Tietojärjestelmän tietoturva

 Etusivu

Tietojärjestelmän tietoturva

Tietoturva on tärkeä osa tietotekniikkaa nykyaikana. Uhkia on erilaisia ja monenlaisia kun työskentelemme tietotekniikan alalla. Voimme kohdata mm. Huijausyrityksiä, hakkerointia, vakoilua, yksityisyyden loukkauksia, piratismia, viruksia ja jopa elektronista sodankäyntiä.
Eri tilanteista riippuen tietoja halutaan suojella. Suojattava tieto voi olla eri muodoissa kuten digitallenteissa, fyysisissä tallenteissa ja käyttäjien tietämyksessä. Tietoja pitää suojata myös niiden siirron aikana. Tietoturvallisuuteen liittyy myös tietojen luvaton käyttö, tiedon paljastuminen, sekoittaminen, muuntuminen, kopioituminen ja hävittäminen. Tietoturvaratkaisuissa pyritään seuraaviin osiin:

  • Saatavuus/käytettävyys (availability) Tieto pitäisi olla saatavilla tai käytettävissä kun sitä tarvitaan.

  • Luottamuksellisuus (confidentiality) Vain henkilöt, joilla on oikeus käsitellä tietoa, pääsevät siihen käsiksi.

  • Eheys (integrity) Tieto ei saa muuttua ilman lupaa hyökkäyksessäkään, ainakaan huomaamattomasti.

  • Kiistämättömyys: Tietoa ei voida muuttaa niin, että tekijä voisi kiistää teon.


Tiedon käsittelyssä tarvitaan keinoja selvittää, kuka käyttäjä on ja onko hänellä oikeudet tehdä toimenpide. Siksi tarvitaan seuraavia käsitteitä:

  • Pääsynvalvonta: (access control) Tällä selvitetään, kuka pääsee tekemään toimenpiteitä tietoihin ja kuka ei.

  • Tunnistus: (identification) Tiedon käyttäjät yhdistetään käyttäjätunnuksiin.

  • Todennus: (authentication) Tietojärjestelmän käyttäjät voidaan tunnistaa luvallisiksi käyttäjiksi.

  • Valtuutus: (authorisation) Käyttäjiä voidaan oikeuttaa tiedon hallintaan ilman tunnistusta joissakin tapauksissa.

Laitteiden fyysinen turvallisuus
Laitteiden fyysinen turvallisuus on suhteellisen laaja käsite ja siksi vaikeasti hallittavaa. Näiden pohja luodaan jo rakennusvaiheessa. Tähän liittyy mm. kulunvalvonta, murtosuojaus, lukitseminen, turvamerkinnät, paloturvallisuus ja hälytys/vartiointi. Yleensä kun puhutaan fyysisestä turvallisuudesta, tarkoitetaan turvallisuusominaisuuksia, jota hallitaan fyysisillä tietokonelaitteistoilla. Virhetilanteita tietoturvalle synnyttävät väärä käyttöympäristö, laitteistovirheet, huollon puute ja virheellinen käyttö. Fyysiset tietoturvaratkaisut ovat perusta tietoturvassa. Fyysiseen tietoturvaan sisältyy myös luonnonkatastrofien tai ympäristön haittavaikutuksien estämistä laitteistoihin.

Tietoliikenneturvallisuus
Tietoliikenneturvallisuus koostuu dataverkossa liikkuvasta tiedosta, joita suojataan eheyksellä, luottamuksellisuudella ja saatavuudella. Tällaiseen suojaamiseen on olemassa lukuisia keinoja ja tapoja. Nykyiset data-ympäristöt ovat riippuvaisia tietoliikenneyhteyksistä. Tietoliikenneturvallisuudella pyritään turvaamaan organisaatioiden tietoliikenteen jatkuvuus ja varmistaa välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys. Nykyään käytössä on erilaisia ja erityyppisiä dataverkkoja ja se tuo omat haasteet turvallisuuteen, varsinkin kun mukana on älypuhelimia ja tabletteja. Näiden suojaaminen on yhtä tärkeää kuin tietokoneidenkin. Tietoliikenneturvallisuuteen liittyy tietoliikennelaitteiden fyysinen turvaaminen, sanomien alkuperäisyyden varmistaminen ja lähettäjien sekä vastaanottajien todentaminen. Tietoturvatuotteita ovat esimerkiksi reitittimet, kytkimet ja palomuurit. Näiden avulla voidaan rakentaa eri verkkoja ja rajoittaa niissä liikkuva dataa sekä niiden käyttäjiä. Langattomat tekniikat tuovat omat haasteensa ja tietoturvariskit.

