Tietoturva ja suojaus

Lyhyesti: Kaksivaiheinen tunnistautuminen - käyttäjätunnuksen ja salasanan lisäksi vaaditaan toinen varmistus.

Tarkemmin: 2FA tarkoittaa että pelkän salasanan lisäksi tarvitset toisen todisteen henkilöllisyydestäsi. Tämä voi olla tekstiviesti puhelimeesi, sovelluksen generoima koodi tai sormenjälki. Vaikka joku saisi salasanasi, hän ei pääse tilillesi ilman toista varmistusta. Käytä 2FA:ta aina kun mahdollista!

Lyhyesti: EU:n tietosuoja-asetus joka suojaa sinun henkilötietojasi.

Tarkemmin: GDPR on EU:n laki joka määrittää miten yritykset saavat kerätä, käsitellä ja säilyttää henkilötietojasi. Se antaa sinulle oikeuden tietää mitä tietoja sinusta on talletettu, oikeuden poistaa ne ja oikeuden siirtää tiedot toiseen palveluun. Siksi näet nykyään "eväste-ilmoituksia" kaikilla verkkosivuilla.

Lyhyesti: Tietoturvajärjestelmä joka havaitsee epäilyttävää toimintaa verkossa.

Tarkemmin: IDS on kuin digitaalinen vartija joka tarkkaa verkkoliikennettä ja hälyttää jos huomaa jotain outoa. Se voi huomata esimerkiksi jos joku yrittää murtautua järjestelmään tai jos kone käyttäytyy epäilyttävästi. IDS ei estä hyökkäystä, vaan vain ilmoittaa siitä - siihen tarvitaan IPS:ää.

Lyhyesti: Monivaiheinen tunnistautuminen - sama kuin 2FA, mutta voi olla useampi vaihe.

Tarkemmin: MFA on yleisempi termi kuin 2FA. Se voi sisältää useita varmistuskeinoja: salasanan, puhelimen, sormenjäljen, iiriksen skannauksen tai fyysisen tunnistimen. Pankkien verkkotunnukset ovat hyvä esimerkki: tarvitset tunnukset, puhelimen ja usein vielä erillisen tunnistelaitteen.

Lyhyesti: Kansainvälinen yhteisö joka edistää verkkosovellusten turvallisuutta.

Tarkemmin: OWASP on voittoa tavoittelematon järjestö joka kehittää tietoturvaohjeita ja työkaluja. He julkaisevat kuuluisan "Top 10" -listan yleisimmistä verkkosovellusten haavoittuvuuksista. Jos kehität verkkosivustoja tai olet kiinnostunut tietoturvasta, OWASP:n materiaalit ovat kullanarvoisia.

Lyhyesti: Järjestelmä joka hallinnoi digitaalisia varmenteita turvallista viestintää varten.

Tarkemmin: PKI on kuin digitaalinen passitoimisto. Se luo ja hallinnoi sertifikaatteja jotka todistavat että verkkosivu tai henkilö on se mitä väittää olevansa. Kun näet selaimen osoitepalkissa lukon ja "https://", käytät PKI:n luomaa sertifikaattia. PKI mahdollistaa turvallisen verkkokaupan ja sähköpostin salauksen.

Lyhyesti: Järjestelmä joka kerää ja analysoi tietoturvatietoja koko organisaatiosta.

Tarkemmin: SIEM on kuin yrityksen tietoturvan hermokeskus. Se kerää lokitietoja palvelimista, verkkoon kytketyistä laitteista ja sovelluksista, ja etsii niistä uhkia tai epäilyttävää toimintaa. SIEM voi esimerkiksi havaita jos joku yrittää kirjautua sisään väärillä tunnuksilla useita kertoja peräkkäin.

Lyhyesti: Yhden kirjautumisen järjestelmä - yhdellä kirjautumisella pääsee useisiin palveluihin.

Tarkemmin: SSO tarkoittaa että kirjaudut kerran sisään ja pääset sen jälkeen automaattisesti kaikkiin yrityksen järjestelmiin ilman uutta kirjautumista. Esimerkiksi Google-tilillä voit kirjautua Gmail, YouTube, Google Drive ja moniin muihin palveluihin. SSO tekee elämän helpommaksi ja parantaa turvallisuutta.

