Avoin toiminta

Tietoturva

Tietoturva on digitaalisen aikakauden kulmakivi, sillä sen avulla voidaan yritysten ja yksilöiden toimintaa verkossa suojata väärinkäytöksiltä ja hyökkäyksiltä. Se kattaa useita toimia ja tasoja, jotka on syytä ottaa huomioon.

Erilaiset tietoturvaan liittyvät riskit voivat liittyä sovellusten ja pilvipalveluiden turvallisuuteen. Samoin käyttäjien pääsyn hallinta on tärkeässä roolissa, jotta haitalliset toimijat eivät pääse tunkeutumaan järjestelmiin.

Tietoturvallisuuden hallinta vaatii jatkuvaa valppautta ja mukautumista uusiin uhkiin. Jokainen organisaatio koosta riippumatta kohtaa päivittäin lukuisia uhkia, joiden torjumiseksi on onneksi olemassa useita strategioita ja käytäntöjä. Esimerkiksi vahvat salasanat, monivaiheinen tunnistautuminen ja säännölliset tietoturvakoulutukset ovat keskeisiä keinoja parantaa tietoturvaa.

Mitä tietoturva tarkoittaa?

Tietoturva on laaja käsite, joka käytännössä kuvaa mitä tahansa ennaltaehkäisevää toimenpidettä, jonka tavoitteena on suojata tietoja niiden varastamiselta tai niihin kohdistuvilta hyökkäyksiltä.

Digitaalisella tietoturvallisuudella on kolme tärkeää tavoitetta: luottamuksellisuus, eheys ja saatavuus. Tämä pätee seuraaviin tasoihin:

  1. Sovellusturvallisuus – ohjelmiston ominaisuudet tai toiminnot, jotka on oltava riittävän turvallisia loppukäyttäjille
  2. Verkkoturvallisuus – kaikki ne kriteerit ja toimenpiteet, joita käytetään verkon valvontaan ja suojaamiseen.
  3. Salaus – avoimen tiedon muuttaminen salatuksi siten, ettei dataa voi tarkastella ulkopuoliset toimijat
  4. Pilviturvallisuus – ne käytännöt ja menettelyt, jotka on suunniteltu minimoimaan haavoittuvuudet jaetuissa infrastruktuureissa
  5. Infrastruktuuriturvallisuus – toiminnot, jotka on suunniteltu turvaamaan fyysiset ja virtuaaliset järjestelmät, joiden toimintakyvyttömyys tai tuhoaminen aiheuttaisi vakavia ongelmia organisaation toiminnalle
  6. Henkilöllisyyden ja pääsyn hallinta – ne prosessit, käytännöt ja työkalut, joilla voidaan hallita käyttäjien pääsyä eri palveluihin

Tietoturvallisuudesta saatetaan puhua myös tietotekniikan yleisenä turvallisuutena, digitaalisena turvallisuutena tai kyberturvallisuutena.

Tietoturva – vinkit ja parhaat käytännöt

Tietoturva on käytännössä yhtä vahvaa kuin sen heikoin lenkki. Tämän takia jokaisen käyttäjän on tutustuttava tietoturvan tärkeimpiin periaatteisiin.

On syytä huomata, että yleensä verkkorikolliset jahtaavat niin sanottuja helppoja kohteita. Jos oman tietoturvan pitää riittävän korkealla tasolla, todennäköisyys joutua verkkohyökkäyksen uhriksi laskee nopeasti.

Parhaisiin tietoturvakäytäntöihin kuuluu muun muassa seuraavat asiat:

  • Päivitä virusohjelmisto säännöllisesti.
  • Käytä antivirus-ohjelmistoa ja aseta siihen automaattiset päivitykset
  • Turvaa verkkosi asianmukaisella tavalla
  • Suojaa internet-yhteydet käyttämällä palomuuria ja salausta, kuten VPN-yhteyttä. Varmista, että verkon reitittimen pääsy on salasanalla suojattu ja ettei langaton yhteyspiste lähetä verkon nimeä datansiirron yhteydessä
  • Käytä vahvoja salasanoja

Vahvojen salasanojen käyttö on erittäin tärkeää, sillä niiden avulla on helppo ehkäistä monia hyökkäyksiä. Käytä aina eri salasanoja eri palveluissa, jolloin nostat omaa tietoturvaa huomattavasti.

