Lisää näkökulmia riskien hallintaan

Osat vai kokonaisuus?

Kokonaisuus ja sen osat ovat yleensä jatkumo, mutta riskienhallinnassakin on hyödyllistä ymmärtää ääripäiden erot: Osalähtöinen riskienhallinta (component-driven, bottom-up) keskittyy teknisiin osiin ja niiden uhkiin ja haavoittuvuuksiin. Järjestelmälähtöinen riskienhallinta (system-driven, top-down) analysoi järjestelmän kokonaisuutena.

Osa- ja järjestelmälähtöinen riskienhallinta täydentävät toisiaan. Järjestelmälähtöinen lähestymistapa määrittää kokonaisuuden tavoitteet ja myös sen, mitä ei ole tarkoitus tehdä. Se auttaa ymmärtämään järjestelmän eri osien välistä vuorovaikutusta. Näihin voivat kuulua esim. ihmiset, teknologia ja organisaatioprosessit, joiden suhteet eivät ole triviaaleja. Osalähtöinen lähestymistapa tarkastelee esim., mitä kyvykkyyksiä ja toimintoja tarvitaan järjestelmän tavoitteiden saavuttamiseen ja tarkastelee riskien toteutumisen vaikutuksia yksittäisiin järjestelmän osiin (esim. laitteisto, ohjelmisto, data, henkilökunta).

Osalähtöiset riskienhallinnan menetelmät sopivat:

• yksittäisten teknisten komponenttien riskien analysointiin.
• järjestelmien tarkasteluun, kun komponenttien väliset yhteydet ovat selkeitä.
• työskentelyyn, kun järjestelmän fyysisestä toiminnasta on jo sovittu sidosryhmien kesken.

Järjestelmälähtöiset riskienhallinnan menetelmät sopivat:

• turvallisuusvaatimusten määrittämiseen ennen kuin järjestelmän fyysisistä ominaisuuksista on tehty päätöksiä.
• kokoamaan yhteen useiden sidosryhmien näkemykset siitä, mitä järjestelmän pitäisi ja ei pitäisi tehdä (liittyen esim. fyysiseen turvallisuuteen, tietoturvallisuuteen, laillisuuteen).
• kun tutkitaan tietoturvaloukkauksia, jotka johtuvat järjestelmän useiden osien vuorovaikutuksesta ja joita ei voida jäljittää yhteen epäonnistuneeseen seikkaan (single point of failure).

Osa-tason riskit koskevat todennäköisesti enemmän operatiivisia työntekijöitä, joille osien toiminta on tärkeää, jotta työt voidaan tehdä ja tavoitteet saavuttaa. Järjestelmä-tason riskit ovat todennäköisesti tärkeämpiä johdolle, jotka tekevät päätöksiä koko järjestelmän strategioista. Haasteena on näiden näkökulmien yhdistäminen toimivaksi riskienhallinnaksi, johon kaikki voivat sitoutua.

Katso uudestaan esimerkkiä riskien arvioinnista ja riskienhallinnasta.

Kysymys 1

Mistä esimerkissä on kyse?

Järjestelmälähtöisestä riskienhallinnasta

Osalähtöisestä riskienhallinnasta

Pelkästä riskien arvioinnista

Ei mistään näistä

Kysymys 2

Mistä edellinen vastaus voidaan päätellä?

Arvaamalla

Siitä että toimitusjohtaja lukee Tekniikan maailmaa

Kohteena on yksi verkkolevy

Saatiin aikaan päätöksiä

Riskien ainekset

Tässä vaiheessa on syytä hieman tarkentaa sitä, mistä riski muodostuu, olipa kyse järjestelmästä tai sen osista.

Haavoittuvuus

on ominaisuus tai heikkous, jota vastaan voidaan hyökätä tai jota voidaan käyttää siten, että lopputulos on prosessiin tai järjestelmän kannalta ei-toivottu. Haavoittuvuudet voivat olla monenlaisia ja liittyä esimerkiksi

• teknologiaan: huonosti suunniteltu tai virheellinen ohjelmisto, käyttöliittymä, joka hyväksyy virheellistä syötettä jne.
• ihmisiin: puutteellinen henkilöstön koulutus, organisaation kärsiminen henkilöstöpulasta jne.
• organisaatioon: puutteellisesti määritellyt tai huonosti ymmärretyt toimintaprosessit, riittämätön panostus turvajärjestelyihin jne.
• sekä oikeudellisiin kysymyksiin: esimerkiksi huonosti hallitusta tietokannasta tapahtuva tietovuoto voi johtaa merkittäviin sakkoihin.

Tämä ei ole kattava luettelo siitä, mitä haavoittuvuus voi olla, mutta korostaa, että haavoittuvuudet ovat sosioteknisiä eli usein niihin liittyy sekä ihmisiä että teknisiä järjestelmiä.