Lyhyesti: Kehittynyt pääsynhallintatapa, joka käyttää erilaisia ominaisuuksia päätöksien tekemiseen.

Tarkemmin: ABAC on kuin älykkäämpää ovenvartijaa. Sen sijaan että vain tarkistaa "onko sinulla oikeus", se ottaa huomioon monta asiaa: kuka olet, mitä aikaa on, mistä tulet, mitä laitetta käytät. Esimerkiksi voit päästä tärkeisiin tiedostoihin vain työaikana, toimistolta ja yrityksen tietokoneelta.

Lyhyesti: Luotettava taho joka myöntää ja varmistaa digitaalisia varmenteita internetissä.

Tarkemmin: CA toimii kuin digitaalinen notaari tai passitoimisto. Se varmistaa että verkkosivu tai yritys on oikeasti se mitä väittää olevansa, ja antaa siitä digitaalisen todistuksen (sertifikaatin). Kun näet vihreän lukon selaimessa, CA on varmistanut että olet oikealla sivustolla. Let's Encrypt ja DigiCert ovat tunnettuja CA:ita.

Lyhyesti: Hyökkäystyyppi, jossa pahantahtoinen sivusto saa sinut tekemään toimintoja toisella sivustolla.

Tarkemmin: CSRF on kuin digitaalinen huijaus. Olet kirjautuneena pankkiisi toisessa välilehdessä, ja klikkaat pahantahtoista linkkiä. Tämä linkki voi salaa lähettää pyynnön pankkisi sivustolle esimerkiksi rahan siirtämiseksi. Nykyaikaiset sivustot suojautuvat tätä vastaan CSRF-tokeneilla, jotka varmistavat että toiminto on aidosti sinulta.

Lyhyesti: Järjestelmä joka estää arkaluonteisten tietojen vahingossa tai tahallaan leviämisen.

Tarkemmin: DLP on kuin älykäs vartija joka vahtii yrityksen tietoja. Se tunnistaa arkaluonteiset tiedot (henkilötunnukset, luottokorttinumerot, salaiset asiakirjat) ja estää niiden lähettämisen sähköpostilla, lataamisen pilvipalveluihin tai kopioimisen USB-tikulle. Jos yrität vahingossa lähettää asiakasluettelon väärään osoitteeseen, DLP pysäyttää sen.

Lyhyesti: Standardi salasanattomaan kirjautumiseen käyttäen sormenjälkeä, kasvoja tai turva-avaimia.

Tarkemmin: FIDO haluaa päästä eroon salasanoista kokonaan. Sen sijaan käytät sormenjälkeäsi, kasvojentunnistusta tai fyysistä turva-avainta (kuten YubiKey). Tämä on turvallisempaa koska biometrisiä tietoja ei lähetetä internettiin, ja fyysistä avainta ei voi "varastaa" verkossa. Windows Hello ja iPhone:n Face ID käyttävät FIDO-teknologiaa.

Lyhyesti: Järjestelmä joka ei vain havaitse uhkia kuten IDS, vaan myös estää ne aktiivisesti.

Tarkemmin: IPS on kuin turvahenkilöstö joka ei vain huomaa ongelmia vaan puuttuu niihin heti. Kun IPS havaitsee hyökkäyksen, se voi estää liikennettä, pudottaa yhteyksiä tai karanteeniin asentaa tarttuneen koneen automaattisesti. Se on kuin älykkäämpää palomuuriä joka oppii ja reagoi uhkiin reaaliajassa.

Lyhyesti: Turvallinen tapa säilyttää käyttäjän tietoja ja oikeuksia digitaalisessa muodossa.

Tarkemmin: JWT on kuin digitaalinen passi jossa lukee kuka olet ja mihin sinulla on oikeus. Kun kirjaudut sovellukseen, se antaa sinulle JWT:n joka sisältää tietosi salattuina. Seuraavilla sivunlatauksilla sovellus tarkistaa tämän "passin" sen sijaan että kyselee joka kerta tietokannasta. Se tekee sovelluksista nopeampia ja skaalautuvampia.