Vahvassa salasanassa on:

  • 10 merkkiä tai enemmän
  • Ainakin yksi iso kirjain
  • Ainakin yksi pieni kirjain
  • Ainakin yksi numero
  • Ainakin yksi erikoismerkki

Käytä monivaiheista tunnistautumista

Vaadi monivaiheista tunnistautumista (MFA) verkkoon pääsyssä ja arkaluonteisen tiedon, käsittelyssä. Sen avulla oman tietoturvan voi nostaa uudelle tasolle, koska kirjautumisen yhteydessä käyttäjän tulee varmistaa oma henkilöllisyys esimerkiksi älypuhelimen avulla.

Monivaiheiseen tunnistautumiseen hyviä sovelluksia on esimerkiksi Google Authenticator.

Käytä salausta

Käytä salausalgoritmeja tietojen siirtämiseen turvallisesti. Niiden käyttäminen on tärkeää varsinkin silloin, jos haluaa suojata arkaluonteisia tietoja.

Tietoja voi salata monella eri tapaa. Käyttäjä voi kryptata kovalevyllä olevat tietonsa, mikäli niin haluaa. Lisäksi internetissä liikkuvaa dataa voi salata VPN:n teknologian avulla.

Varmuuskopioi tiedot säännöllisesti

Aseta varmuuskopiointi päälle automaattisesti esimerkiksi erilaisten pilvipalveluiden avulla. Samoin muista säilyttää varmuuskopioita jossain muualla kuin siellä, missä tietokoneesi fyysisesti sijaitsee.

Hyviä pilvipalveluita varmuuskopioiden ottamiseen ovat esimerkiksi Google Drive ja OneDrive.

Käytä turvallista maksuliikennettä

Mikäli siirrät rahaa netin kautta, silloin kannattaa harkita niihin liittyvien järjestelmien eristämistä vähemmän turvallisista ohjelmista tai muista tietokoneista. Tällöin voi olla järkevää hankkia täysin erillinen tietokone maksuliikennettä varten, jolla ei muita toimintoja tehdä. Näin voi tehokkaasti suojella talouteen liittyviä järjestelmiä ulkopuolisilta uhilta.

Hallitse fyysistä pääsyä laitteistoon

Kannettavat tietokoneet ovat aina alttiita hyökkäyksille varsinkin silloin, jos niitä ei valvota asianmukaisella tavalla. Tämän takia on syytä varmistaa, että laitteisto on vahvoilla salasanoilla suojattu, jolloin niiden murtaminen on huomattavasti vaikeampaa.

Samoin yrityksessä voi määrittää erilaisia käytäntöjä siihen, miten kannettavista tietokoneista tulee pitää huolta esimerkiksi matkustaessa.

Techopedia selittää tietoturvallisuuden

Verkosta voi löytää paljon erilaisia sivustoja, jotka tarjoavat ohjeita siihen, miten tietoturva-alan ammattilaiset suosittelevat kehittämään yritykselle hyvän tietoturvan. Esimerkiksi Yhdysvalloissa sisäisestä turvallisuudesta vastaava ministeriö järjestää lokakuussa National Cyber Security Awareness Month -kampanjan.

Samaisella sivustolla voi tehdä myös ilmoituksia mahdollisista kyberhyökkäyksistä.

Joka päivä yritykset kaikilta toimialoilta torjuvat tuhansia verkkohyökkäyksiä. Osa näistä hyökkäyksistä on yksinkertaisia ja osa monimutkaisempia. Lisäksi niiden kestot vaihtelevat muutamasta tunnista useisiin päiviin.

