Hopp til innhold
Fagartikkel

Konfidensialitet, integritet og tilgjengelighet

Denne artikkelen forklarer nøkkelbegreper innen informasjonssikkerhet. Disse hjelper oss med å problematisere forskjellige områder som kan utnyttes, og som vi derfor bør fokusere på når vi arbeider med informasjonssikkerhet.

Konfidensialitet

Konfidensialitet handler om å sikre at informasjon bare er tilgjengelig for de som skal ha tilgang til den.

Det kan være mange grunner til at informasjon må holdes hemmelig. Her er noen eksempler:

  • Bedrifter holder informasjon hemmelig for å hindre at konkurrenter skal få fordeler, eller at andre skal kunne kopiere teknologi de selv har utviklet.
  • Militær- og etterretningstjenester bruker konfidensialitet for å hindre at mulige fiender skal få tak i informasjon som gjør det lettere for dem å planlegge eller gjennomføre angrep.
  • Som privatpersoner har vi informasjon vi ikke ønsker at alle skal ha tilgang til, for eksempel legejournal, passord, elevmappe på skolen, private meldinger og bilder.

Når konfidensialiteten blir brutt, mister personen, bedriften eller staten kontrollen over informasjonen, og den kan brukes i forskjellige former for angrep.

Integritet

Integritet vil si at informasjon er korrekt og uendret. At integriteten er sikret, er viktig både for oss som privatpersoner og for bedrifter og stater. Endring av informasjon kan gjøre stor skade. Her er noen eksempler:

  • En trusselaktør tar over en persons konto på et sosialt medium og bruker deretter kontoen til å spre falsk informasjon. Dette kan skade personens rykte og gjøre at falsk informasjon lettere blir trodd og spredd.
  • Legejournalen din blir endret, slik at sykehuset tror du har en annen blodtype enn det du virkelig har. Hvis du senere trenger blodoverføring, kan denne feilinformasjonen skade eller drepe deg.
  • Nettsidene til en bedrift eller offentlig instans blir endret, noe som medfører at det blir spredd feilinformasjon. Hvis det gjøres på en troverdig måte, kan spredningen bli omfattende.

Tilgjengelighet

At informasjon er tilgjengelig når den trengs, er ofte veldig viktig. Hvis informasjonen blir forsinket eller gjort utilgjengelig, kan dette skape store problemer. Her er noen eksempler:

  • Legejournalen din er ikke tilgjengelig når du kommer inn på sykehuset. Hvis dette skjer, må helsepersonellet gjøre nye undersøkelser før de kan starte behandling. Denne ekstra tidsbruken kan fort koste liv.
  • Hackere tar ned nettsidene til en bedrift. Dette gjør det umulig for kundene å komme inn for å handle, noe som hindrer salg og kan gi bedriften et dårlig rykte.

I animasjonen under kan du se hvordan de forskjellige aspektene ved sikkerhet kan spille inn på et enkelt legebesøk.

Andre viktige begreper

I tillegg til de tre hovedbegrepene har vi også to andre som henger nær sammen med dem, og som i en del tilfeller er like viktige som de andre for å oppnå informasjonssikkerhet.

Ikke-benektbarhet

På internett er det i utgangspunktet ikke mulig å vite hvem som er hvem. I mange tilfeller er ikke dette så farlig. For eksempel bruker mange et annet brukernavn (pseudonym) på tjenester de benytter på nett. Dette kan faktisk gi personen økt sikkerhet, siden pseudonymet gjør at det ikke er mulig å avdekke hvem personen er i den virkelige verden. Men noen ganger trenger vi å vite hvem vi kommuniserer med, for eksempel hvis vi skal skrive under på kontrakter eller foreta banktransaksjoner. Da er det viktig å ha systemer som sikrer at det er riktig person som bruker tjenesten, og at personen ikke kan komme i ettertid og nekte for at det var han eller hun som brukte tjenesten. Ved å sikre identitet sikrer vi også ikke-benektbarhet.

Sporbarhet

Når flere har tilgang til å endre informasjon, blir det ofte viktig å kunne se hvem som har gjort hva. Et eksempel på dette er at det blir loggført hver gang helsepersonell åpner legejournalen din. Hvis du tror at noen har misbrukt tilgangen sin, kan du be om loggene som viser hvem som har vært inne og sett på informasjonen, og når det skjedde. Et annet eksempel er at hvis noen gjør en kredittsjekk av deg, får du brev om det og kan se hvem som har gjort det.

Et annet aspekt ved dette er at vi kan se hvem som har endret informasjon. Dette kan gjelde alt fra å se hvem som har gjort hva i et dokument flere samarbeider om å skrive, til å finne ut hvem som har lagt inn falsk informasjon i et offentlig register.

For at sporbarhet skal fungere, må også ikke-benektbarhet være på plass.