Tilaa uutiskirjeemme
Tilaa uutiskirjeemme

CINIAN BLOGI JA ARTIKKELIT

Kyberturvallisuutta vai tietoturvallisuutta?

Liiketoiminta | Turvallisuus 14.10.2014

Yritysten käytävä- ja muissa keskusteluissa, sekä myös verkossa ja lehdissä julkaistuissa artikkeleissa on käytetty paljon sanoja tietoturvallisuus ja kyberturvallisuus. Välillä nämä termit ovat toimineet toistensa synonyymeinä, välillä ne on varmuuden vuoksi lueteltu peräkkäin, ja välillä vaikka mitä. Kyberturvallisuus ja tietoturvallisuus voivat määritelminä mennäkin osin päällekkäin. Käsiteltävä asiayhteys kuitenkin ratkaisee termin valinnan. Pyrin seuraavassa avaamaan näiden ”hype-termien” sisältöä esimerkkien kautta.

Tietoturvallisuudella tarkoitetaan järjestelyjä, jolla TIETO turvataan. Turvaaminen kohdistuu tiedon luottamuksellisuuteen, sen eheyteen sekä saatavuuteen. Se, että sinä saat halutessasi käyttöösi yrityksen intranetissä olevia tietoja, on saatavuutta. Se, että nämä tiedot ovat siinä muodossa (mitään pois jättämättä, mitään lisäämättä tai mitään muuttamatta), kuin niiden kuuluukin olla, on eheyttä. Ja se, että saat käyttöösi vain sinulle tarkoitettuja tietoja, on luottamuksellisuutta. Luottamuksellisuuden vaatimusten täyttyminen edellyttää myös sitä, että tietojärjestelmä ja tiedon käsittelyyn käytetty tila täyttävät kyseisen tiedon suojaustasolle asetetut vaatimukset. On hyvä huomata, että täysin julkiseenkin tietoon voi kohdistua tietoturvallisuusriskejä. Esimerkiksi Tilastokeskuksen julkaisemien julkisten tilastojen on oltava sisällöltään muuttumattomia ja niiden on oltava saatavilla sovitusti.

Tietoturvallisuus, siis itse tietoon liittyvät turvallisuustarpeet, koskevat sekä sähköistä, kirjoitettua, kuvallista että puhuttua tietoa. Neuvotteluhuoneesta ulospäin kuuluva puhe, joka käsittelee yrityssalaisuuksia, on rikkomus tietoturvallisuutta kohtaan. Samoin on alakerran ruokalan pöydälle unohdettu luottamuksellinen palvelusopimus. Meistä jokaisen on siis tunnistettava käsittelemiemme tietojen suojaustaso ja toimittava tämän mukaisesti. Mitä arvokkaampaa tieto meille on, sitä enemmän on sen tietoturvallisuuteen (luottamuksellisuus, eheys ja saatavuus) kiinnitettävä huomiota.

Kun internetin käyttö aikanaan laajeni ja sen toimintaan perustuvia järjestelmiä alettiin ottaa yhä laajempaan käyttöön, ei tietoturvallisuus-sana enää riittänyt kuvaamaan uutta ympäristöä (tai ulottuvuutta, engl. domain) tai siihen liittyviä uhkia ja turvallisuustarpeita. Uutta ulottuvuutta ruvettiin kutsumaan kyberympäristöksi, englanniksi Cyber domain. Nopeasti havaittiin, että sen lisäksi, että tämä ympäristö tarjoaa valtavasti uusia mahdollisuuksia, tuo se mukanaan myös melkoisesti uusia riskejä, kyberuhkia. Konkreettisesti uusi uhkaulottuvuus on näkynyt muun muassa Yhdysvaltojen asevoimissa, joihin vuonna 2010 perustettiin uusi puolustushaara, Cyber Command, aiempien maa-, meri- ja ilmavoimien sekä merijalkaväen lisäksi. Keskustelu vastaavasta tarpeesta on muuten parhaillaan käynnissä myös omien puolustusvoimiemme piirissä.

Kyberturvallisuudella tarkoitetaan tilannetta, jossa kybertoimintaympäristöön voidaan luottaa ja sen toiminta turvataan. Kybertoimintaympäristö on sähköisessä muodossa olevan tiedon (datan) käsittelyyn tarkoitettu, yhdestä tai useammasta tietojärjestelmästä muodostuva kokonaisuus. Tällaisia ovat muun muassa vedenjakelujärjestelmät, liikennevalojen ohjausjärjestelmät, ydinlaitosten tuotantojärjestelmät tai vaikkapa tietoliikenteen runkoverkon valvontajärjestelmät. Näin ollen kyberuhat uhkaavat yleensä suoraan digitaalista maailmaa, mutta niillä on välillisiä tai välittömiä vaikutuksia fyysiseen maailmaan.

Kyberuhka voi muodostua ihmisen tarkoituksellisesta teosta, se voi aiheutua ihmisen varomattomasta toiminnasta tai sen voi aiheuttaa myös luonnonilmiö. Kyberuhka on teko tai tapahtuma, joka toteutuessaan vaarantaa jonkin KYBERTOIMINTAYMPÄRISTÖSTÄ RIIPPUVAISEN TOIMINNON. Tarkoituksellinen uhka kohdistuu yleensä internetin tai muun tietoverkon kautta, mutta se voi kohdistua myös internetistä fyysisesti erillään toimivaan tietojärjestelmään, esimerkiksi usb-porttiin liitettävällä muistitikulla. Organisaation toimitiloissa luvatta liikkuva henkilö voi siis muodostaa yritykselle sekä tietoturvallisuusriskin että kyberturvallisuusriskin.

Onko tuleva merenalainen kaapeliyhteys Suomesta Saksaan tietoturvallinen vai kyberturvallinen? Se on rakennettava molemmat vaatimukset täyttäväksi. Tietoturvallisuus liittyy hankkeessa erityisesti liiketoiminta- ja asiakastietojen turvaamiseen sekä siihen, että kaapeliyhteyteen ja sen operointiin liittyviä tietoja käsitellään tietoturvallisesti – lainsäädännön ja sopimusten mukaisesti. Kyberturvalliseksi merikaapeliyhteyttä voidaan (määritelmän mukaan) kutsua silloin, kun tähän tietojärjestelmäavusteisesti ylläpidettävään tietoliikenneyhteyteen voidaan luottaa ja sen toiminta on turvattu. Tämän tavoitteen saavuttaminen edellyttää muun muassa fyysisiin tiloihin, henkilöturvallisuuteen, sopimusjärjestelyihin, käytettävään tekniikkaan sekä jatkuvuussuunnitteluun liittyviä toimenpiteitä. Kyberturvallisen kaapeliyhteyden rakentaminen ja ylläpito on kaiken kaikkiaan monen osatekijän summa.

Yhteiskunnan, yritysten ja kansalaisten riippuvuus tietojärjestelmistä kasvaa jatkuvasti. Tämä kehitys tuo mukanaan myös uutta terminologiaa, jonka käytössä on oltava yhä tarkempi. Seuraavassa kirjoituksessani jatkan edelleen käsitteiden maailmassa, ja niitähän riittää: kyberrikollisuus, yksityisyyden suoja, huoltovarmuus, jatkuvuudenhallinta, varautuminen jne.

– Pertti Hyvärinen, ICT- ja turvallisuusjohtaja, Cinia –

Jaa