Tietotekninen tietoturva

Tietoturva samaistetaan usein tietotekniikkaan ja ulkoisiin tietoturvauhkiin eli tahallisesti tehtyihin tietokoneviruksiin, matoihin ja tietomurtoihin. Nämä tietotekniikan mukanaan tuomat tietoturvariskit nousivat 2000-luvun vaihteessa median huomion kohteeksi. Samalla markkinoille ilmestyi useita uusia virustorjuntaohjelmistoja myyviä yrityksiä, jotka tähtäsivät uuteen markkinarakoon. Ne kiinnittävät aluksi huomion Microsoftin Windows-käyttöjärjestelmissä olleisiin ohjelmointivirheisiin, jotka altistivat Windowsien käyttäjät tietoturvauhille. Myöhemmin Microsoft liittoutui virustorjujien kanssa ja kiinnitti huomion pois käyttöjärjestelmien virheistä ulkoisiin tietoturvauhkiin. Samalla ohjelmistovirheet nimettiin uudelleen haavoittuvuuksiksi.

Ulkoiset tietoturvauhat muodostavat vain murto-osan tietoturvauhista. Perustavampi ongelma ovat tietokoneohjelmien ohjelmointivirheet. Ne aiheuttavat tietoturva-aukkoja, joita virukset, madot ja krakkerit voivat hyödyntää. Kaikissa ohjelmistoissa on virheitä. Tietoturvan kannalta olennaista on, että näitä virheitä päästään korjaamaan. Suljetun lähdekoodin ohjelmissa tähän ei ole mahdollisuutta eikä niitä valmistavien yritysten ansaintalogiikka tue virheiden korjausta ja sitä kautta tietoturvaa. Valmistajat sanoutuvat lisenssiehdoissaan irti kaikesta mahdollisesta vastuusta virheet mukaan lukien. Avoimessa lähdekoodissa virheitä voidaan korjata vapaasti. Siksi se tarjoaa yhdenlaisen ratkaisun tietoturvaongelmia vastaan

Virustorjuntaohjelmien heikkoutena on se, että ne ovat aina askeleen jäljessä. Virusten tiedot syötetään torjuntaohjelmiin jälkikäteen sen jälkeen, kun virukset ovat jo levinneet. Myös virustorjuntaohjelmat itse lisäävät tietoturvariskejä, sillä niissäkin on ohjelmointivirheitä. Erityisesti erilaiset Internetin kautta tapahtuvat automaattiset virustietojen ja ohjelmistojen päivitykset mahdollistavat uusien, entistä kehittyneempien haittaohjelmien tehokkaan leviämisen.

Internetissä on nykyään miljoonia tietokoneita, jotka ovat avoinna luvattomalle käytölle paitsi ohjelmavirheiden ja haittaohjelmien jättämien takaporttien, myös käyttäjien tekemien virheiden takia. Syinä voivat olla heikot salasanat tai konfiguraatiovirheet, joiden ansiosta koneelle pääsee ilman tunnuksia. Joskus tunnuksia on jaettu surutta muille. Nämä saastuneet koneet toimivat apuna uusien haittaohjelmien levittämisessä ja niiltä käsin voidaan tehdä myös tietomurtoja ja päästä käsiksi yhä uusiin tietokoneisiin.

Sosiaalinen tietoturva

Teknisestä tietoturvasta huolimatta sosiaalinen tietoturva on merkittävä osa tietoturvaa. Tietokoneen käyttäjät voivat antaa tunnuksensa toisen käyttöön (vaikka olisivat sitoutuneet em. antamiset kieltäviin käyttösääntöihin). Salasanoja voi olla kirjoitetuilla lapuilla tietokoneen lähettyvillä. Sähköpostien liitetiedostoja avataan edes miettimättä tietoturvaa. Henkilökohtaisia tietoja jaetaan Internetin kautta miettimättä kuka kysyy ja miksi.

Tietoturva tietoyhteiskunnossa

Suomen valtionhallinto on määritellyt tietoturvan tärkeäksi keinoksi, jonka avulla kansalaiset ja yritykset saadaan luottamaan tietoyhteiskuntaan.

Tietoturvakeskustelua vauhditti Soneran tapaus, jossa yhtiön työntekijöitä jäi kiinni teletunnistetietojen urkinnasta. Uusilla laeilla pyrittiin estämään tapauksen toistuminen. Lisäksi luotiin kansallinen tietoturvastrategia lain soveltamiseksi, kansallisen kilpailukyvyn edistämiseksi ja suomalaisten tieto- ja viestintäalan yritysten toimintamahdollisuuksien parantamiseksi. Kaikki valtionhallinnon toimet eivät olleet tavoitteiden kanssa ristiriidattomia. Valtio tuki samaan aikaan tietoturvan kannalta ongelmallisia suljetun lähdekoodin ohjelmia julkishallinnossa ja kannatti ohjelmistopatentointia, mikä heikensi ohjelmistoyritysten toimintamahdollisuuksia.

