Tietoturva (Tietoturvallisuus, Kyberturvallisuus, Tietojen suojelu)

Tietoturva on tärkeä tietosuojan toteuttamisen keino, jonka tarkoituksena on suojata erilaisia tietoaineistoja ja tietojärjestelmiä. Yksinkertaisuudessaan tietoturva tarkoittaa hallinnollisia ja teknisiä toimia, joilla varmistetaan tiedon luottamuksellisuus, eheys ja saatavuus (myös käytettävyys).

Nykyaikana tietoturva mielletään usein tietotekniikkaan liittyväksi ilmiöksi, mutta se koskettaa myös perinteisempää tiedon hallintaa. Digitaalisessa ympäristössä tietoturvan osa-alueita ovat työasemien-, palvelinten- ja tietokoneverkon tietoturva, sekä ympäristön- ja sovellusohjelmien turvallisuus. Tässä mielessä tietoturva pitää sisällään suunnitelman, toimintamallin ja vaadittavan käytäntöönpanon tietosuojan toteutumiselle. Erilaisilla tietoturvatoimenpiteillä voidaan esimerkiksi suojataan henkilötietoja, liikesalaisuuksia tai kokonaisia IT-ympäristöjä.

Tietoturvan luottamuksellisuus, eheys ja saatavuus

Tietoturvasta puhuttaessa, aihe mielletään yleensä laajana ja vaikeana asiana ymmärtää. Käytännössä tietoturva kuitenkin koostuu perinteisessä jaottelussa kolmesta tavoitteesta, joita ovat tiedon luottamuksellisuus, eheys ja saatavuus.

Tietoturvaan liittyvällä luottamuksellisuudella tarkoitetaan sitä, että tietyt tiedot (esim. salasana) ovat vain ja ainoastaan niiden käyttöön oikeutettujen saatavilla. Tyypillisesti tämä tarkoittaa esimerkiksi verkkosivuston vierailijaa itseään. Salasanojen päätyminen vääriin käsiin lieneekin yksi yleisimmin esiintyvistä tietoturvaongelmista.

Tietoturvasta puhuttaessa, eheys puolestaan tarkoittaa sitä, että tietojärjestelmien ja tietojen tulee olla luotettavia, ajantasaisia ja oikeita eikä niitä voi muuttaa kukaan muu paitsi ne, jotka ovat oikeutettuja siihen. Jos järjestelmissä on haavoittuvuuksia, nämä tulevat yleensä esiin ennemmin tai myöhemmin. Tästä syystä tietojärjestelmien suojaaminen ja ylläpito on ensiarvoisen tärkeää.

Tietoturvaan liittyvällä saatavuudella (käytettävyydellä) tarkoitetaan sitä, että tietojärjestelmät ja niiden sisältämät tiedot ovat niiden käyttöön oikeutettujen hyödynnettävissä etukäteen määritellyn vasteajan puitteissa.

Tietoturvan alaisuudessa oleva tieto ja uhkatekijät

Tietoturvan alaisuudessa oleva tieto voi olla useassa eri muodossa, esimerkiksi digitaalisena tai fyysisenä tallenteena, suullisena tietona taikka ihmisten (esim. työntekijöiden) tietämyksenä.

Tietoturvallisuutta uhkaava toiminta voi olla esimerkiksi erilaiset huijausyritykset, tietokonevirukset, verkkoterrorismi sekä digitaalinen sodankäynti. Muita tietoturvauhkia ovat mm. luvaton pääsy tiettyihin tietoihin tai tiedostoihin (tietomurrot), tiedon luvaton käyttö, tiedon muuttuminen ja luvaton muuttaminen, salaisen tiedon kopioiminen ja sen julkiseksi tuleminen sekä tiedon luvaton hävittäminen.

Tietoturva on yksi tietosuojan osa-alue. Tietosuoja määritellään Suomen laissa. Tietosuojalla turvataan ihmisten yksityisyys niin, että heitä koskevat tiedot säilyvät aina luottamuksellisina ja salaisina eivätkä ne saa päätyä minkään ulkopuolisen tahon käsiin.

Tietosuojasta ja tietoturvasta säädetään myös EU:n yleisessä tietosuoja-asetuksessa (GDPR) sekä EU:n verkko- ja tietoturvadirektiivissä (NIS-direktiivi).