Kun tietoteknologia integroituu yhä enemmän arki- ja työelämään, kasvaa riski laajamittaisille tai suurta haittaa aiheuttaville hyökkäyksille, jotka saattavat pahimmillaan vahingoittaa tai keskeyttää yritysten liiketoiminnan ja aiheuttaa mittavia vahinkoja.

Myös politiikkaan liittyvät kybersodat ja niiden riskit kasvavat jatkuvasti. Siksi niiden takia on yhä tärkeämpää vahvistaa omaa tietoturvaansa myös tulevaisuudessa.

Tietoturvallisuuden suurimmat haasteet

Organisaatioiden voi olla vaikeaa luoda ja ylläpitää kattavaa tietoturvaan liittyvää strategiaa. Vuonna 2022 kyberhyökkäysten määrä on kasvanut asteittain ja on hyvin todennäköistä, että ne jatkavat kasvuaan pitkälle tulevaisuuteen.

Varsinkin kolme asiaa tekevät tietoturvan riittävän suojaamisen vaikeaksi:

  1. Haitalliset toimijat voivat käyttää internetiä hyökkäyksiin manuaalisesti tai monia toimintoja automatisoiden. Hyökkäykset voivat kohdistua mihin maantieteelliseen alueeseen vain ja ne voidaan suorittaa mistä tahansa.
  2. Internet of Things -teknologian kasvaessa fyysiset järjestelmät ovat yhä useammin myös älykkäitä laitteita, jotka käyttävät internetiä tiedon vaihtoon.
  3. Hajautettu laskenta on lisännyt mahdollisten hyökkäykseen soveltuvien kohteiden määrää, mikä tekee tietomurtojen jäljittämisestä yhä vaikeampaa.

Tietoturvallisuuden hyökkäystyypit esittelyssä

Verkkohyökkäyksiä on monenlaisia ja ne perustuvat kukin omanlaiseen mekaniikkaan varastaa arkaluontoisia tietoja. Jokaisen lukijan kannattaa opetella niitä ulkoa, sillä silloin oppii paremmin havaitsemaan, mikäli itse joutuu hyökkäyksen uhriksi.

Suosittuja verkkohyökkäystyyppejä ovat esimerkiksi:

  • Phishing – hyökkääjä lähettää sähköpostin, joka näyttää tulevan luotettavasta lähteestä ja pyytää uhria antamaan arkaluontoisia tietoja. Näitä tietoja voidaan sen jälkeen käyttää identiteettivarkauksiin tai käyttöoikeuksien saamiseen.
  • DoS ja DDoS – hyökkääjä kohdistaa uhrin tietojärjestelmään niin paljon pyyntöjä, että palvelimet eivät enää pysty vastaamaan niihin. Tämän seurauksena palvelimet kaatuvat, jolloin niiden tarjoamia palveluita ei voi käyttää.
  • Ransomware – hyökkääjä käyttää salausta tekemään jonkin resurssin käyttökelvottomaksi ja vaatii sen jälkeen maksua sen palauttamiseksi
  • Väärin konfiguroitu laitteistoväärin asennettu laitteisto tai ohjelmisto on yksi vaarallisimmista haavoittuvuuksista, koska esimerkiksi väärin konfiguroidut palvelimet mahdollistavat luvattoman pääsyn verkkopalveluihin
  • Päivittämättä jätetty laiteohjelmisto – päivitykset on koodia, joka lisätään ohjelmaan jonkin virheen korjaamiseksi tai ominaisuuksien parantamiseksi. Hyökkäykset päivittämättömiin haavoittuvuuksiin ovat keskeyttäneet monia palveluita ja aiheuttaneet miljardien dollareiden vahinkoja.
  • Heikot kirjautumistiedot – hyökkääjät käyttävät yhä enemmän koneoppimista ja tekoälyä hyväkseen hyödyntääkseen kirjautumiseen liittyviä murtoja. Tämän takia monivaiheinen tunnistautuminen ja vahvat salasanat ovat tärkeitä.
  • Heikko salausavainten hallinta – kun salausta käytetään kyberturvallisuuden parantamiseen, kryptografisten avainten hallinta on erittäin kriittistä. Tämä pätee erityisesti suuriin yrityksiin, jotka käyttävät lokaaleja ja -pilvipalveluita.
  • Sisäpiirin uhkat – toisinaan suurimmat uhat saattavat tulla yrityksen sisäpiiristä, jolloin jokin työntekijöistä aiheuttaa ongelmia yritykselle
  • Toimitusketjuun liittyvät hyökkäyksetnäissä hyökkäyksissä hyökkääjä onnistuu murtautumaan ohjelmistotoimittajan verkkoon ja pystyy lisäämään ohjelmistoon haitallista koodia

