Mitä on tietoturva? Osa I: määritelmiä ja pohdintaa

tietoturva

Mitä tietoturva tarkoittaa? Puhuako tietoturvasta vai kyberturvasta? Entä mitä on tietosuoja? Vastaavanlaisia kysymyksiä tulee usein vastaan, ja jopa alan ammattilaisen täytyy hetki miettiä miten vastata kysymykseen. Tässä kirjoituksessa pyritään vastaamaan noihin kysymyksiin sekä pohtimaan käsitteiden välisiä yhtäläisyyksiä ja sitä, miltä osin ne eroavat toisistaan.

Perinteinen tietoturva määritelmä

Luultavasti yleisimmin käytetty määritelmä tietoturvalle tarkoittaa tiedon luottamuksellisuuden, eheyden ja saatavuuden varmistamista ja ylläpitoa. Tätä määritelmää sanotaan myös CIA:ksi (englannin sanoista confidentiality, integrity and availability). (Andress 2011). Seuraavaksi määrittelemme tarkemmin nämä osa-alueet mukaillen Andressin teosta The Basics of Information Security (2011).

Luottamuksellisuus

Luottamuksellisuus on lyhyesti määriteltynä kyky pitää tieto niiden ulottumattomissa joille se ei kuulu. Luottamuksellisuus ei tarkoita samaa kuin yksityisyys, mutta on olennainen osa yksityisyyttä. Esimerkiksi pankkitiedot ovat luottamuksellisia, mutta harvoin täysin yksityisiä, sillä tiedot ovat pankin asiakkaan lisäksi pankin ja viranomaisten saatavissa. Tieto pysyy kuitenkin luottamuksellisena, mikäli tiedot ovat vain asiakkaan ja näiden tahojen saatavissa. Numeroitu tallelokero Sveitsissä sen sijaan on esimerkki pankkitilistä joka on sekä luottamuksellinen että yksityinen.

Eheys

Eheys tarkoittaa kykyä estää hyväksymättömät tai ei halutut muutokset dataan. Tämä sisältää sekä hyväksymättömän datan muuttamisen ja poiston (esimerkiksi hakkerin toiminta) tai hyväksytyn, mutta ei halutun datan muuttamisen ja poiston (esimerkiksi IT-henkilökunnan inhimillinen virhe). Eheyden varmistaminen vaatii siten sekä kyvyn estää hyväksymättömät poistot ja muutokset dataan että palauttaa data myös niissä tilanteissa, joissa muutos tai poisto on ollut hyväksytty.

Saatavuus

Saatavuus tarkoittaa pääsyä dataan silloin kun sitä tarvitaan. Saatavuuden katkeaminen voi tapahtua monesta syystä, tässä muutamia esimerkkejä: palvelimet ovat alhaalla huollon tai vian vuoksi, yhteydet internetiin ovat katkenneet, verkkosivut eivät toimi palvelunestohyökkäyksen takia tai kiristyshaittaohjelma on salannut työasemien tiedot.

Pohdintaa ja tietoturva määritelmän täydentämistä

CIA-jaottelu on yleisimmin käytetty tapa määritellä tietoturva. Sen avulla on helppo määritellä useita tietoturvaan liittyviä tilanteita, ja se on melko yleisessä tiedossa. CIA-jaottelua voi käyttää myös käänteisesti: luottamuksellisen datan paljastuminen, ei-hyväksytyt sekä ei-halutut muutokset ja saatavuuden estäminen ovat epäonnistunutta tietoturvaa (englanniksi DAD, disclosure, alteration, denial).

Kuitenkin monimutkaisempien tilanteiden käsittely voi jäädä puutteelliseksi pelkällä CIA-jaottelulla. Määritelmää voidaan täydentää Donn Parkerin (1998) mallilla lisäämällä aiempiin kolmeen käsitteeseen hallussapito (tai hallinta), autenttisuus ja hyödyllisyys.

Hallussapito

Hallussapito tai hallinta liittyy datan fyysiseen sijaintiin. Esimerkiksi salatun tietokoneen sisältämän datan luottamuksellisuus ei välttämättä vaarannu mikäli tietokone katoaa. Datan hallinta on kuitenkin menetetty, kuten myös saatavuus.

Autenttisuus

Autenttisuus tarkoittaa sitä, että data voidaan luotettavasti yhdistää sen luojaan. Sähköpostin lähettäjän varmentaminen on esimerkki tilanteesta, jossa halutaan varmistua datan autenttisuudesta. Toimitusjohtajahuijaukset perustuvat autenttisuuden vääristelyyn. Digitaaliset allekirjoitukset on yksi tavoista joilla datan autenttisuuden voi pyrkiä varmentamaan.

Hyödyllisyys

Hyödyllisyys viittaa siihen, miten käyttökelpoista data on. Esimerkiksi hyökkääjän varastama salattu data ei luultavasti ole hyökkääjälle hyödyllistä mikäli tämä ei kykene murtamaan sen salausta. Sen sijaan salaamattomana tämä data on erittäin hyödyllistä. 