Langattoman tietoliikenteen tietoturva
Tiedon siirrosta puhuttaessa langaton tiedonsiirto on turvattomampaa kuin kiinteät tiedonsiirrot. Langatonta voidaan helpommin salakuunnella. Avoin verkko on kuin radioaaltojen kuuntelu. Kuka tahansa voi kuunnella sitä, jos on oikeat "taajuudet" ja tähän tarkoitukseen tehdyt laitteistot ja ohjelmat. Muut käyttäjät voivat saada selville esimerkiksi salasanoja tai käyttäjätunnuksia. Verkkorikollinen lukee dataliikennettä ja saa sen kirjoitettua omalle koneelleen. Puhelimien kautta käytetty mobiilidata on turvallisempaa kuin wifi-verkko. Turvallisuutta voidaan parantaa VPN-palveluilla, suojatuilla verkoilla ja käyttämällä tervettä järkeä. Käyttämällä https-alkuisia nettisivuja, tieto salataan palvelimen ja selaimen välillä.

Laitteistoturvallisuus
Laitteistoturvallisuudella tarkoitetaan kaikkien yrityksen laitteiden suojaamista. Suojaamisella pyritään estämään laitteiston väärinkäyttö, varastaminen ja vahingoittaminen. Tärkeimpiä laitteita ovat kannettavat koneet, palvelimet ja älypuhelimet. Myös omat käyttöpolitiikat antavat suojaa. Jos työpaikka tarjoaa tarvittavat laitteistot, ei omia laitteita tarvitse tuoda työpaikalle ja tällöin tietoturvallisuus paranee. Laitteiston sijoittaminen vaikuttaa siten, että fyysinen vahingoittaminen tai varkauksien aiheuttama riski pienenee. Laitteistoturvallisuuteen vaikuttavat tekijät ovat myös lukitukset ja pääsynvalvonta. Pääsynvalvonnalla voidaan estää ulkopuolisten pääsy tilaan, jossa laitteita on ja lukituksella laitteet voidaan liittää kiinteään esineeseen niin, että niitä ei voida siirtää. Usein yrityksessä laitteistot dokumentoidaan ja merkitään niin, että on tiedossa kenellä ja missä laitteet ovat. Näin tietoja ei joudu vääriin käsiin hukattujen laitteistojen kautta. Laitteistoturvallisuuteen liittyy myös tallennusmedian asianmukainen hävittäminen laitteen rikkoutumisen tai käytöstä poiston jälkeen.

Ohjelmistoturvallisuus
Ohjelmistoturvallisuuteen kuuluu ohjelmien ja lisenssien hallinta joita käytetään palvelimissa, mobiililaitteissa ja tietokoneissa. Lisenssien hallintaa ei liitetä useinkaan turvallisuuteen, mutta vaikka virustorjuntaohjelman käyttöoikeuden loppuminen voi aiheuttaa tietoturvaongelman. Myös henkilöstön kouluttaminen ja ohjelmien käyttöoikeuksien raajaaminen vahvistaa turvallisuutta. Näin tarpeettomilta tietojen leviämiseltä säästytään. Tärkeintä ohjelmistoturvallisuuden kannalta on rajoittaa ohjelmien ja järjestelmien luvaton käyttö. Sovelluksia voidaan rajoittaa salasanojen ja käyttäjätunnuksien lisäksi sijainnilla, esimerkiksi vain yrityksen tiloissa. Tietoturvan kannalta on myös olennaista, että käytetyt ohjelmat ovat laadukkaita, jottei niistä pysty ohittamaan helpolla todennusmekanismeja. Jos ohjelmiin ei tehdä korjauspaketteja, saattavat rikolliset hyödyntää näitä tietoturva-aukkoja hyväkseen. Hyvissä ohjelmissa on lokitiedostot, jotta ongelmatilanteissa nähdään käyttäjät ja ohjelman ongelmat.