Uhka

Uhka on henkilö, tapahtuma tai toiminta, jolla on kyky hyödyntää haavoittuvuutta. Myös uhat ovat sosioteknisiä ja voivat sisältää esimerkiksi erilaisia hakkereita, tyytymättömiä työntekijöitä (jotka hakevat kostoa tms.), käyttäjien huolimattomia toimia (esimerkiksi tietojenkalastelun uhriksi joutuminen), tahatonta tietojen virheellistä käsittelyä väärien tai vanhentuneiden ohjeiden vuoksi, tai saatavuuden menettämistä tallennusmedian vikaantumisen tai sähkön loppumisen seurauksena. Viimeiset kaksi esimerkkiä osoittavat, että uhkien taustalla oleva haavoittuvuus voi olla varsin yleinen eikä välttämättä ilmene analyyseissa.

Todennäköisyys

(likelihood) mittaa mahdollisuutta, että uhka hyödyntää haavoittuvuutta ja aiheuttaa ei-toivotun lopputuloksen suojattavan kohteen arvoon. Todennäköisyys voi olla laadullinen (esim. alhainen, keskitaso, korkea) tai määrällinen (esim. asteikko välillä 1–10 tai prosentti). Huomaa, että alttiuden (exposure) tarkastelu voi tulla tässä esille määrittämässä, voivatko uhat ja miten helposti, päätyä kosketuksiin haavoittuvuuksien kanssa.

Vaikutus

(impact) on seuraus siitä, että uhka hyödyntää haavoittuvuutta ja vaikuttaa kielteisesti arvioitavaan riskiin liittyviin tavoitteisiin. Vaikutus riippuu näkökulmasta: koko järjestelmän tasolla toteutuneen riskin vaikutus voi olla esimerkiksi se, että uusi tuote ei valmistu ajallaan, kun taas matalamman tason näkökulmasta vaikutus voi olla yksittäisen komponentin rikkoutuminen.

Riskienhallinnan systematisointi

Riskien arviointia ja hallintaa varten on useita standardeja ja ohjeita. Kaikkien tavoitteena on tarjota systemaattinen tapa muuntaa haavoittuvuudet, uhat, todennäköisyydet ja vaikutukset järjestetyksi listaksi, jotta riskit voidaan priorisoida ja hoitaa. Vaikka kaikilla standardeilla on omat erityispiirteensä, niissä on paljon yhteistä. Alla oleva kuva kokoaa yhteiset periaatteet.

• Riskien tunnistaminen (pre-assessment): tunnistetaan riski, riskiin liittyvät toimijat ja sidosryhmät, sekä riskiin liittyvät näkökulmat.
• Riskien ja huolenaiheiden arviointi (appraisal): riskin syyt ja seuraukset arvioidaan ja samalla kehitetään tietoa riskeistä ja lieventämisvaihtoehdoista (esim. ennaltaehkäisy, jakaminen jne.).
• Luonnehdinta ja evaluointi (characterisation and evaluation): tehdään päätöksiä riskin merkityksestä ja siitä, miten paljon riskiä voidaan sietää.
• Riskienhallinta (management): tehdään päätöksiä riskinhallintasuunnitelmasta ja sen toteuttamisesta, mukaan lukien riskinsietokyky: jos riskiä ei hyväksytä, se pitää joko välttää, tai sitä pitää pienentää, tai se pitää jakaa tai siirtää. Viimeksi mainitut kaksi tarkoittavat, että joku muut kantaa vastuuta vahingoista osittain tai kokonaan. Tavanomaiset tietoturvatoimet yleensä pienentävät (mitigate) riskiä.

Kaikkiin neljään kuuluvat kuvassa keskellä näkyvät viestintä, sidosryhmien sitoutuminen ja asiayhteyden määrittely avoimen ja osallistavan vuoropuhelun kautta. On tärkeää huomata, että riskien arviointi ja hallinta on aina iteratiivinen prosessi. Sitä täytyy toistaa jatkuvasti, kun tilanteet ja toimintaympäristö muuttuvat. Kun tietoturvapoikkeamia tapahtuu, on tärkeää, että niistä otetaan opiksi ja parannetaan paitsi riskienhallintaa myös tietoturvapolitiikkaa, joka on osa viestintää.

Standardeja ja ohjeita riskien arviointiin ja hallintaan ovat esim. NIST SP-800-30 ja ISO/IEC 27005. Näiden prosesseista on kuvat alla. Molemmista löytyy vastaavuudet yllä esitettyihin vaiheisiin.