Tietoturvallisuuden hallinta

Tietoturvallisuuden ennaltaehkäiseviä toimenpiteitä voidaan toteuttaa henkilökohtaisella, yritys- tai hallinnollisella tasolla. Monet yritykset nimittävät tietoturvajohtajaa valvomaan instituution kyberturvallisuutta.

Tyypillisesti tietoturvajohtaja on henkilö, joka vastaa tietoturvaan liittyvien riskien arvioinnista ja on velvoitettu ylläpitämään organisaation suunnitelmaa potentiaalisten tietoturvauhkien estämiseksi.

Hänen toimintaansa kuuluu esimerkiksi seuraavanlaisten asioiden huomioon ottaminen:

  • Käyttää erilaisia strategioita turvallisuuden priorisoimiseen
  • Tukemalla tietoturvaan liittyvää toimintasuunnitelmaa, jonka avulla voidaan ehkäistä tunnettujen hyökkäystyyppien aiheuttamia vahinkoja
  • Perustamalla parhaita käytäntöjä tunkeutumisten havaitsemiseksi
  • Dokumentoimalla ja jakamalla sisäisiä protokollia ja menettelytapoja verkkohyökkäyksiä varten

Tietoturvan hallintatyökalut

Tietoturvaan keskittynyttä IT-tukea — olipa kyseessä työntekijä tai ulkopuolinen konsultti — ei voi kovinkaan helposti korvata. Rajallisilla resursseilla varustetut yritykset voivat silti parantaa kyberturvallisuuttaan käyttämällä tarkoin valittuja palveluita.

Esimerkiksi Yhdysvalloissa myös valtio tarjoaa monenlaisia työkaluja yritysten paremman tietoturvan turvaamiseksi. Ne ovat ilmaisia ja sisältävät esimerkiksi seuraavanlaisia työkaluja:

FCC-suunnittelutyökalu

Liittovaltion viestintäkomissio (FCC) tarjoaa kyberturvallisuuden suunnittelutyökalun, joka on suunniteltu auttamaan organisaatioita rakentamaan turvallisuusstrategiansa omien ainutlaatuisten liiketoimintatarpeidensa mukaisesti.

Kyberkestävyyden arviointi

Sisäisen turvallisuuden ministeriön (DHS) kyberkestävyyden arviointi (CRR) on ei-tekninen arviointi toiminnallisen kestävyyden ja kyberturvallisuuskäytäntöjen arvioimiseksi. Arvioinnin voi suorittaa talon sisällä, mutta organisaatiot voivat myös pyytää DHS:n kyberturvallisuusammattilaisten toteuttamaa arviointia.

Haavoittuvuuksien skannaaminen

Sisäisen turvallisuuden ministeriön verkkosivusto tarjoaa kyberhygienian haavoittuvuusskannausta pienyrityksille. Tämä ilmainen palvelu on suunniteltu auttamaan pienyrityksiä suojaamaan internetiin yhteydessä olevat järjestelmänsä tunnetuilta haavoittuvuuksilta.