Valtionhallinnossa on luotu VAHTI-tietoturvaohjeet, joita hyödynnetään valtionhallinnon lisäksi kunnallishallinnossa, elinkeinoelämässä ja kansainvälisessä tietoturvayhteistyössä. VAHTI:n mukaan tietoturvariskin suuruusluokka määräytyy sen mukaan, miten vakava riski on ja kuinka todennäköisenä sen toteutumista pidetään. Tämän luokituksen mukaan esimerkiksi suljetun lähdekoodin ohjelmat aiheuttavat ohjelmavirheineen sietämättömän riskin. Network Associatesin teettämän selvityksen mukaan yritykset menettävät ohjelmavirheiden mahdollistamien virusten takia yhteensä noin 22 miljardia euroa vuosittain. Valtionhallinnon ohjeet edellyttäisivät tällöin seuraavaa: 1) näin riskialtista toimintaa ei pitäisi aloittaa, 2) riski on poistettava ja toimenpiteet aloitettava välittömästi, ja 3) riskialtis toiminta pitää keskeyttää, kunnes riski on poistettu.

Tietoturvallisuuden kehittämistoimet on jaettu VAHTI:ssa seuraavaan kahdeksaan osa-alueeseen.

Neljä ulointa kerrosta ovat:

  • Hallinnollinen tietoturva
  • Henkilöstöturvallisuus
  • Fyysinen turvallisuus
  • Tietoliikenneturvallisuus

Näiden neljän kerroksen suojaamana ovat sisimpänä:

  • Ohjelmistoturvallisuus
  • Tietoaineistoturvallisuus
  • Käyttöturvallisuus
  • Laitteistoturvallisuus

Yleinen tietoturvallisuus

Suomen kieleen on vakiintunut jako tietoturvaan ja tietosuojaan (engl. privacy). Jälkimmäinen sisältää henkilötietojen luottamuksellisuuden lisäksi rikoslain kunniaa, yksityisyyden suojaa ja tietoliikennettä koskevat säännökset ja se perustuu viime kädessä perustuslain säännöksiin.

Tietoturvallisuuden osina voivat olla seuraavat tekijät:

  • 1) Saatavuus tai käytettävyys (engl. availability): tieto on saatavilla, kun sitä tarvitaan
  • 2) Luottamuksellisuus: (engl. confidentiality) tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus
  • 3) Eheys: (engl. integrity) tieto ei saa muuttua tahatta tai hyökkäyksessä, tai muutos pitää ainakin havaita; toisinaan eheys määritellään myös tietojen loogisuudeksi (ns. sisäinen eheys)ja paikkansapitävyydeksi (ns. ulkoinen eheys)

Näitä kolmea voivat täydentää:

  • Kiistämättömyys: Henkilö ei voi menestyksellisesti kiistää tekoa, jonka hän on tehnyt. Kiistämättömyys riippuu viime kädessä siitä, mitä oikeudessa hyväksytään näytöksi.
  • Tunnistus: Henkilö (tietojärjestelmän käyttäjä) voidaan tarvittaessa liittää käyttäjätunnukseen (joka voi olla anonyymi)
  • Todennus: Henkilö (tietojärjestelmän käyttäjä) voidaan luottavasti tunnistaa luonnolliseksi tai oikeushenkilöksi.

Luottamuksellisuutta voidaan parantaa salauksella ja pääsynhallinnalla. Eheyttä edistetään tarkistussummilla, tarkistuskoodeilla ja digitaalisilla allekirjoituksilla. Myös käyttäjän todentaminen ja kiistämättömyys voidaan ainakin jollain tasolla varmistaa digitaalisella allekirjoituksella tai muilla todennustavoilla. Saatavuus edellyttää riittävän tiedonsiirtokapasiteetin varaamista, mikä on toisaalta mahdotonta häirintähyökkäyksenkin edessä.

Kuluttajien tietoturva

Yleisin tietoturvaan liittyvä ongelma ovat tietokonevirukset. Lisäksi tapahtuu pankki- ja luottokorttitietoihin liittyviä huijauksia. Suomessa pankkikortit edellyttävät erillistä, tietoverkon ulkopuolella lähetettävää avainlukutunnuskortin avainlukua. Näin pankkikorttitietoihin liittyvää ongelmaa ei koeta Suomessa yhtä laajaksi kuin niissä maissa, joissa vastaavaa käytäntöä ei ole. Yhdysvalloissa esimerkiksi kauppaketju TJX:ltä joutui vääriin käsiin 45 600 000 luotto- tai maksukortin numeroa. Ongelman laajuutta kuvannee se, että maan asukasluku on noin 300 000 000 asukasta.

Tietoturva-ajattelun tunnetuksi tekemiseksi järjestetään Suomessa vuosittain Kansallinen tietoturvapäivä.

HTML Comment Box is loading comments...