Kyberturvallisuuden perussanasto

Haavoittuvuuspalkinto-ohjelma. Toimintaa, jossa annetaan lupa organisaation ulkopuolisille toimijoille etsiä haavoittuvuuksia organisaation palveluista ja järjestelmistä. Haavoittuvuuksien löytäjät palkitaan rahallisesti.

Computer Emergency Response Team. Toiminto, joka ennaltaehkäisee tietoturvaloukkauksia, toteuttaa niiden havainnointia sekä selvittämistä sekä tiedottaa tietoturvauhkista. Traficomin Kyberturvallisuuskeskuksen CERT-toiminnon tehtävänä on ennaltaehkäistä tietoturvaloukkauksia ja tiedottaa tietoturva-asioista.

Viestinnän suojaamiseen liittyvät menettelyt, sisältäen salausteknisten menetelmien lisäksi mm. salausteknisen materiaalin oikean käsittelyn ja fyysisen turvallisuuden käytäntöjä.

General Data Protection Regulation, eli yleinen tietosuoja-asetus. EU:n määräämässä yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset, eli yhteiset standardit.

Toimintaa, jossa tunkeudutaan tai vaikutetaan tietoverkkoon, tietojärjestelmään tai niiden sisältämään tietoon ja käytetään ohjelmaa, palvelua tai muuta resurssia.

Internetsivusto, joka pyrkii keräämään käyttäjien luottamuksellisia tietoja, kuten käyttäjätunnustensalasanoja tai levittämään haittaohjelmia. Sivustoa ei välttämättä erota aidosta sivustosta, koska huijaussivuston sisältö voi olla kopioitu alkuperäiseltä sivustolta.

Menettely, jolla hallinnoidaan käyttäjien tai laitteiden tunnuksia, rooleja ja ryhmiä.

Rikollista toimintaa, jossa henkilö esiintyy luvattomasti toisena henkilönä huijatakseen kolmatta osapuolta.

Viranomainen, joka huolehtii kansainvälisten tietoturvavelvoitteiden toteuttamisesta ja valvoo, että kansainväliset turvallisuusluokitellut tietoaineistot suojataan ja että niitä käsitellään asianmukaisesti. Suomessa kansallisena turvallisuusviranomaisena toimii ulkoasiainministeriö.

Viranomaisten käyttöön tarkoitettu arviointityökalu, jonka avulla voidaan arvioida kohdeorganisaation kykyä suojata viranomaisen turvallisuusluokiteltua tietoa.

Haittaohjelma, joka salaa tai manipuloi laitteella olevia tietoja ja tyypillisesti vaatii käyttäjältä lunnaita salauksen purkamisesta.

Viranomainen, joka kehittää ja valvoo viestintäverkkojen ja -palvelujen toimintavarmuutta ja turvallisuutta sekä ylläpitää kansallista kyberturvallisuuden tilannekuvaa.

Monivaiheisella tunnistautumisella tarkoitetaan sitä, että henkilöllisyytesi varmistetaan kahta tai useampaa eri tunnistautumistapaa käyttämällä.  Niitä voivat olla esimerkiksi:

• Jotain mitä tiedät (PIN-koodi, salasana, sekä kirjalliset tai graafiset turvallisuuskysymykset- ja vastaukset
• Jotakin mitä omistat (esimerkiksi matkapuhelimeen lähetettävä muuttuva koodi, kuten mobiilivarmenne)
• Jotakin mitä olet (esimerkiksi sormenjälkesi tai kuva iiriksestäsi)

National Cyber Security Centre, eli kansallinen kyberturvallisuuskeskus. Suomessa Traficomin Kyberturvallisuuskeskus. Viranomainen, joka kehittää ja valvoo viestintäverkkojen ja -palvelujen toimintavarmuutta ja turvallisuutta sekä ylläpitää kansallista kyberturvallisuuden tilannekuvaa.

