Kyberriskienhallinta¶

Tässä luvussa tarkastellaan riskejä hallinnollisesta näkökulmasta. Ylimmällä tasolla, sisältäen myös turvakulttuuria ja -politiikkaa, on englanninkielisessä terminologiassa risk governance, jolla ei ole selkeää suomenkielistä vastinetta. “Governanssia” kutsutaan tässä luvussa riskienhallintajärjestelmäksi, vaikka riskienhallinta (risk management) on vain osa sitä. Riskien hallintaan puolestaan kuuluu mm. riskien arviointi (risk assessment). Hallinnan ja arvioinnin periaatteita tarkastellaan tässä luvussa eri näkökulmista, jotka ulottuvat yksittäisistä suojattavista kohteista koko järjestelmän tavoitteisiin.

Tämä luku tarkentaa samojen peruskäsitteiden ominaisuuksia eri yhteyksissä ja välillä voi olla hankala pitää mielessä termien suhteet. Näistä “yhtälöistä” voi olla apua:

“Governanssi” ≈ Hallinta + politiikat + organisaation kulttuuri ja johto
Hallinta ≈ tunnistaminen + Arviointi + toimenpiteet (eli niiden valinta, toteutus on erikseen)
Analyysi ≈ Hallinta miinus toimenpiteistä päättäminen

Yhtälöistä on sana riski jätetty yksinkertaisuuden vuoksi pois, eikä sitä ole seuraavassakaan luettelossa, joka esittää riskin ainesosat myöhemmin tarkennettaviksi:

Haavoittuvuus (vulnerability) on ominaisuus, jonka kautta hyökkääjä, ympäristö tai käyttäjä voi vaikuttaa ei-toivotulla tavalla prosessiin tai järjestelmään.
Uhka (threat) on henkilö, tapahtuma tai toiminta, jolla on mahdollisuus vaikuttaa ei-toivotulla tavalla prosessiin tai järjestelmään, joko haavoittuvuuden kautta tai muuten.
Alttius (exposure) määrittää, voivatko uhat päätyä kosketuksiin haavoittuvuuksien kanssa ja miten helposti se voi tapahtua. On mahdollista, että haavoittuvuus ei ole alttiina uhalle.
Todennäköisyys (likelihood) mittaa mahdollisuutta, että uhka toteutuu.
Vaikutus (impact) on seuraus siitä, että uhka toteutuu, eli jotain ei-toivottua tapahtuu. Kuten todennäköisyys, tämäkin pyritään arvioimaan kvantitatiivisesti.

Tehokas riskienhallinta on tärkeä turvallisuuden ylläpitämisessä ja siihen vaikuttavat myös sosiaaliset ja kulttuuriset tekijät. Ihmisillä on yhä sormensa pelissä lähes kaikissa järjestelmissä ja tämä on otettava huomioon riskienhallinnassa alusta alkaen. Hyvin määritellystä ja toteutetusta riskienhallinnan järjestelmästä huolimatta on aina mahdollista, että riski toteutuu. Silloin tarvitaan poikkeamien hallintaa (incident response), jolla on yhteys riskienhallinnan prosessiin.

Edellä sanottu koskee riskienhallintaa yleisesti ja soveltuu kyberturvallisuuden ohella vaikkapa pankkitoimintaan, liikenteeseen ja urheiluun. Sama koskee monia kohtia tässä luvussa, mutta kyberturvallisuus tietysti korostuu, koska digitaalisuus yleistyy jokapäiväisessä elämässä ja esim. palvelut siirtyvät ja arkipäiväiset esineet kytkeytyvät verkkoon. Esineiden internetin (internet of things, IoT) kasvun myötä verkkoon yhdistettyjen aktiivisten laitteiden määrän odotetaan kasvavan 30 miljardiin vuoteen 2030 mennessä. Lisäksi ihmisen päätökseen perustuvia tehtäviä, kuten autolla ajaminen, korvataan automaattisilla teknologioilla. Digitaalisesta infrastruktuurista ollaan yhä enemmän riippuvaisia kokonaisten yhteiskuntien tasolla ja sen häiriöt ja palveluiden keskeytyminen esim. kiristyshaittaohjelmien (ransomware) vuoksi on yhä suurempi ja vaarallisempi ongelma. Erilaisten kyberhäiriöiden aiheuttamat menetykset voivat olla taloudellisesti kalliita ja kyberfyysisten järjestelmien yleistyessä vaarantaa myös ihmishenkiä. Siksi kyberturvallisuusriskien arviointi ja hallinta on erityisen tärkeää, ja se koskee kaikkia, sekä digitaalista infrastruktuuria käyttäviä että sitä kehittäviä.