Tietoaineistoturvallisuus
Tietoaineiston turvallisuus on tärkeimpiä aiheita kun puhutaan tietohallinnon tietoturvasta. Tähän liittyy tietojen käyttöoikeudet, varmuuskopiointi, palautus, turvallinen säilytys ja tuhoaminen. Sähköisen materiaalin lisäksi on myös paperisten dokumenttien käsittelyssä pohdittava näitä osa-alueita. Joskus niiden ajatellaan tarkoittavan samaa, vaikka ne ovat eri asioita. Yritykselle voi olla todella vahingollista, jos tiedot joutuvat vääriin käsiin. Yrityksen on suojattava tiedot siten, että vain työntekijät joiden on välttämätöntä työtehtäviensä kannalta päästä käyttämään tietoja, pääsevät niihin käsiksi. Henkilötietojen käsittelyssä tulevat myös lainsäädännöt esiin. Jos tietoja on ulkoisissa tallennusmedioissa, pitää ne suojata myös fyysisesti. Tietojen hävittämisessä on muistettava eri tallennusmedioitten toiminta. Joskus tiedot eivät häviä pelkästään ohjelmallisesti poistamalla.

Käyttöturvallisuus
Käyttöturvallisuudeksi lasketaan yrityksen normaaleja päivittäisten toimintojen ja rutiinien turvaamista. Tällä pitäisi parantaa turvallisuutta tietotekniikan käytössä, tietojen käsittelyssä ja ylläpidossa. Tähän osa-alueeseen kuuluu salasanojen hallinnointi ja järjestelmän valvonta. Myös käytettävien ohjelmien käyttäjien osaaminen on tärkeää. Käyttäjätunnukset on jaettava harkiten ja salasanat pitää olla vaikeasti arvattavia. Viruksilta suojaudutaan viruksentorjuntaohjelmilla. Laitteiden käyttövarmuutta lisätään erilaisten toipumissuunnitelmien avulla. Jos ilmaantuu yllättäviä tilanteita, toiminta saadaan jatkumaan mahdollisimman pian. Varmuuskopiot ovat ajan tasalla ja UPS-laitteet suojaavat sähköpiikeiltä.

  

Video
 
 

Aiheeseen liittyvät linkit

Tietoturva
 - Tietojesi turvaksi
 - E-learn tietoturvaa


 
 

Kysy neuvoa tai anna vinkki
 

Tiedotteet ja aikataulut

Tervetuloa kurssille
Tähän tulee ilmoituksia kurssista

 

Tehtävät ja palautus

Tehtäviä

1. Miten havaitset tietoturvallisuuden osien saatavuus, käytettävyys, luottamuksellisuus, eheys ja kiistattomuus käytännössä opiskelun aikana?

2. Etsi tietoa netistä ja selitä mitä seuraavat käsitteet tarkoittavat: Tietoturvaloukkaus, tietoturvariski, palvelunesto, tietoturva-aukko, tietojen kalastelu, tietomurto ja haavoittavuus.

3. Miten olet suojannut laitteistosi fyysisesti koulussa ja kotona? Miten voisit suojata niitä paremmin?

4. Mikä tehtävä palomuurilla on tietoliikenteessä ja turvallisuudessa? Miten voisit ottaa palomuurin käyttöön kotonasi?

5. Miten https-alkuisten nettisivujen turvallisuus toimii ja miten voit ottaa tämän käyttöösi omilla kotisivuillasi? Anna esimerkki suomalaisista sivustoista, joissa käytetään tätä turvallisuustoimintoa.

6. Mitä avoimissa wlan-verkoissa tulisi huomioida, jos haluat surffata turvallisesti?

 7. Miten voit estää omien tietokonelaitteiden varastamisen omassa elämässäsi?

8. Mikä turvallisuusriski liittyy tietokone/mobiiliohjelmiin, joita lataat ilmaiseksi netistä tai vertaisverkoista?

9. Miten suojaat omat koulutyösi, jottei koulukaverit pääse katsomaan tai kopioimaan niitä luvatta?

10. Kuinka moneen paikkaan sinulla on omat käyttäjätunnukset ja salasanat? Miten muistat kaikki nämä tunnukset?

Palauta vastaukset laatimalla OneDriveen kansio kurssin nimellä ja jakamalla se kurssin lopuksi opettajalle.