Liiketoiminnan kehittäminen, 5 ov
etusivu   

 

 Tietoturva
  Tietoturva ja tietosuoja 
  Tietoturvan osa-alueet
  Tietoliikenneturvallisuus
  Tietoturvan kehittäminen

 Lainsäädäntö
  Immateriaalioikeudet 
  Yksityisyyden suoja
  Sopimukset
  Verotus ja tulli

 Sähköinen asiointi
  Sähköinen asiointi 
  Asioinnin tietoturva 
  Tunnistaminen
  Tehtävät

 Maksaminen
  Maksujärjestelmät
  Sähköinen raha
  Rahakortti
  Verkkotilisiirto
  Luottokortti
  Muita menetelmiä
  Tehtävät

 






Tietoturva ja tietosuoja

Tietoturva ja tietosuoja ovat kaksi eri asiaa. Tietosuoja perustuu lakiin, käytänteisiin ja hyviin tapoihin.  Tietoturva perustuu teknisiin ja organisatorisiin ratkaisuihin. Tietoturvasta puhuttaessa tarkoitetaan usein myös tietosuojan käytänteitä.

Tietoturva kattaa kaiken sen, mikä liittyy tietojen saatavuuteen, oikeellisuuteen sekä tietojen luottamuksellisuuden säilymiseen käsittelyn, säilytyksen ja tiedonsiirron aikana (P Järvinen 2002).

Tietosuojalla eli yksityisyyden suojalla tarkoitetaan ihmisen henkilötietojen sekä henkilökohtaiseen toimintaan liittyvien tietojen keräämisen ja käsittelyn rajoittamista niin, ettei henkilön yksityisyys turhaan vaarannu (P Järvinen 2002).

Mihin tietoturvaa tarvitaan?

Tietoturva suojaa tärkeitä sisäisiä tietoja ulkopuolisilta. Tietoturvan vaatimuksia ei saa aliarvioida, mutta tietoturvaa ei ole syytä myöskään ylimitoittaa. Tietoturva ei ole ainoastaan dokumenttien ja viestien turvaamista, vaan se on kokonaisuus, johon liittyvät sekä tiedonkäsittelylaitteiden fyysinen turvallisuus että tiedonkäsittelijöiden osaaminen. Tietoturvalla pyritään estämään tietojen, järjestelmien tai palvelujen ym. toimintojen luvaton selville saanti tai käyttöönotto. Tietoaineistoja tai tietojärjestelmiä ei saa pystyä tuhoamaan tai muuttamaan luvattomasti. Tietojen ja tiedonkäsittelyresurssien on pysyttävä käytettävissä ja käyttökelpoisina valtuutetuille käyttäjille. Internet avoimena järjestelmänä antaa mahdollisuuden hyökkäyksiin yritysten ja organisaatioiden tietojärjestelmiä kohtaan. Järjestelmä voidaan kuitenkin suojata ulkoisilta uhkilta monin eri tavoin.

Internetin tietoturva voidaan myös jakaa kahteen eri luokkaan seuraavasti:

1. Tietoliikenteen suojaaminen
- Estetään kahden tietokoneen välisen liikenteen kuunteleminen esim. sähköposti ja elektroniset maksut.
- Tietoliikenne suojataan salaamisen eli kryptografian avulla.

2. Palvelinkoneen suojaaminen
- Estetään asiaankuulumattomien pääsy yrityksen tai organisaation koneelle.
- Kone eristetään Internetistä palomuurin avulla.
- Käyttäjien tunnistamiseen käytetään salasanoja ja käyttäjätunnuksia.

Edellisten lisäksi on hyvä huolehtia tietojen turvaaminen sisäisten ja inhimillisten uhkien varalta sekä luonnonilmiöiltä. Tietojen turvaamista varten on yrityksessä ensin tunnistettava suojausta vaativat tiedot sekä kartoitettava ne uhkat, joilta tiedot halutaan suojata ja myös uhkien todennäköisyys. Turvaratkaisuja toteutettaessa on hyvä ottaa huomioon mikä on suojauksen taso ja tarve suhteessa sen aiheuttamiin kustannuksiin. Turvaratkaisuja on testattava ja kehiteltävä jatkuvasti.

