Päivi Kouki
Kyberturvallisuudesta ja siihen vaikuttavista tekijöistä kuten kyberuhkista kirjoitetaan ja puhutaan paljon eri medioissa. Usein termien käyttö eri lähteissä on epätarkkaa ja epäyhdenmukaista. Siksi asiaan tarkemmin perehtymättömälle lukijalle tai kuulijalle jää helposti epäselväksi, mitä erilaisilla kyber-alkuisilla termeillä oikeastaan tarkoitetaan ja mikä kaikki liittyy ”kyberin” maailmaan. Osasyy hämmennykseen on se, ettei sana kyber itsessään ole termi, joka edustaa tiettyä käsitettä. Kyberillä viitataan yleensä digitaalisessa muodossa olevan informaation käsittelyyn – esimerkiksi tietotekniikkaan, digitaalisen viestintään tai tietojärjestelmiin – mutta sitä käytetään pääasiassa yhdyssanan määriteosana ja vasta koko yhdyssanalla voidaan ajatella olevan oma merkityksensä.
Tarve kyberturvallisuuden käsitteiden määrittelyyn huomattiin vuonna 2017 Turvallisuuskomitean aloitteesta käynnistetyn Kokonaisturvallisuuden sanaston (TSK 48, 2014) päivitysprojektin yhteydessä. Kokonaisturvallisuuden sanastossa ja Suomen kyberturvallisuusstrategiassa (valtioneuvoston periaatepäätös 24.1.2013) on määritelty muutama kyberturvallisuuden käsite ja aiheeseen liittyviä käsitteitä lienee määritelty eri organisaatioissa niiden omista lähtökohdista, mutta laajalle suomenkieliselle kyberturvallisuuden sanastolle oli ilmeinen tarve. Keväällä 2017 Turvallisuuskomitea ja Huoltovarmuuskeskus käynnistivätkin jälkimmäisen rahoittaman sanastoprojektin, jonka tavoitteena oli laatia noin 50 keskeistä kyberturvallisuuden käsitettä sisältävä sanasto. Turvallisuuskomitean ja Huoltovarmuuskeskuksen lisäksi sanastotyöhön kutsuttiin mukaan organisaatioita useilta eri hallinnonaloilta. Sanastotyöryhmään osallistui asiantuntijoita Jyväskylän yliopistosta, puolustusvoimien tutkimuskeskuksesta, Suojelupoliisista, valtioneuvoston kansliasta, valtiovarainministeriöstä sekä Viestintävirastosta. Terminologisesta osaamisesta vastasivat kaksi Sanastokeskus TSK:n terminologia.
Käsitteiden valinnan haasteita
Kun sanastoprojekti alkaa, täytyy työryhmän ensin päästä yhteisymmärrykseen valmisteilla olevaan sanastoon sisällytettävistä käsitteistä. Pelkästään sanaston aihepiirin keskeisimpien käsitteiden listaaminen ei riitä: niiden lisäksi sanastoihin valitaan myös muita käsitteitä, joiden määrittely tukee näiden keskeisten käsitteiden määrittelyä. Käsitteiden valintaan vaikuttaa myös sanaston kohdeyleisö eli tarkemmin se, millaisia perustietoja sanaston käyttäjillä voi ajatella olevan sen aihepiiristä. Alan asiantuntijoiden voi olettaa tuntevan alan peruskäsitteet, kun taas maallikoille suunnatussa sanastossa tällaista oletusta ei voi tehdä.
Julkisen hallinnon sanastoprojektien tulokset suunnataan usein sekä asiantuntijoiden että niin sanotun laajan yleisön käyttöön. Myös kyberturvallisuuden sanastoprojektissa tarkoitus oli alusta lähtien tarjota valmis sanasto avoimeen käyttöön, jotta se helpottaisi kaikkea alalla tapahtuvaa suomenkielistä viestintää. Toisaalta sanaston oli määrä hyödyttää myös alan asiantuntijoita ja opiskelijoita. Tasapainottelu varsin erilaisten kohderyhmien tarpeiden välillä teki käsitteiden valinnasta haastavaa. Käsitteiden valintaan vaikutti myös projektin tiivis aikataulu, joka tarkoitti, että käsitemäärän oli pysyttävä suhteellisen pienenä. Työryhmä pohti hyvin tarkkaan, mitkä ovat sanastoon valittavat keskeisimmät käsitteet. Julkaistuun sanastoon valittiin lopulta 68 käsitettä.
