Salauskäytännöt

On melko helppoa miettiä tapoja, kuinka suojataan fyysisesti vaikkapa palvelinsalia. Mutta miten suojataan ilmojen halki lentävää tietoa, joka liikkuu selainten, mobiililaitteiden tai pilven välillä? Salaamalla tieto erilaisin salauskäytännöin.
tiedon salaaminen
kryptaus
salausavainten hallinta
Huom.! Tätä artikkelia täydennetään vielä. Lisää sisältöä tulossa piakkoin.

Vaatimustaso

Tason 1 asiat ovat pakollisia peruasioita, joista jokaisen organisaation, vaikka digitaalisuus tai datan käsittely ei korostuisikaan, olisi syytä pitää hyvää huolta.
Tason 2 asiat ovat digiturvan oleellisia ydinasioita, jotka ovat tärkeitä useimmille organsiaatioille ja joilla voidaan huomattavasti parantaa digiturvan tasoa. Nämä liittyvät yleensä tiiviisti tason 1 asioihin.
Tason 3 asiat ovat syventäviä digiturvateemoja, jotka eivät korostu jokaisen organisaation toiminnassa, mutta joiden voidaan entisestään parantaa tietoturvan ja tietosuojan saralla.
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3

Suositeltu organisointi

Teemoille, jotka ovat sopivan kokoisia ja koordinoitavissa ilman jalkauttamista yksikkö- tai esimerkiksi järjestelmäkohtaisesti, on helpompaa nimetä selkeä(t) vastuuhenkilö(t). Vastuuhenkilöllä on oltava tarvittavat valtuudet ja resurssit teeman hoitamiseen. Vastuuhenkilö voi olla esimerkiksi tietoturvapäällikkö tai tietosuojavastaava.
Teemoille, jotka vaativat järjestelmä- tai rekisterikohtaista koordinointia, organisointi kannattaa hoitaa pääkäyttäjien kautta. Tietojärjestelmät ja rekisterit ovat organisaation avainomaisuutta, joiden pääkäyttäjälle tai yhteyshenkilölle kuuluu vastuilleen erilaisten käytäntöjen hoitamista tai sääntöjen valvomista.
Teemoille, jotka ovat turhan laajoja yksittäisten vastuuhenkilöiden koordinoitaviksi, ja jotka eivät suoraan organisoidu järjestelmä- tai rekisterivetoisesti, suosittelemme yksikkökohtaista koordinointia. Jokaisessa yksikössä (myynti, tuotanto, talous, asiakaspalvelu, jne.) olisi oltava vastuuhenkilö, joka huolehtii esimerkiksi tiedon keräämisen tai sääntöjen jalkauttamisen oman yksikkönsä henkilöstölle.
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt

Osa-alueen tavoite, riskit ja haasteet

Salauksella pyritään suojaamaan esimerkiksi liikkeessä olevaa ja suojatonta dataa tai tärkeitä tietoja tallennuspaikoissaan. Se on yksi vahvimmista tavoista vahvistaa tietojenne suojausta ja tehdä tietoja vähemmän huokutteleviksi haitanteolle, joskaan salauskaan ei ole murtamatonta. Salauksella kuitenkin pyritään siihen, että vaikka tieto katoaisi taijoutuisi vääriin käsiin, se on salattuna lukukelvonta ja sitä kautta hyödyntöntä.

Salauksessa käytetään erilaisia salausalgoritmejä, joilla teksti muunnetaan sekavaksi merkkijonoksi. Salatun merkkijonon purkamiseen vaaditaan salausavain, sarja bittejä joka purkaa tekstin. Kun salausta käytetään esimerkiksi viestin suojaamiseen, vain lähettäjällä ja vastaanottajalla on salausavain hallussaan. Salausavainten hallinta on täten tärkeä osa salauskäytäntöjä. Kun esimerkiksi tietoturvaloukkauksen jälkeen huijarit pyrkivät purkamaan salasanojen salauksia, ne yrittävät arvata käytetyn salausavaimen. Hyvillä algoritmeillä ja laadukkailla salasanoilla tämäkuitenkin vie hyvin, hyvin pitkän ajan. Salausta voidaan käyttää myös pahansuopaisiin tarkoituksiin, joista kiristysohjelmat (ransomware) ovat yksi esimerkki.

