksen velvollisuus on suojata tiedot vahingossa tai luvatta tapahtuvalta tietojen käsittelyltä. Tietoja saavat käsitellä vain ne henkilöt, joiden työtehtävän hoitaminen edellyttää henkilötietojen käsittelyä.

Tunnistus (identification)
Yrityksen velvollisuus on tunnistaa käyttäjä kaikissa tunnistusta edellyttävissä tietojärjestelmissä, kuten esimerkiksi henkilötietoja käsittelevissä järjestelmissä. Tunnistaminen edellyttää asianmukaista käyttövaltuushallintoa ja käytön lokitusta.

Tietoturvallisuudesta kyberturvallisuuteen
Tietotekninen kehitys on johtanut 1990-luvulta alkaen tietojärjestelmien maailmanlaajuiseen verkottumiseen eli globaalin kybertoimintaympäristön muodostumiseen. Tietojärjestelmät on liitetty tavalla tai toisella julkiseen verkkoon, jonka kautta niitä voidaan käyttää ja ylläpitää ajasta ja paikasta riippumatta.

Ennen vuotta 2014 valtionhallinnolta puuttui valmiudet reagoida kyberhyökkäyksiin. Ulkoasiainministeriön kybervakoilutapauksen seurauksena käynnistettiin toukokuussa 2013 valtionhallinnon SecICT-kehittämishanke. Hankkeen tehtävänä oli suunnitella ja pilotoida valtionhallinnon omat GovCERT- ja GovHAVARO-palvelut sekä tietoturvapoikkeamiin reagoiva GovSOC–toiminta.

Toiminta oli tarkoitus käynnistää vuosien 2015 ja 2016 aikana. SecICT-hankkeen määräraha vuodelle 2014 oli 2,9 miljoonaa euroa. Budjettiin sisältyi mm. suunnittelua, kehittämistä ja hankintoja. Valtionhallinnossa toiminnan tavoitteeksi asetettiin valmius muodostaa ja jakaa ajantasainen kyberturvallisuuden tilannekuva. Toiminnan pääpaino oli kuitenkin tietoturvapoikkeamien ennaltaehkäisyssä ja varhaisessa reagoinnissa.

VM allekirjoitti sopimuksen Viestintäviraston tietoturvapalveluiden hankkimisesta 30.1.2014, jonka mukaan VM ostaa Kyberturvallisuuskeskukselta tietoturvapalveluja vuosittain enintään 1,1 miljoonalla eurolla.

  • GovSOC–palvelun tehtävänä on tuottaa tavoitteiden saavuttamiseksi tarvittavat ympärivuorokautiset (24/7) kyberturvallisuuden operatiiviset palvelut.
  • GovCERT-palvelun tehtävänä on tuottaa tietoturvaloukkausten ennaltaehkäisy, havainnointi ja ratkaisun tukipalvelut.
  • GovHAVARO–palvelun tehtävänä on tuottaa tietoliikenteen teknisten tietoturvaloukkausten havainnointi ja varoituspalvelut.
  • GovHUOVI–palvelun tehtävänä on tuottaa valtion tietoturvallisuuden tilannekuva- ja raportointiportaalipalvelut.

Lähde: Valtiovarainministeriö, tiedote 31.1.2014

Havaro järjestelmä ei ole suinkaan aukoton. Havaroon ei voi viedä vakoilun ja vihamielisen valtiollisen toiminnan havaitsemiseksi välttämättömiä tunnisteita. Tämän toiminnan havaitsemiseksi tarvittavat tunnisteet ovat korkean suojaustason tietoa, jota vaihdetaan ainoastaan osana turvallisuus- ja tiedustelupalveluiden kansainvälistä yhteistyötä. Kyberturvallisuuskeskus ei ole tällaisessa toiminnassa osapuolena.

Kybertoimintaympäristöstä aiheutuvia uhkia on erittäin hankala hallita vaarantamatta kyberympäristöjen käytettävyyttä ja palvelukykyä. Kyberympäristöissä ei ole mahdollista saada aikaan täyttä varmuutta tietojen saatavuudesta, eheydestä ja luottamuksellisuudesta.

Riittävän tiedon, asianmukaisten päätösten ja ratkaisujen pohjalta on kuitenkin mahdollista saavuttaa asianmukainen kyberturvallisuustaso. Kybertoimintaympäristössä mm. proaktiivinen IDS-ratkaisu ja reaktiivinen SIEM-järjestelmä ovat osoittautuneet välttämättömiksi kyberturvallisuuden hallintavälineiksi.

Tietoturvallisuustyö
Tietoturvallisuustyö liittyy yrityksen toimintojen kehittämiseen. Monimuotoisten teknologisten ratkaisujen ja inhimillisten virheiden aiheuttamat ongelmat korostuvat tulevaisuuden kyberympäristöissä. Muuttuvassa liiketoimintaympäristössä tietoturvallisuuden kehittämistyöstä on muodostunut prosessi, joka edellyttää yritykseltä selkeää visiota.

Liikkeenjohtamisjärjestelmät eivät suoranaisesti huomioi tietoturvallisuuden tarpeita, mutta parhaimmillaan tietoturvallisuus tukee omalta osaltaan saumattomasti yrityksen johtamista ja taloutta. Johtamisjärjestelmän tehtävänä on varmistaa yrityksen strategisten tavoitteiden saavuttaminen ja operatiivisen toiminnan tehokkuus. Tietoturvallisuustyö edistää näitä tavoitteita.

Näkökulmia parempaan tietoturvaan

Johtamisnäkökulma

    • ohjaa esimiehiä keskittymään oikeisiin asioihin,
    • selkiyttää johtamisrooleja ja vastuita sekä
    • varmistaa yrityksen johtamisfoorumien tehokkaan toiminnan.

Yrityskulttuurin näkökulma
Linjausten ja ohjeistusten (ohjausasiakirjojen) avulla yritys pyrkii ohjaamaan sisäisiä käytäntöjään niin, että kyberympäristön tietoja käytetään asianmukaisesti yhteisesti sovittujen periaatteiden mukaisesti. Tällaista yhtenäistä toimintatapaa ja asiaintilaa kutsutaan tietoturvaulttuuriksi. Tietoturvakulttuuri edistää parhaimmillaan yrityksen ja sen sidosryhmien välistä luottamuksen ilmapiirinä

Juridinen näkökulma
Kaikilla yrityksillä on velvollisuus suojata henkilötietonsa ulkopuolisilta ja huolehtia yrityssalaisuuksien salassapidosta. Useilla organisaatioilla (julkishallinto) on myös tavanomaista laajempia velvollisuuksia noudattaa tietojen käsittelyssä hyvää tiedonhallintatapaa (julkisuuslaki) ja erityislaeissa säädettyjä tietoturvallisuusvelvoitteita. Näin ollen tietoturvallisuus on myös nähtävä lain ja määräysten velvoitteiden toteuttajana.

Palvelunäkökulma
Yrityksen palveluprosessien kehittämisen näkökulmasta tietoturvallisuus on joukko palvelu- tai liiketoimintaprosessiin liittyviä ominaisuuksia, jotka liittyvät saumattomasti yrityksen sisäisiin ja ulkoisiin palveluihin. Tietoturvallisuus on paitsi palveluun liittyvä ominaisuus myös palvelu- tai liiketoiminnan jatkuvuuden turvaamisen kulmakivi.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön