Takaavatko standardit tietoturvan? Tarkastelussa tilaturvallisuusjärjestelmät

Abstract

Tietoturva on noussut digitalisaation myötä vuosi vuodelta tärkeämpään rooliin erilaisissa organisaatioissa. Tämä opinnäytetyö on tutkimus, joka tarkastelee tietoturvaa tilaturvallisuusjärjestelmien näkökulmasta. Sen tarkoituksena on selvittää missä määrin voimassa olevien standardien mukaisesti toteutettua tilaturvallisuusjärjestelmää voidaan standardien vaatimuksien kautta pitää tietoturvallisena järjestelmänä. Tämän opinnäytetyön toimeksiantaja on Kyberturvallisuuskeskus. Tätä tutkimusta varten kerättiin laaja joukko tietoturvallisuuteen liittyvää tietoa teoreettisen viitekehyksen hahmottamiseksi. Aineisto muodostuu tietoturvallisuuden lainsäädännöstä, kansallisista ohjeista, alan kirjallisuudesta, artikkeleista sekä muista tutkimuksista. Osa vaikeimmista kysymyksistä edellytti aiheen teknisen luonteen takia myös alan asiantuntijoiden haastattelemista. Aineistoon sovellettiin laadullisia tutkimusmenetelmiä ja siitä pyrittiin rajaamaan käyttöön juuri tilaturvallisuusjärjestelmiä koskevat seikat. Teemoittelussa nousi esiin neljä keskeistä tilaturvallisuuden tietoturvan osatekijää: tietoliikenteen turvallisuus, ohjelmistoturvallisuus, sensoreiden ja sulautettujen järjestelmien turvallisuus sekä rakenteelliset seikat, jotka voivat vaikuttaa tietoturvan toteutumiseen. Tilaturvallisuusjärjestelmiä koskevia standardeja verrattiin teemoittain kerättyyn aineistoon, tarkoituksena paikallistaa tietoturvaan vaikuttavia puutteita standardien vaatimuksissa. Tutkimuksen aikana löydettiin tilaturvallisuusjärjestelmiä koskevista standardeista puutteita, jotka voivat vaikuttaa valvottavan tilan tietoturvaan epäedullisella tavalla. Huomioita tehtiin kaikista tietoturvan osa-alueista. Keskeisenä havaintona tutkimuksessa oli, että tilaturvallisuusjärjestelmien tietoturvan kehittämiseksi standardeja tai vähintään kansallista ohjeistusta tulisi kehittää, jotta järjestelmien ominaisuudet pysyvät ajanmukaisina.