Lyhyesti: Protokolla käyttäjä- ja ryhmätietojen hallintaan yrityksissä.

Tarkemmin: LDAP on kuin yrityksen digitaalinen puhelinluettelo ja organisaatiokaavio yhdessä. Se säilyttää tiedot kaikista työntekijöistä, heidän rooleistaan ja oikeuksistaan. Kun kirjaudut yrityksen tietokoneelle tai sähköpostiin, LDAP tarkistaa että sinulla on oikeus ja kertoo mihin järjestelmiin pääset. Active Directory käyttää LDAP:ia.

Lyhyesti: Standardi jolla voit antaa sovelluksille rajatun pääsyn tileihisi jakamatta salasanaasi.

Tarkemmin: OAuth2 mahdollistaa sen että annat esimerkiksi valokuvasovellukselle luvan lukea Google-kuvasi jakamatta Google-salasanaasi. Se on kuin antaisit vahtimestarille avaimen vain tiettyyn huoneeseen tietyksi ajaksi. Kun näet "Kirjaudu Google/Facebook/GitHub-tilillä" -painikkeen, se käyttää OAuth2:ta.

Lyhyesti: Kertakäyttöinen salasana joka on voimassa vain hetken, usein 6-numeroinen koodi.

Tarkemmin: OTP on kuin lippunumero joka on voimassa vain hetken. Se voi tulla tekstiviestinä, sovelluksesta tai USB-avaimesta. Vaikka joku kuulisi koodisi, se ei ole enää käyttökelpoinen minuutin päästä. Pankkien vahvistuskoodit ja Google Authenticatorin koodit ovat OTP:itä. Se on keskeinen osa 2FA:ta.

Lyhyesti: Turvallisuusstandardi yrityksille jotka käsittelevät luottokorttitietoja.

Tarkemmin: PCI DSS määrittää tiukat säännöt sille miten yritykset saavat käsitellä, säilyttää ja siirtää luottokorttitietoja. Se on kuin rakennusmääräykset pankkiholvien rakentamiseen. Jos verkkokauppasi käsittelee korttitietoja, sinun täytyy noudattaa PCI DSS:ää tai maksaa sakkoja ja menettää oikeus vastaanottaa korttimaksuja.

Lyhyesti: Pääsynhallinta jossa oikeudet määritellään työroolin, ei henkilön mukaan.

Tarkemmin: RBAC toimii kuin työntekijäkortit eri tasoilla. "Kirjanpitäjä"-rooli pääsee taloustietoihin, "myynti"-rooli asiakastietoihin, "admin" kaikkialle. Kun henkilö vaihtaa roolia, vaihdetaan vain hänen roolinsa, ei luoda kaikkia oikeuksia uudestaan. Tämä tekee oikeuksien hallinnasta helpompaa isoissa organisaatioissa.

Lyhyesti: Lista joka määrittelee kuka pääsee mihinkin resurssiin ja millä oikeuksilla.

Tarkemmin: ACL on kuin ovenvartija jolla on lista: "Matti saa lukea tiedostoa, Liisa saa lukea ja kirjoittaa, admin saa tehdä kaiken". Jokaiselle tiedostolle, kansiolla tai järjestelmäresurssille voi määrittää oman ACL:n. Se on perinteinen ja yksinkertainen tapa hallita pääsyä, vaikka RBAC on usein käytännöllisempi isoissa organisaatioissa.

Lyhyesti: Standardi jolla organisaatiot voivat jakaa tunnistautumistietoja turvallisesti.

Tarkemmin: SAML mahdollistaa sen että kun kirjaudut yrityksen järjestelmään, se kertoo muille järjestelmille että olet jo tunnistautunut. Se on kuin työntekijäkortti joka toimii kaikkialla yrityksessä. SAML mahdollistaa SSO:n - yhden kirjautumisen joka avaa pääsyn kaikkiin yrityksen sovelluksiin.

Lyhyesti: Tietoturvakeskus jossa ammattilaiset valvovat ja reagoivat uhkiin ympäri vuorokauden.