Yhteenveto

Yllä olevien määritelmien perusteella voidaan todeta, että tietoturva on erittäin laaja käsite ja hyvään tietoturvaan vaaditaan monien eri ulottuvuuksien hallintaa. Useimmat näistä ulottuvuuksista voidaan tiivistää seuraaviin kysymyksiin: missä data sijaitsee, keillä siihen on pääsy milläkin hetkellä ja kuuluuko heillä olla pääsy kyseiseen dataan. Lisäksi tulee olla ymmärrys datan eheydestä ja autenttisuudesta.

Kyberturva

Tietoturvan määrittelyn jälkeen voidaan määritellä kyberturva. Tämä kirjoitus lähtee siitä, että kyberturvallisuus on osa tietoturvaa. Craigen ym. (2014) artikkelissa Defining Cybersecurity on listattu yhdeksän eri määritelmää kyberturvallisuudelle. Mielestämme näistä kaksi on erityisesti noston arvoisia:

“Teknologiat, prosessit, käytännöt, vasta- ja vähentämistoimet jotka on suunniteltu suojaamaan verkkoja, tietokoneita, ohjelmistoja ja dataa hyökkäykseltä, vahingolta ja luvattomalta pääsyltä luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi”

Public Safety Canada, 2014

“Aktiviteetti tai prosessi, kyky tai asiaintila jossa tieto- ja kommunikaatiojärjestelmiä ja niissä olevaa tietoa tietoa suojataan ja / tai puolustetaan vahinkoa, luvatonta käyttöä tai muokkausta, tai hyödyntämistä vastaan”

Department of Homeland Security, 2014

Määritelmistä huomaamme, että ne menevät erittäin hyvin yksiin tietoturvan määritelmien kanssa. Molemmissa korostetaan verkkojen, tietokoneiden, järjestelmien ja sähköisen datan tietoturvan suojaamista. Eroa on myös määritelmän tasossa: tietoturva on pitkälti konsepti ja yläkäsite, kun taas kyberturva käsitteenä korostaa enemmän prosesseja, teknologiaa ja aktiivisia toimia.

Tietosuoja

Tietosuojan määrittelyssä lainaamme tietosuojavaltuutetun toimiston (2019) määritelmiä tietosuojasta ja sen eroista ja yhtäläisyyksistä tietoturvaan:

“Tietosuoja on perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuojan tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä”

“Tietoturva on yksi tietosuojan toteuttamisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa organisatorisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen”

Näistä määritelmistä voimme huomata, että tietosuoja on tässä kontekstissa erityisesti henkilötietoja koskevaa tieto- ja kyberturvan toteuttamista lainmukaisella tavalla. Täytyy kuitenkin huomioida, että tietosuoja on erillinen ja osin laajempi käsite kuin pelkkä tietoturva: henkilötietoja voidaan käsitellä tietoturvallisesti, mutta se ei vielä takaa että noudatetaan tietosuojalainsäädäntöä. Tietosuojalainsäädäntö tarkentuu jatkuvasti: GDPR ja muut säädökset pakottavat lähes kaikki organisaatiot huomioimaan myös tietosuojan entistä tarkemmin osana tieto- ja kyberturvallisuuden parantamista ja varmistamista.

Yhteenveto

Tietoturva, kyberturva ja tietosuoja ovat läheisiä käsitteitä toisilleen. Kaikki liittyvät tiedon suojaamiseen jotta luottamuksellisuus, eheys ja saatavuus säilyvät lakien ja säädösten mukaisesti. Tietoturvaa voidaan pitää yläkäsitteenä joka määrittelee sen, mitä ominaisuuksia turvatulla tiedolla on. Kyberturva on pitkälti sama asia, mutta keskittyy sähköisiin järjestelmiin sekä tarkemmin prosesseihin, teknologioihin ja käytäntöihin. Tietosuoja sen sijaan on henkilötietojen käyttöön ja niihin liittyviin yksilön oikeuksiin ja lainsäädäntöön liittyvä käsite.

Toivomme, että tämä määrittely auttaa lukijaa hahmottamaan paremmin tietoturvaa, kyberturvaa ja tietosuojaa käsitteenä, ja antaa keinoja pohtia erilaisia tietoturvan ja kyberturvan tilanteita sekä tietosuojaa. 

Kirjoitussarjan seuraavissa osissa paneudumme riskien, haavoittuvuuksien ja uhkien määrittelyyn sekä erilaisiin hyökkäyksiin jotka uhkaavat organisaatioiden tieto- ja kyberturvaa.

Lähteet

Andress, Jason (2011). The Basics of Information Security, 1-16

Craigen, D., Diakun-Thibault, N., & Purse, R. (2014). Defining cybersecurity. Technology Innovation Management Review, 4(10), 13-21

DHS. 2014. A Glossary of Common Cybersecurity Terminology. National Initiative for Cybersecurity Careers and Studies: Department of Homeland Security. October 1, 2014: http://niccs.us-cert.gov/glossary#letter_c

Parker, Donn (1998). Fighting Computer Crime: A New Framework for Protecting Information,

Public Safety Canada. (2014) .Terminology Bulletin 281: Emergency Management Vocabulary. Ottawa: Translation Bureau, Government of Canada: http://www.bt-tb.tpsgc-pwgsc.gc.ca/publications/documents/urgence-emergency.pdf

Tietosuojavaltuutetun toimisto (2019). Tietosuoja, https://tietosuoja.fi/tietosuoja


Kategoria NäkökulmaTagged