- COMP.SEC.100
- 3. Riskienhallinta ja riskienhallintajärjestelmä
- 3.3 Miksi riskien arviointi ja hallinta on tärkeää?
Miksi riskien arviointi ja hallinta on tärkeää?¶
Riskien arviointi sisältää kolme keskeistä osaa:
- tunnistaminen ja mahdollisuuksien mukaan vaaran arviointi
- alttiuksien (exposure) ja haavoittuvuuksien (vulnerability) arviointi ja
- riskin suuruuden arviointi yhdistämällä todennäköisyys ja vakavuus.
Tunnistamisen yhteydessä organisoidaan toiminta riskin suhteen, kun taas arviointi määrittää, kuinka voimakasta toimintaa tarvitaan. (Riski)alttius liittyy järjestelmän erilaisille uhkille avoimiin osa-alueisiin (esim. ihmiset, laitteet, tietokannat), kun taas haavoittuvuus liittyy näiden osa-alueiden ominaisuuksiin, joihin hyökkäys voidaan kohdistaa (esim. alttius petoksille, laitteistovirheet, ohjelmistojen hyödyntäminen). Riskien arviointi voi olla määrällinen (esim. todennäköisyyspohjainen) tai laadullinen (esim. skenaarioihin perustuva). Riskien arviointi arvioi toteutumisen odotettua vaikutusta.
Riskien tunnistaminen
Löydettyään https://haveibeenpwned.com/ -nettisivun Teija Teekkari on alkanut pohtia omaa salasanahygieniaansa. Hän on jo lähes vuosikymmenen käyttänyt samaa salasanaa useammissa palveluissa, mutta luettuaan sivulta löytyvän artikkelin tunnisti hän asiaan liittyvän riskin. Hän huomasi sähköpostiosoitteensa ja MD5-tiivistetyn salasanansa vuotaneen tennisfoorumilta ja artikkelin luettuaan ymmärtää, että murrettuaan MD5-tiivisteen (MD5 on vanhentunut mutta silti valitettavan usein käytössä oleva tiivistealgoritmi) hyökkääjä pääsisi käsiksi lähestulkoon kaikkiin Teijan käyttämiin palveluihin.
Riskien arviointi perustuu analyyttisen ja jäsennellyn prosessin käyttöön tietojen, käsitysten ja todisteiden keräämiseksi siitä, mihin riski kohdistuu, kuinka todennäköisiä toivotut ja ei-toivotut tapahtumat ovat, ja mitkä ovat todennäköiset seuraukset ja vaikutukset. Ilman näitä tietoja ei ole perusteita ymmärtää, mille uhkille altistutaan, tai tehdä suunnitelmaa niiden hallitsemiseksi. Usein helposti unohtuva osa riskienarviointiprosessia on huolenaiheiden arviointi. Huolenaiheiden arviointi sisältää laajemman, sidosryhmien käsityksen esim. vaaroista, riskien vaikutusten jälkivaikutuksista, peloista, riskienhallinnan valvonnasta ja luottamuksesta riskienhallinnasta vastaaviin johtajiin.
Riskienhallintaprosessi sisältää riskien (ja huolenaiheiden) arvioinnin tuottamien tietojen tarkastelun. Tämän perusteella tehdään päätökset koskien tunnistettuja riskejä. Lopputulos voi olla jokin seuraavista:
- Sietämätön: järjestelmän osa on hylättävä tai vaihdettava, tai jos se ei ole mahdollista, haavoittuvuuksia on vähennettävä ja altistumista rajoitettava.
- Siedettävä: riskiä on vähennetty kohtuullisilla ja asianmukaisilla menetelmillä mahdollisimman alhaiselle tasolle. Keinovalikoima voi sisältää riskin vähentämistä, jakamista tai siirtämistä, ja käytettävät tavat riippuvat siitä, miten riskejä yrityksessä halutaan käsitellä.
- Hyväksyttävä: riskien vähentäminen ei ole välttämätöntä ja voidaan jatkaa ilman väliintuloa. Riskiä voidaan käyttää myös mahdollisuuksien etsimiseen (ns. ylösalaisin käännetty riski) ja lopputulos voi olla riskin hyväksyminen pikemminkin kuin sen vähentäminen.
Riskien arviointi
Teija pohtii kaikista vakavimpia salasanan vuotamisen seurauksia. Pankkitunnukset ovat kaikeksi onneksi pankin puhelinautentikoijan takana, joten suoraa pääsyä ei hyökkääjällä näihin olisi. Hänen sähköpostinsa sekä sosiaalisen median tilinsä ovat kuitenkin haavoittuvia.
Teijan sähköpostiin päästyään hyökkääjä voisi löytää esimerkiksi vuokrasopimuksen, josta käy ilmi hänen sosiaaliturvatunnuksensa. Tämän saatuaan hyökkääjä voisi esimerkiksi hakea lainaa Teijan nimissä. Lisäksi hyökkääjä voisi mielivaltaisesti vaihtaa Teijan salasanat mihin tahansa palveluun, johon kyseisellä sähköpostiosoitteella on rekisteröity.
Sosiaalisen median tiliin liittyen Teija arvioi suurimmaksi riskiksi identiteettivarkauden, joka altistaisi myös hänen seuraajansa hyökkäyksille, mikäli hyökkääjä vaikkapa lähettäisi Teijan tililtä viestejä hänen seuraajilleen.
