- COMP.SEC.100
- 3. Riskienhallinta ja riskienhallintajärjestelmä
- 3.4 Mitä riskien arviointi ja hallinta tarkoittaa kyberturvallisuudessa?
Mitä riskien arviointi ja hallinta tarkoittaa kyberturvallisuudessa?¶
Digitaalisuus yleistyy jokapäiväisessä elämässä ja esim. palvelut siirtyvät ja arkipäiväiset esineet kytkeytyvät verkkoon. Esineiden internetin (internet of things, IoT) kasvun myötä verkkoon yhdistettyjen aktiivisten laitteiden määrän odotetaan kasvavan 30 miljardiin vuoteen 2030 mennessä. Lisäksi ihmisen päätökseen perustuvia tehtäviä, kuten autolla ajaminen, korvataan automaattisilla teknologioilla. Digitaalisesta infrastruktuurista ollaan yhä enemmän riippuvaisia kokonaisten yhteiskuntien tasolla ja sen häiriöt ja palveluiden keskeytyminen esim. kiristyshaittaohjelmien (ransomware) vuoksi on yhä suurempi ja vaarallisempi ongelma. Erilaisten kyberhäiriöiden aiheuttamat menetykset voivat olla taloudellisesti kalliita ja kyberfyysisten järjestelmien yleistyessä vaarantaa myös ihmishenkiä. Siksi kyberturvallisuusriskien arviointi ja hallinta on erityisen tärkeää, ja se koskee kaikkia, sekä digitaalista infrastruktuuria käyttäviä että sitä kehittäviä. Kaikkien tulisi osaltaan ymmärtää ja osallistua kyberturvallisuusriskien arviointiin ja hallintaan. Tätä varten on olemassa erilaisia standardeja, joita esim. organisaatiot voivat hyödyntää kyberriskien hallinnassa. Joidenkin niistä periaatteita käydään läpi riskien arvioinnin ja hallinnan yhteydessä.
Esimerkki riskien arvioinnista ja riskienhallinnasta
Hipster Inc.:ssä on käytössä verkkolevy, jota käyttävät yrityksen asiakaspalvelu sekä lisäksi sihteerit ja palkanlaskijat. Hipster Inc. herää pohtimaan verkkolevyn riskejä, koska toimitusjohtaja on lukenut Tekniikan Maailmasta seuraavat uhat, joita hän pitää todennäköisinä:- Verkkolevypalvelimen levyrikko
- Verkkolevypalvelimen ohjelmistovika joka kirjoittaa levyn tiedostot täyteen 0x41:ta.
- Kiristyshaittaohjelma
- Tulipalo ja vesivahinko (yhdessä tai erikseen)
- Murtovarkaus
- Asiakastiedot
- Laskutusjärjestelmän tiedot maksuista
- Palkkatiedot
Riskien arviointi:
| 1 levyrikko | 2 ohjelmistovika | 3 kiristyshaittaohjelma | 4 tulipalo/vesivahinko | 5 murtovarkaus | |
|---|---|---|---|---|---|
| Todennäköisyys | 4 | 1 | 3 | 2 | 2 |
| Vakavuus | 2 | 5 | 5 | 5 | 4 |
| Riskin suuruus | 8 | 5 | 15 | 10 | 8 |
Riskianalyysin perusteella suurin riski on kiristyshaittaohjelma, toisella sijalla tulipalo/vesivahinko, kolmannella sijalla levyrikko ja murtovarkaus, ja neljäntenä ohjelmistovika. Seuraavaksi Hipster Inc. pohtii keinoja riskien hallitsemiseksi:
- Kiristyshaittaohjelmaa, levyrikkoa ja ohjelmistovikoja vastaan toimii hyvä varmuuskopiontijärjestelmä ja -prosessi, jolloin vahingon sattuessa tiedot voidaan palauttaa. Auttaa myös fyysisiä riskejä vastaan, kun kopioiden hajautuksesta huolehditaan.
- Fyysisiä uhkia koskevia riskejä (tulipalo, vesivahinko) voidaan pienentää hajauttamalla verkkolevy (ja sen varmuuskopiot) useaan fyysiseen paikkaan. Paikkojen tulee olla paloturvallisia ja vesivahinkosuojattuja.
- Murtovarkauksia vastaan auttaa hälytysjärjestelmä.
Hipster Inc. päättää ottaa käyttöön keinoista kohdat 1 ja 2, koska nämä vastaavat kahteen suurimpaan riskiin. Lisäksi ne suojaavat myös levyrikon ja ohjelmistovian sattuessa. Hälytysjärjestelmän hankkiminen päätetään jättää tuonnemmaksi ja sietää toistaiseksi murtovarkauden riskiä.