Varsinaisten kybertoimintaympäristöön liittyvien käsitteiden lisäksi kyberturvallisuuden sanastoprojektissa koettiin tarpeelliseksi määritellä myös joukko tietoturvallisuuden käsitteitä. Koska tietoturvallisuus liittyy kiinteästi kyberturvallisuuteen, tietoturvakäsitteiden määrittely helpotti kyberturvallisuuskäsitteiden määrittelyä; esimerkiksi tietoturva on keskeinen tekijä kyberturvallisuutta tavoiteltaessa, joten on perusteltua määritellä ensin tietoturvan käsite. Lisäksi jotkin kyberturvallisuuden käsitteet vertautuvat tietoturvallisuuskäsitteisiin, kuten käsitepari tietoturvauhka ja kyberuhka.
tietoturvauhka
sv hot n mot informationssäkerhet; informationssäkerhetshot n
en data security threat; information security threat
määritelmä
mahdollisesti toteutuva haitallinen tapahtuma tai kehityskulku, joka kohdistuu tietoturvaan ja toteutuessaan vaarantaa sen
kyberuhka
sv cyberhot n
en cyber threat
määritelmä
mahdollisesti toteutuva haitallinen tapahtuma tai kehityskulku, joka kohdistuu kybertoimintaympäristöön ja toteutuessaan vaarantaa siitä riippuvaisen toiminnonhuomautus
Kyberuhkat voivat aiheutua paitsi toteutuneista tietoturvauhkista myös digitaalisessa viestintäympäristössä toteutettavista, yhteiskunnan turvallisuutta vaarantavista teoista.
Kyberuhkat voivat kohdistua yhteiskunnan elintärkeitä toimintoja, kansallista kriittistä infrastruktuuria tai kansalaisia vastaan joko suoraan tai välillisesti. Ne voivat olla peräisin maan rajojen sisältä tai niiden ulkopuolelta.
Esimerkkejä kybertoimintaympäristöistä riippuvaisista toiminnoista ovat ydinvoimalan ohjaus, elintarvikkeiden kuljetus ja logistiikka sekä liikenteen ohjaus.
Sanastoon päätettiin sisällyttää myös joitakin turvallisuuteen ja varautumiseen liittyviä peruskäsitteitä, kuten riski, resilienssi ja jatkuvuuden hallinta.
Epäyhtenäinen termien käyttö vaarantaa viestinnän
Sekava termien käyttö puhuttaessa tai kirjoitetussa tekstissä on usein merkki siitä, ettei termien käyttäjä tunne aihettaan kyllin syvällisesti. Toisinaan myös erikoisalan asiantuntijat voivat syyllistyä epäyhtenäisyyteen tai epäselvyyteen termien käytössä. Epätarkkuus on tyypillistä erityisesti silloin, kun on kyse nopeasti muuttuvasta alasta kuten kyberturvallisuus. Tällöin alan suomenkielinen termistö on usein vakiintumatonta ja sen kehitys on myöhässä alan käsitteiden kehityksestä. Kansainvälisissä yhteyksissä käytetään englanninkielisiä termejä, ja suomenkieliset asiantuntijat käyttävät niitä usein myös kotimaisten kollegojen kanssa kommunikoidessaan, mikä on omiaan hidastamaan suomenkielisten termien vakiintumista. Suomenkielisiä termejä tarvitaan kuitenkin viimeistään siinä vaiheessa, kun tietoa halutaan välittää laajemmalle yleisölle. Yksi sanaston keskeisistä tehtävistä onkin helpottaa oikeiden termien valintaa termisuositusten avulla.
Välillä terminologit tekivät salapoliisintyötä yrittäessään selvittää käsitteiden suomenkielisiä nimityksiä. Esimerkiksi information security event ja information security incident olivat käsitteinä tuttuja työryhmän jäsenille, mutta suomeksi niistä käytettiin eri lähteissä eri termejä. Tämä oli omiaan aiheuttamaan sekaannusta, varsinkin kun termit muistuttivat toisiaan. Olisivatko tietoturvahäiriö ja tietoturvapoikkeama oikeat vastineet englanninkielisille termeille – ja jos olisivat, kumpi viittaa kumpaan käsitteeseen? Vai viittaako tietoturvapoikkeama sittenkin aivan toiseen käsitteeseen, sillä poikkeamanhallinta liittyy niin sanottuihin anomalioihin eli poikkeamiin? Entä termi tietoturvaloukkaus, joka muistuttaa edellisiä mutta viittaa ehkä sittenkin toiseen käsitteeseen?
Lopulta työryhmä päätyi suosittamaan suomenkielisiä termejä tietoturvatapahtuma ja tietoturvahäiriö.
tietoturvatapahtuma; tietoturvallisuustapahtuma
sv informationssäkerhetshändelse; it-händelse
en information security event
määritelmä
tietojärjestelmän tai organisaation toimintojen tapahtuma, jonka seurauksena tietojen tai palvelujen tila on muuttunut ja joka saattaa vaikuttaa tietoturvaanhuomautus
Tietoturvatapahtumia voidaan havaita esimerkiksi tunnistamalla muutoksia tai poikkeamia (engl. anomalies) datassa tai tietojärjestelmän toiminnassa. Muutoksia ja poikkeamia havaitaan pääasiassa teknisiä työkaluja hyödyntävillä seulonnoilla.
