3. Tietoturvallisuus - mitä se on ?

3.1 Mitä tietoturvallisuudella tarkoitetaan?

Tietoturvallisuus on osa organisaation toiminnan laatua.

Tietoturvajärjestelyjen tarkoituksena on varmistaa tietoaineistojen, tietojärjestelmien ja palveluiden asianmukainen suojaus siten, että niiden luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvät riskit otetaan huomioon.
 
Käytännössä tämä merkitsee mm. sitä, että tiedot ja tietojärjestelmät pidetään vain niiden käyttöön oikeutettujen saatavilla. Sivullisille ei anneta mahdollisuutta käsitellä, muuttaa tai poistaa tietoja. Tietojen käsittelyyn oikeutetutkin saavat käyttää tietoja ja järjestelmiä vain asianmukaisesti työtehtävissään. Tietojen, järjestelmien ja palveluiden on oltava luotettavia, oikeita ja ajantasaisia. Ne eivät saa paljastua, muuttua tai tuhoutua hallitsemattomasti asiattoman toiminnan, haittaohjelmien, laitteisto- tai ohjelmistovikojen tai muiden vahinkojen, tapahtumien tai häiriötilanteiden vuoksi.
 
Tietojen, järjestelmien ja palveluiden on myös pysyttävä toiminnassa ja oltava saatavilla silloin kun niitä tarvitaan. Etenkin sähköisissä asiointipalveluissa tarve käyttää palveluita ympärivuorokautisesti ja paikasta riippumatta on lisääntynyt, kun virkamiesten ja kansalaisten käyttötavat ovat muuttuneet. Palveluiden täytyy kyetä tunnistamaan käyttäjät luotettavasti sekä tuottamaan tarvittavaa lokia, josta tapahtumat voidaan tarvittaessa jälkikäteen selvittää.

 

3.2 Miksi tietoturvallisuus on tärkeää?

Tietoturvatoimenpiteillä turvataan yksilön, yhteisön ja yhteiskunnan etuja. Siksi tietoturvallisuus on yhteiskunnan toimintojen, palvelujen, sovellusten ja tietoteknisen infrastruktuurin perusedellytys.

Yhteiskunnan toiminnot ovat suurelta osin riippuvaisia tietojen käsittelystä ja siirrosta. Verkottuneessa toimintaympäristössä harva organisaatio on enää vastuussa yksinomaan omasta tietoturvallisuudestaan.
Tietoturvallisuudesta huolehtiminen on jokaisen organisaatiossa työskentelevän velvollisuus. Suurimmat tietoturvallisuuden ongelmat liittyvät yleisesti kiireeseen, huolimattomuuteen, osaamattomuuteen sekä muihin tietojärjestelmien toteutuksen ja käytön laadullisiin tekijöihin.
 
Tietoturvallisuusonjuuriniin hyvä kuin sen heikoin lenkki. Tämä ei koske vain tekniikkaa, vaan myös jokapäiväiset toimintatapamme ja asenteemme vaikuttavat – vahvin lenkki on oikealla tavalla toimiva yksilö!
 
Puutteellinen tietoturvallisuus vaarantaa valtion, kansalaisten, yhteisöjen ja asiakkaiden etuja sekä aiheuttaa lisätyötä ja -kustannuksia. Tietoturvallisuutta kehittämällä parannetaan toimintojen luotettavuutta ja jatkuvuutta.
 

 

Mitä paremmin häiriötilanteiden hallinta on otettu huomioon organisaation toiminnassa, sitä nopeammin toiminta saadaan palautettua vakiotasolle ja tiedotettua häiriöstä asiakkaille.

 

3.3 Lainsäädäntö tietoturvallisuuden perustana

Julkishallinnossa käsitellään runsaasti sekä julkista että salassa pidettävää tietoa. Julkisuuslainsäädännön mukaan tieto on julkista, ellei se julkisuuslain tai muiden säädösten perusteella ole erikseen määrätty salassa pidettäväksi.

Suomen lainsäädännössä on paljon tietoturvavelvoitteita – toisin sanoen myös lainsäädäntö lähtee siitä, että tietoturvallisuus on hoidettava asianmukaisesti. Tietoturvallisuus perustuu viranomaisten toiminnan julkisuudesta annetun lain (621/1999) ja asetuksen (1030/1999) lisäksi useisiin muihin lakeihin.
 
Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) määrätään tietoaineistojen käsittelystä sekä perus-, korototetun ja korkean tietojenkäsittely-ympäristön toteuttamisesta. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Tietojen lainmukaisesta käsittelystä on aina huolehdittava.
 