Euroopan unionin verkko- ja tietoturvadirektiivi (ns. NIS-direktiivi) säätää tietoturvavelvollisuuksista ja häiriöraportoinnista useilla eri sektoreilla. Uusi NIS2-direktiivi (eli kyberturvallisuusdirektiivi) korvaa aiemman EU:n verkko- ja tietoturvadirektiivin.

Uuden kyberturvallisuusdirektiivin tavoitteena on vahvistaa sekä EU:n yhteistä että jäsenvaltioiden kansallista kyberturvallisuuden tasoa tiettyjen kriittisten sektoreiden osalta.

Direktiivissä osoitetaan yhteiskunnan kriittisille sektoreille kyberturvallisuutta vahvistavia riskienhallintavelvoitteita ja raportointivelvoitteet merkittävistä poikkeamista. Direktiivissä on lueteltu vähimmäistoimenpiteet, jotka kaikkien toimijoiden on toteutettava hallitakseen toimintoihinsa kohdistuvia kyberturvallisuusriskejä.  

Salasana, joka on asetettu laitteeseen tai palveluun etukäteen valmistajan toimesta. Tulisi aina mahdollisuuksien mukaan vaihtaa käyttäjän omaksi salasanaksi laitetta tai palvelua käyttöönotettaessa tietoturvan parantamiseksi.

Laite ja/tai ohjelmisto, joka estää luvattomat yhteydenotot tietokoneeseen Internetistä. Palomuuri sallii vain luotettavat ja turvalliset yhteydenotot tietokoneesta Internetiin.

Tietoverkkohyökkäys, jolla pyritään kuormittamaan ja siten lamaannuttamaan jokin palvelu tai tietojärjestelmä.

Pilvipalveluiden turvallisuuden arviointikriteeristö. Kriteeristö auttaa viranomaisia arvioimaan oman salassa pidettävän tietonsa turvallisuutta tilanteissa, joissa niiden tietoja käsitellään pilvipalveluissa.

Huijauksia, joissa hakkerin väitetään murtautuneen käyttäjän tietokoneelle ja varastaneen tietoja tämän aikuisviihteen käytöstä. Yleensä kohteeksi joutuneelta henkilöltä vaaditaan rahaa, jotta tietoja ei paljastettaisi. Rikollisilla ei oikeasti ole uhrista mitään arkaluontoista tietoa.

Ohjelma, jonne voidaan tallentaa useiden eri käyttäjätilien salasanoja. Mahdollistaa salasanojen hallinnan keskitetysti ja edellyttää vain yhden, vahvan salasanan käyttöä ja muistamista palveluun kirjautuessa.

Tietojenkalastelun (eng. phishing) tavoitteena on saada rikollisten haltuun käyttäjätunnusten ja salasanoja tai muita käyttäjälle tai organisaatiolle arvokkaita tietoja, kuten maksukorttitietoja.

Luvaton tunkeutuminen tietojärjestelmään, palveluun, laitteeseen tai sovellukseen, kuten esimerkiksi sähköpostitilin luvaton haltuunotto saatujen tunnusten avulla. Tietomurto on rikoslaissa määritelty rangaistava teko. Myös tietomurron yrittäminen on rangaistavaa.

Useimmiten sosiaalisessa mediassa tapahtuvaa esiintymistä henkilönä, organisaationa tai yrityksenä jota ei oikeasti ole olemassa. Valeprofiilin käyttäjä voi myös esiintyä jonkun toisen nimissä.

Henkilö, joka luvallisesti tunkeutuu tai vaikuttaa tietoverkkoon, tietojärjestelmään tai niiden sisältämään tietoon paljastaakseen niiden heikkouksia ja haavoittuvuuksia tietoturvan parantamiseksi.

Tietojen kopiointi useampaan tallennusmediaan ja niiden säilyttäminen toisistaan erillään turvallisessa paikassa. Mikäli alkuperäinen tiedosto tuhoutuu, se voidaan palauttaa varmuuskopioinnin avulla.

Virtual Private Network, eli virtuaalinen erillisverkko. Tapa salata ja luoda yksityinen ja tietoturvallinen Internet-yhteys.