Liiketoiminnan kehittäminen, 5 ov
etusivu   

 

 Tietoturva
  Tietoturva ja tietosuoja 
  Tietoturvan osa-alueet
  Tietoliikenneturvallisuus
  Tietoturvan kehittäminen

 Lainsäädäntö
  Immateriaalioikeudet 
  Yksityisyyden suoja
  Sopimukset
  Verotus ja tulli

 Sähköinen asiointi
  Sähköinen asiointi 
  Asioinnin tietoturva 
  Tunnistaminen
  Tehtävät

 Maksaminen
  Maksujärjestelmät
  Sähköinen raha
  Rahakortti
  Verkkotilisiirto
  Luottokortti
  Muita menetelmiä
  Tehtävät

 






Tietoturvan osa-alueet

1. Hallinnollinen turvallisuus

Hallinnollinen turvallisuus on useimmiten organisaatiossa tietoturvan perusalusta. Organisaation hallinnon on määriteltävä tietoturvallisuuden pääperiaatteet ja tehtävä toimenpiteet. Pelkästään yksilötasolla tietoturvan ylläpitoon mahdollisuudet ovat rajalliset. Esimiesten vastuulla on tiedottaminen, seuraaminen ja laiminlyönneistä huomauttaminen. Tiedotus tapahtuu vain niille, joita kyseinen tietoturva-asia koskee. Hallinnollinen tietoturva koostuu siis johdon hyväksymistä periaatteista, vastuunjaosta, tarkoitukseen varatuista resursseista sekä riskien arvioinnista. Tietoturvallisuuden avainhenkilöille annetaan järeän tason turvallisuus- ja valmiuskoulutusta sekä koko henkilöstölle perustason koulutusta turvallisuuden ylläpitämiseksi sekä poikkeustilanteiden varalle.

Yleensä yritysten lähiverkoissa on osallisina kahdenlaisia ihmisiä; toiset vastaavat yritysten ja organisaatioiden tietojärjestelmien ja verkkojen toiminnasta, toiset vain käyttävä niitä. Tältä pohjalta näkemyseroja tietoturvallisuudessa voi syntyä. Lähtökohtana on, että yritykseen määritellään riskianalyysi, jonka avulla olemassa olevat uhat saadaan paikallistettua, vaiheen perusteella luodaan ohjeistus ja toimintaohjeet. Hallinnollisessa tietoturvassa päämääränä on luoda organisaatioon toimintatapa, jolla pystytään välttämään tietoturvariskit.

Useimmat vahingot syntyvät perusturvallisuuden laiminlyönnistä. Perusturvallisuuteen liittyvät asiat on suunniteltava, määriteltävä, toteutettava ja testattava. Ongelmiksi voivat muodostua mm. ylimitoitetut ja epäkäytännölliset turvaratkaisut, jotka johtavat turvatason alenemiseen – niin yllättävältä kuin se saattaa tuntuakin.  Ihmiset eivät jaksa käydä läpi turvamenetelmiä, tai eivät jopa halua käyttää turvaratkaisuja, koska se on liian vaikeaa. Toipumissuunnitelmat on hyvä laatia. Niissä määritellään vahingon jälkeiset toimenpiteet ja se, kuinka tilanteesta toivutaan ja jatketaan eteenpäin.

2. Tietoaineistoturvallisuus

Tietoaineistoturvallisuudella pyritään säilyttämään asiakirjojen, tietueiden ja tiedostojen luottamuksellisuus sekä estämään tietojen tuhoutuminen tai tahaton muuttuminen. Oleellista on myös tallenteiden suojaaminen ja oikeanlainen säilyttäminen. Tietoaineistoturvallisuuteen liittyvät myös tiedon jatkuva varmistaminen, asianmukainen säilytys sekä hävittäminen. Tietoaineisto voidaan järjestää turvaluokkiin tärkeyden perusteella: julkiset eli kenen tahansa saatavilla olevat tiedot, luottamukselliset eli vain nimenomaisten henkilöiden saatavilla olevat tiedot, salaiset eli paljastuessaan henkilön turvallisuutta uhkaavat tiedot ja erittäin salaiset eli paljastuessaan valtakunnan turvallisuutta uhkaavat tiedot. Toisaalta tietoaineisto voidaan turvaluokitella käyttäjien tunnistamiseksi avainten, käyttäjätunnusten ja salasanojen sekä arkaluonteisten tietojen ja tallenteiden hävittämisoikeuksien osalta.