Joitakin keskeisiä laeissa asetettuja tietoturvavelvoitteita ovat:
 
  • “Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä.” (Laki viranomaisten toiminnan julkisuudesta 18 §, Hyvä tiedonhallintatapa)
  • “Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.” (Henkilötietolaki 32 §, Tietojen suojaaminen)
  • ”Salassa pidettävät asiakirjat tai niihin sisältyvät tiedot voidaan luokitella sen mukaan, minkälaisia tietoturvallisuutta koskevia vaatimuksia niiden käsittelyssä on tarpeen noudattaa. Luokittelu voidaan suorittaa myös siten, että tietoturvallisuutta koskevat vaatimukset kohdistetaan vain sellaisiin asiakirjoihin tai sellaisiin asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen.” (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 8 §, Luokituksen perusteet)
Tietoturvallisuuteen keskeisesti liittyvien säädösten luettelo on listattu tämän ohjeen liitteessä 1.

 

3.4 Kyberturvallisuus keskittyy yhteiskunnan toimivuuden takaamiseen

Suomen kyberturvallisuusstrategia julkaistiin tammikuussa 2013. Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa sähköisessä muodossa olevaan tiedonkäsittelyyn tarkoitettuun, yhdestä tai useammasta tietojärjestelmästä koostuvaan, palveluun tai ICT-järjestelmään voidaan luottaa ja jossa sen toiminta turvataan (= kybertoimintaympäristö). Tämä edellyttää myös sitä, että tiedonkäsittelyyn liittyvät fyysiset rakenteet suojataan tarkoituksenmukaisesti.

Kyberturvallisuus keskittyy ensisijaisesti yhteiskunnan toimivuuden kannalta elintärkeiden toimintojen kokonaisvaltaiseen suojaamiseen (esimerkiksi sähkönjakelu, kriittisten tietoliikenneyhteyksien ylläpito), kun tietoturvallisuus keskittyy tietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseen.
Kyberturvallisuus käsittää yhteiskunnan elintärkeisiin toimintoihin ja kriittiseen infrastruktuuriin kohdistuvat toimenpiteet, joiden tavoitteena on hallita ennakoivasti ja tarvittaessa sietää kyberuhkia ja niiden vaikutuksia.
 
Kyberuhkien toteutuminen voi aiheuttaa merkittävää haittaa tai vaaraa Suomelle tai sen väestölle.
Kyberturvallisuuteen liittyy myös sotilaallista tiedustelu- ja vaikuttamiskykyä, joka tarkoittaa kyberpuolustuksen kehittämistä osana muun sotilaallisen voimankäytön kehittämistä. Tästä päävastuu on puolustusvoimilla.

 

Siinä missä tietoturvallisuus keskittyy tietoaineistojen suojaamiseen, kyberturvallisuus kattaa kaiken infrastruktuurin tuottamisessa tarvittavat osa-alueet. Pääpaino kyberturvallisuuden puolella on tietoverkkojen kautta tulevien uhkakuvien pienentämisessä ja torjumisessa. Lisätietoa löydät esimerkiksi yhteiskunnan turvallisuusstrategiasta ja Suomen kyberturvallisuusstrategiasta

3.5 Kohdistetut hyökkäykset

Viestintävirasto on tiedottanut kohdistetuista hyökkäyksistä 5.8.2011 Tietoturva nyt -artikkelissa seuraavaa:

”Kohdistettu hyökkäys on tiettyyn toimijaan tai toimijajoukkoon suunnattu kohteen erityispiirteet huomioiva tietoturvaloukkaus. Hyökkääjä valikoi kohteensa tarkasti tämän hallussa olevien tietoaineistojen tai muiden vastaavien seikkojen perusteella. Hyökkääjän motiivina voi olla esimerkiksi yritysten tai valtioiden arkaluontoisten tietojen varastaminen. Kohteiden valikoimisesta johtuen hyökkäyksestä voi aiheutua merkittäviä vahinkoja.

Kohdistettu hyökkäys käynnistyy usein lähettämällä kohteelle räätälöity sähköpostiviesti. Sähköpostissa on haitallista koodia sisältävä liitetiedosto tai linkki haittaohjelmaa levittävälle web-sivustolle. Jos käyttäjä avaa liitetiedoton tai seuraa linkkiä, voi haittaohjelma saastuttaa hänen koneensa. Asennuttuaan haittaohjelma ottaa yhteyden hyökkääjän ylläpitämään haittaohjelman ohjaamiseen käytettävään komentopalvelimeen. Tämän jälkeen hyökkääjällä on käytännössä suora tietoliikenneyhteys hyökkäyksen kohteena olevaan tietokoneeseen. Hyökkääjä voi kerätä tietoja kohteen tietokoneelta ja mahdollisesti laajentaa hyökkäystä kohteen sisäverkon muihin osiin. Joissain tapauksissa hyökkäyksiä on yritetty ulottaa julkisesta verkosta irrallisiin tietokoneisiin saastuttamalla tiedonsiirtoon käytettyjä USB-tikkuja.
 