Toimitusketjun riskienhallinta

DHS:n toimitusketjun riskienhallintatyökalu on suunniteltu lisäämään tietoisuutta ja vähentämään hyökkäyksen vaikutusta organisaation toimitusketjuun liittyen.

Kyberturvallisuuskoulutus

Työntekijöiden sosiaalisen manipuloinnin, haittaohjelmien ja phishing-sähköpostien käyttö on suosittu taktiikka tietomurroissa, koska niiden avulla hyökkääjä voi saada suoran pääsyn organisaation digitaalisiin varoihin.

Työntekijöiden kouluttaminen perusinternet-hygieniasta voi vähentää kyberhyökkäyksen riskiä. Sisäisen turvallisuuden ministeriön “Stop.Think.Connect” -kampanja tarjoaa koulutusta ja muita materiaaleja.

Koulutusaiheita ovat:

  • Suositut sosiaalisen manipuloinnin hyökkäysvektorit
  • Miten tunnistaa phishing-sähköposti
  • Miten luoda vahvoja salasanoja
  • Mitä tehdä epäilyttävän latauksen kanssa
  • Varmuuskopioiden tärkeys
  • Milloin ja miten hyvä on käyttää julkista Wi-Fiä tai irrotettavaa tallennusmediaa
  • Milloin ilmoittaa kyberrikoksesta Internet Crime Complaint Centerille

Tietoturva auditoinnin tärkeys

On tärkeää suorittaa tietoturvaan liittyviä tarkastuksia säännöllisesti varmistaakseen sen, että turvallisuusjärjestelmät, -käytännöt ja -menettelyt ovat riittävän tehokkaita. Ammattitaidolla tehty auditointi tarjoaa kattavan arvioinnin organisaation turvallisuudesta ja edistää sen jatkuvaa kehitystä.

Auditointeihin sisältyy usein erilaisia testejä, kuten:

  • Erilaisia tarkistuksia vahvistaakseen, että tarvittavia turvallisuusmenettelyjä noudatetaan eikä niitä ole helppo ohittaa
  • Aiempien hyökkäysten tutkiminen siten, että tulevat mahdolliset hyökkäykset onnistutaan torjumaan
  • Uudentyyppisten uhkien arviointi
  • Pääsy-oikeuksien tarkastelu

Tietoturvakehyksen rooli kyberturvallisuudessa

Tietoturvallisuuskehys on joukko standardeja, ohjeita ja parhaita käytäntöjä digitaalisten riskien hallintaan. Kehykset yhdistävät tyypillisesti tiettyjä turvallisuustavoitteita, jotka on ennalta määritettyjä.

Jos tavoitteena on esimerkiksi estää luvaton pääsy järjestelmiin, siihen vaaditaan yleensä käyttäjänimi ja salasana tai biometrinen tunnistautuminen. Turvallisuuskehyksien avulla kaikki vaadittavat toimenpiteet voidaan luokitella ja määritellä tarkasti, minkä lisäksi ne auttavat tietoturvan ylläpitämisessä.

Kehykset pyrkivät viime kädessä:

  • Arvioimaan nykyistä turvallisuuden tasoa
  • Luomaan turvallisuuteen liittyviä parhaita käytäntöjä
  • Priorisoimaan kontrollien käytännön toteutuksen
  • Panemaan turvallisuuskontrollit täytäntöön
  • Arvioimaan nykyisten turvallisuusaloitteiden tehokkuutta
  • Yksinkertaistamaan viestintää tietoturvatiimin ja liikkeenjohdon välillä

Nykyään suosittuja käytössä olevia turvallisuusaloitteita ovat muun muassa:

Tietoturva – turvallisuussertifikaatit

Tietoturvallisuussertifikaatit ovat arvokkaita työkaluja kaikille niille, jotka haluavat työskennellä kyberturvallisuuden parissa. Sertifikaatit tarjoavat hyvän lähtökohdan valmistuneille ja IT-ammattilaisille, jotka haluavat edetä urallaan.