3. Henkilöstöturvallisuus

Henkilöstöturvallisuus on usein liian vähälle huomiolle jätetty alue. Henkilöstö on organisaatiota ylläpitävä voima ja toisaalta myös riski. Yleensä henkilöstö aiheuttaa vahinkoa tietämättään. Inhimillisiin vahinkoihin auttaa usein koulutus. Tietoturvan päämäärät  sekä huolimattomuuden ja vahingon seuraukset on on hyvä selvittää. Henkilön persoonan ominaisuudet vaikuttavat myös reagointiin yllättävissä tilanteissa. Tahallisia vahingontekoja myös esiintyy, ne liittyvät usein erottamiseen. Pitkään palveluksessa ollut henkilö vie väkisinkin tietoa mukanaan. Kulkuluvat, salasanat ja muut tulisi mitätöidä mahdollisimman pian erottamistapauksissa. Vierailijoiden valvonta kuuluu myös henkilöstöturvallisuuteen.

Henkilöstöturvallisuuden tavoite on, ettei työntekijä tietämättömyyden, huonon motivaation tai pahantahtoisuuden vuoksi pääse muuttamaan tai tuhoamaan tietoa, tai mahdollista jonkun ulkopuolisen käyttämään sitä. Henkilöstöturvallisuuden pääpaino on riskien välttäminen ennakkoon ja synnyn estäminen.  Salasanoja ei kirjoiteta muistilapuille, eikä säilytetä asiaankuulumattomien ihmisten ulottuvilla. Uutta henkilöä palkattaessa voidaan mitata hänen luotettavuuttaan psykologisilla testeillä tai pyytää lausunto poliisilta. Henkilöstöturvallisuuden riskeiksi voivat muodostua liian laajat käyttöoikeudet, liika asiantuntemus, välinpitämätön asenne tietoturvallisuutta kohtaan sekä motivaation puute ja tyytymättömyys työhön.

4. Käyttöturvallisuus

Käyttöturvallisuutta ovat salasanat, käytössä olevien ohjelmien osaaminen ja virustentorjunta. Annettujen käyttöoikeuksien tulee olla mukautettu työtehtäviin. Käyttöturvallisuus koostuu järjestelmien turvallisista käyttöperiaatteista, tietojenkäsittelytapahtumien valvonnasta sekä jatkuvuuden turvaamisesta. Periaatteena on luoda sellaiset menettelytavat, joilla päivittäisessä toiminnassa säilytetään tietoturvallisuuden taso mahdollisimman hyvänä. Salasanojen tulee täyttää ennalta määrätyt kriteerit. Käyttöturvallisuuteen liittyvät myös hallinnon määrittelemät säännöt mm. sähköpostin ja omien levykkeiden käytöstä.

Käyttäjätunnuksia on syytä jakaa harkiten, rajattuja oikeuksia käytetään. Salasanat eivät saa olla helposti arvattavia, esim. tutut nimet ovat kiellettyjä. Hyvä salasana on itselle helppo muistaa, mutta toisille vaikea arvata. Työtehtävien suorittajalle löytyy aina varahenkilö.  Tehtävien kierrättämistä työntekijöiden välillä suositellaan myös. Vaarallisten työyhdistelmien syntymistä pyritään estämään siten, että yksi ihminen ei ole vastuussa kahdesta toisistaan riippuvasta työtehtävästä. Lokitiedostoja tarkkailemalla voidaan todentaa tietyn toimenpiteen suorittanut henkilö.