Hyökkääjä pyrkii räätälöimään sähköpostiviestin sellaiseksi, että vastaanottaja pitää viestiä mahdollisimman luotettavana ja päivittäiseen toimintaan liittyvänä. Usein sähköpostin lähettäjätiedot on väärennetty siten, että viesti näyttäisi tulevan kohteen kollegalta tai muulta luotetulta osapuolelta. Joissakin hyökkäyksissä on myös hyödynnetty luotetuilta tahoilta kaapattuja sähköpostitilejä. Hyökkääjä voi myös yrittää huijata vastaanottaja avaamaan liite lähettämällä ensin vaarattoman tiedoston liitteenä ja heti perään ”korjatun”, esim. haittaohjelmaa sisältävän PDF-tiedoston.”
 
Miten kohdistetun hyökkäyksen voi välttää?
  • ole erityisen varovainen, jos saat vieraskielisen sähköpostiviestin, jonka mukana on liitetiedosto tai linkki ulkoiselle www-sivustolle, vaikka lähettäjä olisi hyvin tuntemasi henkilö, vaikka viestin asiasisältö vaikuttaa tai liitetiedoston nimi ja tyyppi vaikuttavat työtehtäviisi liittyviltä.
  • uusimmat kohdistetut hyökkäykset tapahtuvat suomenkielellä, joten ole huolellinen aina avatessasi organisaation ulkopuolelta saapuvia myös suomenkielisiä liitetiedostoja.
  • pyydä tarvittaessa organisaatiosi tietohallintoa tutkimaan saamasi epäilyttävä liitetiedosto ennen sen avaamista – noudata tässä organisaatiosi ohjeistusta.
 

 

 

 

 

 

 

 

 

3.6 Sosiaalinen media ja tietoturvallisuus

Sosiaalisen median verkkopalveluita (esimerkiksi Facebook, Twitter, LinkedIn) hyödynnetään aktiivisesti julkishallinnossa. Niihin osallistutaan joko organisaation nimissä, virkamiehen tai yksityishenkilön roolissa.

Sosiaalisen median palvelut sisältävät samanlaisia uhkia ja riskejä kuin muutkin perinteiset internetin kautta käytettävät palvelut, mutta erityisesti tietosuojaan, henkilön yksilöivään tietoon liittyvät asiat nousevat näissä palveluissa esille.

 

 Noudata seuraavia Sosiaalisen median tietoturvaohjeen (VAHTI 4/2010) ohjeita:

 

  1. Selvitä ja noudata organisaatiosi sosiaalisten medioiden käyttöpolitiikkaa.
  2. Jos epäilet, että olet joutunut huijatuksi tai muun hyökkäyksen kohteeksi, älä epäröi pyytää apua. Älä jätä tekemättä asiasta rikosilmoitusta, vaikka taloudellinen menetys saattaa osaltasi jäädä vaatimattomaksi.
  3. Jos mainitset sosiaalisen median palvelun henkilöprofiilissasi työnantajasi, esiinnyt tällöin organisaatiosi (epävirallisena) edustajana. Muista käyttäytyä sen mukaisesti!
  4. Varo syöttämästä liian henkilökohtaista tai yksityiskohtaista tietoa, valokuvia tai muuta materiaalia itsestäsi. Huomaa, että palvelun tarjoaja voi hyödyntää profiiliisi syöttämiäsi tietoja laajasti. Tutustu huolellisesti käyttämiesi palveluiden sopimusehtoihin.
  5. Tarkista käyttäjäprofiilin yksityisyyden suojaa koskevat asetukset ja muuta niitä tarvittaessa siten, että tietosi eivät leviä laajemmalle kuin haluamallesi käyttäjäjoukolle.
  6. Kunnioita perheesi ja ystäviesi suhtautumista sosiaalisiin medioihin. Vaikka olisit itse niistä innostunut, eivät kaikki sitä kuitenkaan ole. Jos kanssaihmisesi eivät halua sinun laittavan kuvia tai tietoa heistä sosiaaliseen mediaan, noudata heidän toiveitaan.
  7. Älä hyväksy tuntemattomia yhteydenottoyrityksiä verkostoosi äläkä napsauta vieraita, hämäräperäisiä linkkejä.
  8. Älä keskustele työasioista muissa kuin työtehtäviin hyväksytyissä sosiaalisissa medioissa. Ole erityisen huolellinen salassa pidettävän tiedon suhteen. Muista, että palvelun ylläpitäjät pääsevät teknisesti käsiksi kaikkeen palveluun talletettuun ja myös vain keskustelun osapuolten väliseksi tarkoitettuun tietoon.

 

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  

 

 Sosiaalinen media on ensisijaisesti tarkoitettu julkisten asioiden käsittelyyn ja keskusteluun.

 

 

Suvi Pietikäinen27.11.2013 / 13:08:39
Tulosta