1. Tietoturva Tietoturva samaistetaan usein tietotekniikkaan ja ulkoisiin tietoturvauhkiin eli tahallisesti tehtyihin tietokoneviruksiin, matoihin ja tietomurtoihin. Nämä tietotekniikan mukanaan tuomat tietoturvariskit nousivat 2000-luvun vaihteessa median huomion kohteeksi. Samalla markkinoille ilmestyi useita uusia virustorjuntaohjelmistoja myyviä yrityksiä, jotka tähtäsivät uuteen markkinarakoon. Ne kiinnittävät aluksi huomion Microsoftin Windows-käyttöjärjestelmissä olleisiin ohjelmointivirheisiin, jotka altistivat Windowsien käyttäjät tietoturvauhille. Myöhemmin Microsoft liittoutui virustorjujien kanssa ja kiinnitti huomion pois käyttöjärjestelmien virheistä ulkoisiin tietoturvauhkiin. Samalla ohjelmistovirheet nimettiin uudelleen haavoittuvuuksiksi.

2. Tietoturva tietoyhteiskunnassa Suomen valtionhallinto on määritellyt tietoturvan tärkeäksi keinoksi, jonka avulla kansalaiset ja yritykset saadaan luottamaan tietoyhteiskuntaan. Tietoturvakeskustelua vauhditti Soneran tapaus, jossa yhtiön työntekijöitä jäi kiinni teletunnistetietojen urkinnasta. Uusilla laeilla pyrittiin estämään tapauksen toistuminen. Lisäksi luotiin kansallinen tietoturvastrategia lain soveltamiseksi, kansallisen kilpailukyvyn edistämiseksi ja suomalaisten tieto- ja viestintäalan yritysten toimintamahdollisuuksien parantamiseksi. Kaikki valtionhallinnon toimet eivät olleet tavoitteiden kanssa ristiriidattomia. Valtio tuki samaan aikaan tietoturvan kannalta ongelmallisia suljetun lähdekoodin ohjelmia julkishallinnossa ja kannatti ohjelmistopatentointia, mikä heikensi ohjelmistoyritysten toimintamahdollisuuksia.

3. Valtionhallinnossa on luotu VAHTI-tietoturvaohjeet, joita hyödynnetään valtionhallinnon lisäksi kunnallishallinnossa, elinkeinoelämässä ja kansainvälisessä tietoturvayhteistyössä. VAHTI:n mukaan tietoturvariskin suuruusluokka määräytyy sen mukaan, miten vakava riski on ja kuinka todennäköisenä sen toteutumista pidetään. Tämän luokituksen mukaan esimerkiksi suljetun lähdekoodin ohjelmat aiheuttavat ohjelmavirheineen sietämättömän riskin. NetworkAssociatesin teettämän selvityksen mukaan yritykset menettävät ohjelmavirheiden mahdollistamien virusten takia yhteensä noin 22 miljardia euroa vuosittain. [Valtionhallinnon ohjeet edellyttäisivät tällöin seuraavaa: näin riskialtista toimintaa ei pitäisi aloittaa, riski on poistettava ja toimenpiteet aloitettava välittömästi, ja riskialtis toiminta pitää keskeyttää, kunnes riski on poistettu. Tietoturvallisuuden kehittämistoimet on jaettu VAHTI:ssa seuraavaan kahdeksaan osa-alueeseen. Neljä ulointa kerrosta ovat: Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Näiden neljän kerroksen suojaamana ovat sisimpänä:

4. Yleinen tietoturvallisuus Suomen kieleen on vakiintunut jako tietoturvaan ja tietosuojaan (engl. privacy). Jälkimmäinen sisältää henkilötietojen luottamuksellisuuden lisäksi rikoslain kunniaa, yksityisyyden suojaa ja tietoliikennettä koskevat säännökset, ja se perustuu viime kädessä perustuslain säännöksiin. Tietoturvallisuuden osina voivat olla seuraavat tekijät: Saatavuus tai käytettävyys (engl. availability): tieto on saatavilla, kun sitä tarvitaan Luottamuksellisuus (engl. confidentiality): tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus Eheys (engl. integrity) tieto ei saa muuttua tahatta tai hyökkäyksessä, tai muutos pitää ainakin havaita; toisinaan eheys määritellään myös tietojen loogisuudeksi (ns. sisäinen eheys)ja paikkansapitävyydeksi (ns. ulkoinen eheys) Näitä kolmea voivat täydentää: Kiistämättömyys: Henkilö ei voi menestyksellisesti kiistää tekoa, jonka hän on tehnyt. Kiistämättömyys riippuu viime kädessä siitä, mitä oikeudessa hyväksytään näytöksi. Tunnistus: Henkilö (tietojärjestelmän käyttäjä) voidaan tarvittaessa liittää käyttäjätunnukseen (joka voi olla anonyymi) Todennus: Henkilö (tietojärjestelmän käyttäjä) voidaan luottavasti tunnistaa luonnolliseksi tai oikeushenkilöksi. Luottamuksellisuutta voidaan parantaa salauksella ja pääsynhallinnalla. Eheyttä edistetään tarkistussummilla, tarkistuskoodeilla ja digitaalisilla allekirjoituksilla. Myös käyttäjän todentaminen ja kiistämättömyys voidaan ainakin jollain tasolla varmistaa digitaalisella allekirjoituksella tai muilla todennustavoilla. Saatavuus edellyttää riittävän tiedonsiirtokapasiteetin varaamista, mikä on toisaalta mahdotonta häirintähyökkäyksenkin edessä.

5. Kiistämättömyys: Henkilö ei voi menestyksellisesti kiistää tekoa, jonka hän on tehnyt. Kiistämättömyys riippuu viime kädessä siitä, mitä oikeudessa hyväksytään näytöksi. Tunnistus: Henkilö (tietojärjestelmän käyttäjä) voidaan tarvittaessa liittää käyttäjätunnukseen (joka voi olla anonyymi) Todennus: Henkilö (tietojärjestelmän käyttäjä) voidaan luottavasti tunnistaa luonnolliseksi tai oikeushenkilöksi. Luottamuksellisuutta voidaan parantaa salauksella ja pääsynhallinnalla. Eheyttä edistetään tarkistussummilla, tarkistuskoodeilla ja digitaalisilla allekirjoituksilla. Myös käyttäjän todentaminen ja kiistämättömyys voidaan ainakin jollain tasolla varmistaa digitaalisella allekirjoituksella tai muilla todennustavoilla. Saatavuus edellyttää riittävän tiedonsiirtokapasiteetin varaamista, mikä on toisaalta mahdotonta häirintähyökkäyksenkin edessä.

6. Kuluttajien tietoturva Yleisin tietoturvaan liittyvä ongelma ovat tietokonevirukset. Lisäksi tapahtuu pankki- ja luottokorttitietoihin liittyviä huijauksia. Suomessa pankkikortit edellyttävät erillistä, tietoverkon ulkopuolella lähetettävää avainlukutunnuskortin avainlukua. Näin pankkikorttitietoihin liittyvää ongelmaa ei koeta Suomessa yhtä laajaksi kuin niissä maissa, joissa vastaavaa käytäntöä ei ole. Yhdysvalloissa esimerkiksi kauppaketju TJX:ltä joutui vääriin käsiin 45 600 000 luotto- tai maksukortin numeroa. Ongelman laajuutta kuvannee se, että maan asukasluku on noin 300 000 000 asukasta. Tietoturva-ajattelun tunnetuksi tekemiseksi järjestetään Suomessa vuosittain Kansallinen tietoturvapäivä.