Molemmista riskeista aiheutuu siis vähintään suurta harmia, pahimmillaan taloudellista vahinkoa Teijalle tai hänen läheisilleen. Siispä hän luokittelee riskit sietämättömiksi.
Päätös riippuu monesta tekijästä, esim. epävarmuudesta, riskin realisoitumisen seurauksista (seuraukset voivat olla hyviä tai huonoja, lieviä tai vakavia), riskinottohalukkuudesta ja organisaation riskinsietokyvystä.
Erityyppiset riskit vaativat erilaista riskienhallintaa. Riskien tyyppejä ovat:
- Säännölliset riskit: noudattavat melko normaalia johdon päätöksentekoprosessia. Tilastot ja asiaankuuluvat tiedot selvitetään, halutut tulokset ja hyväksyttävyyden rajat määritellään, ja riskien vähentämistoimenpiteet toteutetaan ja pannaan täytäntöön. Esim. auto-onnettomuudet, turvalaitteet.
- Monimutkaiset riskit: jos riskit eivät ole yhtä selkeitä, saattaa olla tarpeen huomioida laajempaa aineistoa riskeistä, esim. kustannus-hyötyanalyysiä tai kustannustehokkuuden arviointia voidaan käyttää. Esim. huumeisiin liittyvät hoitovaikutukset tai ilmastonmuutos ovat esimerkkejä monimutkaisista riskeistä, joiden vaikutusten arviointia monimutkaistavat tieteen konsensuksesta eriävät mielipiteet.
- Epävarmat riskit: jos riskiä on vaikea ennustaa, tekijät, kuten voidaanko seuraukset peruuttaa, kuinka pysyviä seuraukset tai riskit ovat ja kuinka laajasti riskit tai seuraukset vaikuttavat, ovat hyödyllisiä näkökohtia. Varovaisuusperiaatetta tulisi noudattaa hallitun järjestelmien kehittämisen kanssa, huomioiden, että haitalliset sivuvaikutukset voidaan hallita ja tarvittaessa muutokset peruuttaa. Epävarmuuden sietokyky on tärkeää tässä.
- Epäselvät riskit: kun useat sidosryhmät, esim. operatiivinen henkilöstö tai yhteiskunta, tulkitsevat riskejä eri tavoin (esim. on olemassa erilaisia näkemyksiä tai hallintakeinoista ei päästä yhteisymmärrykseen), riskienhallinnan tulisi selvittää eriävien näkemysten syyt, jotta epäselvyys vähenisi ja riskienhallinnan keinoja tilanteessa päästäisiin arvioimaan.
Hyvin tehdyn riskien arvioinnin ja riskienhallinnan ansiosta päätöksentekijät voivat olla varmempia, että järjestelmä toimii haluttujen tavoitteiden saavuttamiseksi. Hyvä riskienhallinta myös varmistaa, ettei järjestelmää manipuloida (tahallisesti tai tahattomasti) tuottamaan ei-toivottuja tuloksia ja että käytössä on prosesseja, jotka minimoivat vaikutukset, jos ei-toivotut seuraukset toteutuvat.
Riskien arviointi ja hallinta tuottaa myös tietoa läpinäkyvästi, ymmärrettävästi ja helposti tulkittavalla tavalla eri yleisöille. Tällöin sidosryhmät ovat tietoisia riskeistä, siitä miten niitä hallitaan ja siitä, ketkä ovat vastuussa riskienhallinnasta. Lisäksi sidosryhmät voivat muodostaa mielipiteen siitä, mikä on hyväksyttävä riskialtistuksen raja. Tämä on ehdottoman tärkeää riskien onnistuneen hallinnan kannalta, koska jos riskejä ei kommunikoida selkeästi päätöksentekijöille, riskien hallitsemattomuuden vaikutukset jätetään päätöksissä helposti huomiotta ja järjestelmä säilyy alttiina riskeille. Samoin, jos riskienhallinnan tarkoitus ei ole selvä työntekijöille operatiivisella tasolla ja heiltä puuttuu ymmärrys omasta vastuustaan riskeihin, työntekijät eivät välttämättä osallistu riskienhallinnan toteuttamiseen ja järjestelmän riskialttius säilyy.
Riskien hallinta
Teija on tullut siihen lopputulokseen, ettei samojen salasanojen uudelleenkäyttäminen voi jatkua. Riskienhallintakeinona toimii siis salasanojen vaihtaminen. Vaihtamismenettelyssä on kuitenkin valinnanvaraa. Hän muistelee näkemäänsä havainnollistavaa sarjakuvaa salalauseista, ja pohdiskelee olisiko tämä sopiva riskienhallintakeino. Toisaalta hän on kuullut usean tahon suosittelevan salasananhallintaohjelmaa. Kummassakin vaihtoehdoissa Teija saisi luotua vahvoja salasanoja, joten vertailu on lähinnä hinnan/muistivaatimuksen välillä. Salasananhallintaohjelmasta tulisi maksaa, mutta muistettavia salasanoja olisi vain yksi (eli ohjelman pääsalasana). Salalauseiden keksiminen olisi ilmaista puuhaa, mutta muistettavia salasanoja tulisi vähintään tusina.