Virukset ovat jatkuva riesa. Paras tapa suojautua viruksia vastaan on valistus ja ajan tasalla olevat virustorjuntaohjelmat. Mitä enemmän yrityksellä on elektronista liikennettä ulkopuolisten yritysten kanssa, sitä suuremmaksi virusuhka syntyy. Automaattisella virustentarkistuksella pyritään estämään virusten pääsy tietoliikennejärjestelmiin ja lähiverkkoihin esim. sähköpostin tai webin kautta.  Käytännössä laitteisiin asennetaan virustentorjuntaohjelmisto, joka tarkkailee ja antaa ilmoituksen mahdollisesta viruksesta.  Ilmoituksen jälkeen on syytä ryhtyä toimenpiteisiin, koska virus saattaa aiheuttaa hyvin vahingollisia seurauksia: tiedot saattavat tuhoutuvat osittain tai kokonaan, tieto välittyy edelleen ulkopuolisille tai virus muutoin häiritsee tietojärjestelmien toimintaa.

Laitteiden käyttövarmuus on myös käyttöturvallisuutta. Laaditaan ns. toipumissuunnittelu, jonka avulla varmistetaan toiminnan jatkuminen jonkun yllättävän tilanteen ilmaantuessa. Kiintolevyn rikkouduttua työasemien palautuksen tulee sujua ongelmitta. Varmuuskopiot tulee ottaa säännöllisesti. Sähkönsaanti voidaan varmistaa UPS-laitteiden avulla.

5. Tietoliikenneturvallisuus

Tietoliikenneturvallisuudella pyritään varmistamaan tietoturvan perustavoitteet eli verkossa välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys. Keskeisenä tavoitteena on varmistaa viestien alkuperäisyys, koskemattomuus ja luottamuksellisuus. Tietoliikenneturvallisuudessa on kyse on kaikista niistä toimenpiteistä, joilla varmistetaan tietojen turvallisuus tiedon liikkuessa järjestelmän sisällä tai organisaatioiden välillä. Usein mielletään, että tietoliikenneturvallisuudessa on kyse ainoastaan tietokoneisiin kytkettyjen verkkojen turvallisuudesta. Tietoliikenneturvallisuuteen kuuluvat kuitenkin kaikki ne asiat, jotka koskevat teleliikennöintiä, verkkojen rakentamista ja niiden suunnittelua. Jotta tietoturva pystyttäisiin pitämään riittävän korkealla tasolla, on jatkuvasti seurattava alan kehitystä, hankittava laitteistoja tai ohjelmistoja, joilla suojaudutaan uusia uhkia vastaan.

Erilaisilla palomuuriratkaisuilla voidaan vaikeuttaa ulkopuolisten tunkeutumista organisaation sisäiseen verkkoon. Palomuuri, toiselta nimeltään suojamuuri, on valvontaohjelma, joka sekä tarkkailee että rajoittaa tietoliikennettä sisäisen lähiverkon sekä internetin välissä.  Palomuuri toteutetaan reitittimessä, se kontrolloi mistä IP-osoitteesta pääsee sisään ja mistä oman verkon koneesta pääsee ulos.  Varsinainen palomuuriohjelma tarkkailee jatkuvasti verkon liikennettä ja pyrkii havaitsemaan mahdolliset hakkerointiyritykset.

Sähköpostiviestien autentikointi ja salaus voidaan toteuttaa erilaisten ohjelmistojen avulla. Salakirjoituksella tarkoitetaan matemaattista menetelmää, jolla selväkielinen sanoma muutetaan sellaiseen muotoon, ettei ulkopuolinen sitä ymmärrä, eikä näin ollen pääse sitä lukemaan. Decryption on avain, jolla salakirjoitus puretaan luettavaan muotoon. Salakirjoitusmenetelminä on käytetty salaisen avaimen menetelmää sekä julkisen avaimen menetelmää. Salaisen avaimen menetelmässä samaa avainta käytetään sekä viestin salaamiseen että viestin purkamiseen. Julkisen avaimen menetelmässä viestin purkamiseen käytetään eri avainta kuin sen salaamiseen.  Avaimet ovat kuitenkin toisistaan riippuvaisia siinä mielessä, että tieto, joka on salattu yhdellä avaimella, voidaan purkaa vain siihen liittyvällä toisella avaimella. Salauksella on lukuisia käyttökohteita. Käyttäjätunnukset tallennetaan salatussa muodossa, sovellusten työtiedostot voidaan salata tallennuksen yhteydessä, sekä sähköpostiliikenne voidaan salata (organisaation tukihenkilöt eivät pääse lukemaan sähköposteja).  Nykyajan nopeat tietokoneet pääsevät purkamaan monia aiemmin luotettavina pidettyjä menetelmiä. Tämä aiheuttaa haasteen, että algoritmeja on kehitettävä koko ajan.