Salauskäytäntöjä mietittäessä tulee tietenkin verrata salattavan tiedon arvoa sekä salauksen vaatimia kustannuksia. Suosittuja salausalgoritmejä ovat mm. AES (Advanced Encryption Standard, tarjolla 128-, 192- ja 256-bittisenä), RSA sekä Triple DES. Yleisten salausalgoritmien käyttämisen ehdoton hyvä puoli on niiden kokema ankara, pitkäaikainen testaus tehokkaiden tietokoneiden ja älykkäimpien ihmismielien toimesta.

Esimerkkejä sisällöistä

Selvitettäviä kysymyksiä

Nämä ovat esimerkkejä asioista, joiden selvittämistä ja mahdollisesti raportoimista tämän osa-alueen käsitteleminen vaatii organisaartiolta.
No items found.

Mahdollisia toimintatapoja

Seuraavat sisältöesimerkit antavat tarkempia esimerkkejä siitä, millaisilla käytännöillä tai säännöillä tämän osa-alueen turvallisuutta voidaan kehittää.
Omien IT-palvelujen julkisen verkkoliikenteen salaus

Julkisten verkkojen kautta siirrettävää sovelluspalveluihin kuuluvaa tietoa on suojattava vilpilliseltä ja sopimuksen vastaiselta toiminnalta ja luvattomalta paljastumiselta ja muuttamiselta.

Käytämme vahvoja salaus- ja turvallisuusprotokollia (esim. TLS, IPSEC, SSH) suojaamaan luottamuksellisia tietoja niitä siirrettäessä julkisia verkkoja pitkin kehittämiemme IT-palvelujen yhteydessä.


Omien IT-palvelujen käyttäjien salasanatietojen salaus

Käytämme vahvaa salausta salasanojen siirron ja tallennuksen aikana kaikissa kehittämissämme palveluissa.


Kannettavien tietokoneiden salaus

Kannettavat tietokoneet on suojattu full-disk -salauksella.


Älypuhelinten ja tablettien salaus

Työkäyttöön tarkoitetuiksi älypuhelimiksi ja tableteiksi valitaan laitteita, jotka tukevat full-device -salausta ja salaukset asetetaan päälle.


Siirrettävien tietovälineiden salaus

Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).


Palvelinten salaus

Palvelinten levy- ja tiedostojärjestelmä on suojattu salauksella. Lisäksi palvelimia suojataan tiukalla pääsynhallinnalla.


Vaatimuksia muissa frameworkeissä

Läheisesti liittyvät Digiturvakartan muut kohdat

Tämän osa-alueen sisällöt liittyvät läheisesti etenkin näihin kohtiin Digiturvakartan muista osasista:
Itse ylläpidetyt IT-palvelut
Kun kehitämme itse IT-palveluita ja tarjoamme niitä asiakkaille, meidän on sitouduttava heille päin huolehtimaan osaltamme mm. teknisestä tietoturvasta ja tietyistä henkilötietojen käsittelyyn liittyvistä vastuista.
Kehitys- ja tukikäytännöt
Kehitys- ja tukikäytännöillä pyritään sisäänrakentamaan turvallisuusnäkökohdat luonnolliseksi osaksi omaa it-kehitystä tai -tukea.
Varmuuskopiointi
Varmuuskopioinnilla tarkoitetaan tapahtumaa, jossa tärkeää tietoa kopioidaan, tavoitteena varmistaa datan saatavuus ongelmian sattuessakin. Jos alkuperäinen tieto häviää tai tuhoutuu, voidaan tieto palauttaa varmuuskopioista.
Etätyö ja laitteet
Nykyään yhä suurempi osa työstä suoritetaan liikkeessä ja työvälineillä, joita ei ole sidottu "toimiston turvaan". Hallittu pilvipalvelujen hallinta ja käyttö tai tietoturvan parantaminen VPN-yhteyksin tai työpöytävirtualisoinnein voi olla harkinnan arvoista.