Ks. myös tietoturvahäiriö
tietoturvahäiriö; tietoturvapoikkeama
sv informationssäkerhetsincident; it-säkerhetsincident; it-incident
en information security incident
määritelmä
yksi tai useampi toisiinsa liittyvä odottamaton tai ei-toivottu tietoturvatapahtuma, joka vaarantaa tietojen ja palvelujen tietoturvan ja vaikuttaa organisaation toimintaan epäsuotuisasti
Kiperiä käsitteitä ja ristiriitaisia termejä
Sanastotyöryhmän jäsenet ovat sanaston aihealueen asiantuntijoita, joille määriteltäviksi valitut käsitteet ovat enimmäkseen ennestään tuttuja. Määritelmien laatiminen voi kuitenkin yllättää asiantuntijat haastavuudellaan, sillä käsitteiden olennaisia piirteitä joutuu muuten harvoin miettimään yhtä tarkalla tasolla. Myös kyberturvallisuuden sanastotyöryhmässä huomattiin, että tuttu ja jokapäiväinenkin käsite voi tuntua vaikealta määritellä. Tällaisia olivat esimerkiksi tietoturvallisuuteen liittyvät käsitteet pääsynhallinta, identiteetinhallinta ja käyttöoikeuksien hallinta – käsitteitä, joista moni maallikkokin on kuullut mutta joiden tarkempi sisältö vaatikin paljon pohdintaa. Käsitteille ei myöskään tuntunut löytyvän selkeitä valmiita määritelmiä mistään lähteestä. Lopulta päädyttiin siihen, että kaikissa kolmessa käsitteessä on kyse menettelyistä, joilla saadaan aikaan haluttuja lopputuloksia.
Toisinaan työryhmän jäsenten mielikuvat käsitteen sisällöstä poikkeavat toisistaan. Siksi parhaat tulokset sanastotyössä saavutetaankin ryhmätyöllä. Ryhmässä erilaiset näkemykset pääsevät esiin, niistä voidaan keskustella ja ne voidaan ottaa huomioon hyvää määritelmää laadittaessa. Joskus kuitenkin yhteinen näkemys siitä, mihin käsitteeseen tietyllä termillä viitataan, on mahdotonta saavuttaa. Kyberturvallisuuden sanastossa tällainen kiistanalainen termi on hakkeri. Jotkut käyttävät termiä viittaamaan yksinomaan henkilöön, jonka toiminta on haitallista, jopa rikollista. Toisaalta termiä käytetään myös neutraalimmassa merkityksessä, ja esimerkiksi yritykset voivat ilmoittaa palkkaavansa hakkerin tietoturva-asiantuntijaksi. Termin merkityksestä kiisteltiin sanastotyöryhmän kesken useaan kertaan, ja odotetusti myös sanastoluonnoksesta jätetyissä lausunnoissa otettiin painokkaasti kantaa siihen, kuinka hakkeri tulisi määritellä. Vaikka esimerkiksi Tiiviissä tietoturvasanastossa (TSK 31, 2004) hakkerin määritelmä on negatiivinen (henkilö, joka tunkeutuu oikeudettomasti tietoverkkoon tai tietojärjestelmään tai käyttää niitä käyttöoikeuden vastaisesti), Kyberturvallisuuden sanastossa päädyttiin lopulta neutraaliin määritelmään. Hakkerin toimintaan mahdollisesti liittyvä vahingon aiheuttaminen mainitaan huomautuksessa:
hakkeri
sv hackare
en hacker
määritelmä
henkilö, joka tunkeutuu tai vaikuttaa tietoverkkoon, tietojärjestelmään tai niiden sisältämään tietoon ja käyttää ohjelmaa, palvelua tai muuta resurssiahuomautus
Tunkeutuminen saattaa olla luvallista, esimerkiksi yritys voi palkata niin sanotun valkohattuhakkerin etsimään tietoverkostaan tai -järjestelmästään tietoturva-aukkoja tai haavoittuvuuksia.
Vihamielinen hakkeri saattaa esimerkiksi tuhota tietojärjestelmästä tietoja tai käyttää järjestelmää omiin tarkoituksiinsa.
Hakkeri-sanalla voidaan viitata myös taitavaan tietokoneharrastajaan.
Yhteinen termistö kaikille alan toimijoille
Kyberturvallisuuden sanasto (TSK 52) julkaistiin alkukesästä 2018 pdf-julkaisuna sekä Turvallisuuskomitean että Sanastokeskuksen verkkosivustolla, minkä lisäksi sen sisältö on saatavilla Sanastokeskuksen TEPA-termipankissa. Sanaston laatijat toivovat, että sanasto pääsee laajaan käyttöön sekä asiantuntijoiden keskuudessa, opetustoiminnassa, kyberturvallisuudesta tiedotettaessa että käytännön varautumistyössä.
Avoimesti saatavilla oleva sanasto on ensimmäinen askel kyberturvallisuuden alan suomenkielisen termistön vakiinnuttamisessa. Koska ala kehittyy jatkuvasti, uusille termeille on väistämättä tarvetta myös tulevaisuudessa. On siis toivottavaa, että kyberturvallisuuden keskeisillä toimijoilla riittää jatkossakin resursseja sanastotyöhön.
Kirjoittajasta:
Päivi Kouki on Sanastokeskus TSK:n terminologi, joka osallistui Kyberturvallisuuden sanaston laatimiseen yhdessä terminologi Sirpa Suhosen kanssa.
Lisää uusi kommentti