Suosittuja turvallisuussertifikaatteja nykypäivänä ovat:

  • Advanced Security Practitioner
  • Certified Authorization Professional (CAP)
  • Certified Cloud Security Professional (CCSP)
  • Certified Cyber Forensics Professional (CCFP)
  • Certified Ethical Hacker (CEH)
  • Certified Expert Penetration Tester (CEPT)
  • Certified Incident Handler (CIH)
  • Certified Information Security Manager (CISM)
  • Certified Information System Auditor (CISA)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Internal Auditor (CIA)
  • Certified Penetration Tester (CPT)
  • Certified in Risk and Information Systems Control (CRISC)
  • Certified Secure Software Lifecycle Professional (CSSLP)
  • Certified Security Analyst (CSA)
  • Certified Security Testing Associate (CSTA)
  • Certified Virtualization Professional (CVP)
  • CompTIA Security+
  • CyberSec First Responder (CFR)
  • DOD Information Technology Security Certification and Accreditation (DITSCAP)
  • GIAC Security Essentials (GSEC)
  • HealthCare Information Security and Privacy Practitioner (HCISPP)
  • Information System Security Engineering Professional (ISSEP)
  • Master Mobile Application Developer (MMAD)
  • Network+
  • Offensive Security Certified Professional (OSCP)
  • Security Essentials Certification (SEC)
  • Security+
  • Server+
  • Systems Security Certified Practitioner (SSCP)

Tietoturvallisuuden ammattinimikkeet

Cyber Seekin mukaan Yhdysvaltain kauppaministeriön teknologia-alan työpaikkoja listaavan tietokannan mukaan maassa on tällä hetkellä yli 500 000 avointa työpaikkaa tietoturvaan liittyen.

Suosittuja työnimikkeitä ovat:

  • Liiketoiminnan jatkuvuusanalyytikko
  • Tietoturvan päällikkö (CISO)
  • Tietokoneforensiikan analyytikko
  • Kryptografi
  • Tietojen palautusasiantuntija
  • Tietoturvan johtaja
  • Tietoturvatakuuanalyytikko
  • Tietoturvatakuuinsinööri
  • Tietoturva-analyytikko
  • Tietoturvainsinööri
  • Tietoturva-asiantuntija
  • Murtautumisanalyytikko
  • Haittaohjelma-analyytikko
  • Verkkojen turvainsinööri
  • Penetraatiotestausasiantuntija
  • Tietoturvarakenteiden arkkitehti
  • Tietoturvatietoisuuskoulutuksen asiantuntija
  • Tietoturvainsinööri
  • Tietoturvahäiriövasteinsinööri
  • Tietoturvatutkija
  • Uhka-analyytikko

Samankaltaiset termit

Margaret Rouse
Teknologia-asiantuntija

Margaret Rouse on palkittu teknologiatoimittaja ja opettaja, joka tunnetaan hänen kyvyistään selittää vaikeitakin teknologisia konsepteja aiheesta vähemmän tietävälle finanssialan yleisölle. Viimeisen 20 vuoden ajan hänen selityksensä ovat ilmestyneet TechTargetin nettisivuille, minkä lisäksi häntä ovat siteeranneet asiantuntijana New York Times, Time Magazine, USA Today, ZDNet, PC Magazine ja Discovery Magazine. Margaretin mielestä mikään ei ole hauskempaa kuin opettaa IT-alan ja finanssialan ammattilaisille, kuinka toisen alan hyvin spesifillä kielellä puhutaan. Jos sinulla on ideoita selitettävistä termeistä tai parannuksista aikaisempiin selityksiin, lähetä sähköpostia Margaretille tai ota yhteyttä häneen LinkedInissä tai Twitterissä.