GSM
GSM-puhelimen tietoturvallisuus on muodostumassa yhä tärkeämmäksi. Tekstiviestein voi hoitaa esimerkiksi pankkiasioita. Salakuuntelu voidaan estää laitteen suojauksella, käyttäjän tunnistuksella ja liikenteen salauksella. Myös salaamattomia GSM-yhteyksiä on olemassa.

Tietoturvan uhkat

luettelo tulee vielä tähän ...

Tietoturvan periaatteet

Tietoturvalla pyritään alla oleviin tavoitteisiin, joista kolme ensin mainittua ovat keskeisimpiä.

1. Luottamuksellisuus (Confidentiality)
- kukaan ulkopuolinen ei tiedä osapuolten välisestä viestinnästä
- salattu viesti on ulkopuoliselle käsittämätön
- käyttäjät pystytään todentamaan
- tieto salataan (encryption)

2. Eheys (Integrity)
- tieto ei muutu matkalla
- tieto säilyy kokonaisena
- esim www-sivulle tunkeutujat (murtautuminen, virukset)
- esim. sähköpostin sisällön ja lähettäjätietojen manipulointi
- esim viallinen levy - käsittelyvirheet tmv.
- tärkeää lokitiedostojen arkistoinnissa

3. Saatavuus (availibility)
- verkkoyhteyksien toimivuus online
- tietojen käytettävyys; varmuuskopiointi
- laitteiden toimintavarmuus; UPS -laite säkökatkoksiin
- 'ennen vanhaan' tallennettujen tiedostojen käytön varmistaminen
- esim palvelunestohyökkäyksillä voidaan häiritä

 4. Todennus (Authentication)
- viestin lähettäjän (olion) henkilöllisyyden todistaminen; olio voi olla laite, WWW-sivu, ohjelmakoodi
- digitaalinen allekirjoituksen lisääminen sähköpostiviestiin tehostaa viestin autentikointia; lähettäjän kun on helppo väärentää sähköpostiosoite
- käyttäjät todennetaan salasanoin
- laite todennetaan toiselle laitteelle salauksen sovelluksin
- verkkotiedon todennus on vaikeaa
- nettipalvelu todennetaan osoitteen perusteella; SSL-protokollan avulla parempi varmuus
- GSM-laite todennetaan tukiasemaverkostolle
- ohjelmakoodin todentaminen

5. Pääsynvalvonta (Access control)
 - vain todennetut henkilöt pääsevät järjestelmään
- pääsynvalvontaan liittyy käytön seuranta

6. Kiistämättömyys (Non-Repudiation)
- viestin lähettäjä ei voi kiistää lähettäneensä viestiä; elektronisessa kaupankäynnissä asiakkaan toimeksiannot (tilaukset, pörssin toimeksiannot, rahapelit...)
- transaktioiden aikatiedon tallennus

Kansainvälisessä Wassenaarin sopimuksessa (mm. Kiina ja Israel eivät ole mukana) pyritään rajoittamaan kehittyneen aseteknologian leviämistä uusiin maihin. Sopimuksen piiriin kuuluvat maat vaativat sopimuksen piiriin kuuluvilta tuotteilta vientiluvan (v. 2002 päätös). Suomessa luvan myöntää puolustusministeriö, käytännössä lupa on muotoseikka. Yhdysvallat poisti vahvojen salausohjelmien vientirajoitukset v. 2000 alussa omien ohjelmistoyhtiöiden painostuksen seurauksena. Siihen asti yli 40 bittiset salausohjelmat rinnastettiin aseisiin ja niiden maastavienti oli kielletty. Salausohjelmien vientirajoitukset ovat menettäneet merkityksensä Internetin myötä, jolloin leviämistä on ollut yhä vaikeampi estää.

Päivitetty:
29.10.2003 Helena Tirronen, helena.tirronen@tamk.fi