Tarkemmin: SOC on kuin yrityksen tietoturvamissio NASA:n tapaan - tilassaan on seinällistä näyttöjä, joissa seurataan kaikkea mitä yrityksen verkossa tapahtuu 24/7. Tietoturva-analyytikot tarkkailevat lokitietoja, hälytyksiä ja uhkatietoa, ja reagoivat hyökkäyksiin heti. Isot yritykset perustavat oman SOC:in tai ostavat palvelua.

Lyhyesti: Tarkastusstandardi joka varmistaa että pilvipalvelut käsittelevät asiakkaiden tietoja turvallisesti.

Tarkemmin: SOC 2 on kuin hygieniatodistus ravintolalle, mutta tietoturvalle. Se varmistaa että pilvipalveluyritys (kuten Dropbox tai Slack) täyttää turvallisuus-, saatavuus-, ja luottamuksellisuusvaatimukset. Jos käytät yrityksen dataa pilvipalvelussa, SOC 2 -raportti kertoo että palvelu on tarkastettu ja turvallinen.

Lyhyesti: Eri teknologioilla toimivat VPN:t - IPSec sovelluksiin, SSL-VPN selaimeen.

Tarkemmin: IPSec VPN vaatii yleensä erillisen ohjelman ja on turvallisempi, mutta monimutkaisempi. SSL-VPN toimii suoraan selaimessa klikkaamalla linkkiä, mutta ei ole yhtä turvallinen. IPSec sopii työntekijöiden päivittäiseen etätyöhön, SSL-VPN pikaisten asioiden hoitamiseen matkalla.

Lyhyesti: Järjestelmä joka hallitsee käyttäjien identiteettejä, oikeuksia ja pääsyä yrityksen resursseihin.

Tarkemmin: IDM on kuin yrityksen digitaalinen vartija joka tietää kuka on kuka ja mihin kenelläkin on oikeus. Se hoitaa käyttäjätilien luomisen, muokkaamisen ja poistamisen, salasanojen hallinnan ja kertakirjautumisen (SSO). Kun työntekijä aloittaa tai lopettaa, IDM varmistaa että hän saa (tai menettää) oikeudet kaikkiin tarvittaviin järjestelmiin automaattisesti.

Lyhyesti: Tietojenkäsittelyn tuominen lähelle käyttäjiä matalan viiveen ja paremman suorituskyvyn saavuttamiseksi.

Tarkemmin: MEC tuo pilvipalveluiden tehon lähelle käyttäjiä - esimerkiksi kännykkätorneihin tai paikallisiin datakeskuksiin. Sen sijaan että data matkustaa kauas pilveen ja takaisin, se käsitellään lähellä. Tärkeää 5G:lle, IoT:lle, autonomisille autoille ja VR:lle, jotka vaativat erittäin nopeita vasteaikoja. Parantaa myös yksityisyyttä kun herkkää dataa ei tarvitse lähettää internettiin.

Lyhyesti: Standardi digitaalisten varmenteiden muodolle ja sisällölle internetissä.

Tarkemmin: X.509 määrittelee miltä digitaaliset sertifikaatit näyttävät sisältä - kuin passin standardiformaatti kansainvälisesti. Se sisältää omistajan nimen, julkisen avaimen, voimassaoloajan ja CA:n allekirjoituksen. Kaikki HTTPS-sertifikaatit, sähköpostin salaus ja VPN-yhteydet käyttävät X.509-formaattia. Se on internetin luottamuksen perusta.

Lyhyesti: Hyökkäystyyppi jossa pahantahtoinen koodi suoritetaan toisen käyttäjän selaimessa.

Tarkemmin: XSS on kuin digitaalinen viruksen levittäminen. Hyökkääjä onnistuu saamaan omaa koodiaan toisen käyttäjän sivulle - esimerkiksi kommenttikenttään tai hakuun. Kun uhri vierailee sivulla, hyökkääjän koodi suoritetaan hänen selaimessaan ja voi varastaa evästeitä tai ohjata väärille sivuille. Nykyaikaiset kehystyökalut suojautuvat tätä vastaan automaattisesti.