Pääteyhteydet voidaan suojata esim. SSH-protokollan avulla. Tietoliikenneturvallisuutta voidaan yleensä parantaa monien erilaisten ohjelmistojen ja laitteiden avulla.

6. Fyysinen turvallisuus

Fyysiseen turvallisuuteen liittyy kulunvalvonta, työasemien murtosuojaus ja turvamerkintä, palvelintilojen lukitseminen ja paloturvallisuus, varmuuskopioiden ja lisenssien turvallinen säilytys, hälytysjärjestelmät ja vartiointi sekä verkkokaapeloinnin ja laitekaappien suojaus ulkopuolisilta. Fyysinen turvallisuus on laaja-alaistaja näin ollen myös vaikeasti hallittavaa.  Fyysinen turvallisuus koostuu monesta eri osatekijästä, turvallisuuden perusta kuitenkin luodaan jo rakennusvaiheessa. Laitteistoturvallisuudesta puhuttaessa, sillä tarkoitetaan järjestelmässä olevia turvallisuusominaisuuksia, jotka on toteutettu tietokonelaitteistoa hyväksikäyttäen. Näin pyritään varmistamaan tietokonelaitteiden luotettava ja häiriötön toiminta. Ongelmia voivat aiheuttaa väärät käyttöolosuhteet, laitteistovirheet tai laitteiden virheellinen käyttö. Laitteistoturvallisuutta varmistaa säännöllinen huolto, huollon nopea saatavuus vika- ja ongelmatilanteissa sekä varaosien ja tarvikkeiden nopea saatavuus.

Edellä mainittujen uhkatekijöiden lisäksi tulee ottaa huomioon tärinän aiheuttamat vahingot, energiakatkokset ja jännitevaihtelut, pöly- ja kaasuvahingot ja erilaiset vahingonteot. Fyysiseen turvallisuuteen yhdistetään myös hajasäteily, sekä sähkömagneettisista pulsseista aiheutuvat laitevahingot, jotka molemmat ovat melko harvinaisia. Hajasäteilyä syntyy suojaamattomalta näyttöpäätteeltä, tieto voi joutua asiankuulumattomiin käsiin.  Hajasäteilyä voidaan estää hyvällä laitesuunnittelulla tai lisäämällä hajasäteilyä; asettamalla monia näyttöjä vierekkäin, jolloin oikean hajasäteilyn tunnistaminen vaikeutuu.  Hajasäteilyn avulla hankittu luvattomien tietojen varastaminen on kuitenkin melko harvinaista, koska se vaatii erikoislaitteita ja on suhteellisen kallista. EMP on erittäin voimakas sähkömagneettinen pulssi, joka syntyy esim. ydinräjähdyksen yhteydessä, pienemmässä mittakaavassa se voidaan havaita salamaniskussa. Nykyinen elektroniikka on hyvin altistunut tällaisille sähkömagneettisille pulsseille, suojaamattomat laitteet voivat tuhoutua.  Riskitekijöiltä on suojauduttu EMPsuojauksissa asentamalla tietoverkkoon ylijännitesuojia tai asentamalla laitteet suojattuun tilaan.  Suojattuina tiloina on käytetty nk. Faradayn häkkejä (teräksestä valmistettu huone tai häkki), jotka on sijoitettu kalliorakennelmiin.

Fyysiset tietoturvaratkaisut muodostavat perustan tietoturvalle, ilman niitä tekniset ja hallinnolliset tietoturvaratkaisut ovat tehottomia

Päivitetty:
29.10.2003 Helena Tirronen, helena.tirronen@tamk.fi