NIST SP800-30 ja -39 ovat Yhdysvaltain hallituksen suosittelemat riskien arviointi- ja hallintamenetelmät. Niiden käyttö on pakollista Yhdysvaltain valtion virastoissa. Menetelmissä on selkeä vaiheistus, joka tukee koko riskinhallintaprosessia asiayhteyden määrittämisestä riskinsietokykyyn ja tehokkaaseen valvontaan. Dokumentit ovat vapaasti saatavilla ja ISO-standardien mukaisia.

ISO/IEC 27005:2018 on kansainvälinen standardi, joka tarjoaa ohjeet tietoturvariskien hallintaan esittämättä kuitenkaan erityistä riskien arviointitekniikkaa. Standardi painottaa osalähtöisyyttä ja vaatii haavoittuvuuksien, uhkien ja vaikutusten määrittelyn.

Tutki jälleen esimerkkiä riskien arvioinnista ja riskienhallinnasta. Vertaa esimerkkiä riskien arvioinnin ja hallinnan menetelmiin. Valitse yksi tai useampi vaihtoehto.

Kysymys 1

Mikä esimerkissä vastaa riskien tunnistamista?

Levyrikon riskin suuruuden laskeminen ja taulukointi

Toimitusjohtajan Tekniikan maailmasta löytämä lista

Varmuuskopiointijärjestelmän ja hajautuksen hyötyjen pohtiminen.

Verkkolevyn arvokkaiden tietojen määrittäminen

Hälytysjärjestelmän hankinnan siirtäminen myöhempään ajankohtaan.

Varmuuskopiointijärjestelmästä ja hajautuksesta päättäminen.

Ei mikään näistä

Kysymys 2

Mikä esimerkissä vastaa riskien ja huolenaiheiden arviointia?

Levyrikon riskin suuruuden laskeminen ja taulukointi

Toimitusjohtajan Tekniikan maailmasta löytämä lista

Varmuuskopiointijärjestelmän ja hajautuksen hyötyjen pohtiminen.

Verkkolevyn arvokkaiden tietojen määrittäminen

Hälytysjärjestelmän hankinnan siirtäminen myöhempään ajankohtaan.

Varmuuskopiointijärjestelmästä ja hajautuksesta päättäminen.

Ei mikään näistä

Kysymys 3

Mikä esimerkissä vastaa luonnehdintaa ja evaluointia?

Levyrikon riskin suuruuden laskeminen ja taulukointi

Toimitusjohtajan Tekniikan maailmasta löytämä lista

Varmuuskopiointijärjestelmän ja hajautuksen hyötyjen pohtiminen.

Verkkolevyn arvokkaiden tietojen määrittäminen

Hälytysjärjestelmän hankinnan siirtäminen myöhempään ajankohtaan.

Varmuuskopiointijärjestelmästä ja hajautuksesta päättäminen.

Ei mikään näistä

Kysymys 4

Mikä esimerkissä vastaa riskienhallintaa?

Levyrikon riskin suuruuden laskeminen ja taulukointi

Toimitusjohtajan Tekniikan maailmasta löytämä lista

Varmuuskopiointijärjestelmän ja hajautuksen hyötyjen pohtiminen.

Verkkolevyn arvokkaiden tietojen määrittäminen

Hälytysjärjestelmän hankinnan siirtäminen myöhempään ajankohtaan.

Varmuuskopiointijärjestelmästä ja hajautuksesta päättäminen.

Ei mikään näistä

Kysymys 5

Mitä huomasit, kun vertasit esimerkkiä riskien arvioinnin ja hallinnan periaatteisiin?

Esimerkissä ei käsitelty läpileikkaavia näkökulmia

Esimerkissä riskien tunnistaminen oli kattavaa

Periaatteiden kohtia ei välttämättä käydä läpi järjestyksessä

Periaatteet eivät kerro, miten vakavuus ja todennäköisyys pitäisi arvioida

Esimerkki perusteli hyvin, mistä vakavuuden ja todennäköisyyden arvot oli johdettu

En mitään

Kyberfyysisten järjestelmien riskeissä on erityispiirteitä

Perinteisessä tietoturvallisuudessa eli pöytäkoneiden, palvelimien ym. laitteiden maailmassa, riskienhallinta pyrkii yleensä minimoimaan pääsyä, tietojen muuntumista ja palvelukatkoja komponenttien ja järjestelmien sisällä (eli edistämään luottamuksellisuutta, eheyttä ja saatavuutta). Kyberfyysisissä järjestelmissä ja operatiivisessa teknologiassa kiinnitetään yleensä enemmän huomiota fyysiseen turvallisuuteen. Kyberfyysiset järjestelmät ovat esim. teollisuusautomaation ohjausjärjestelmiä, jotka ovat osa kriittistä kansallista infrastruktuuria (esim. energiahuolto, logistiikka ja vedenkäsittely). Ne voivat olla myös monimutkaisia teollisuuden valmistusjärjestelmiä, joissa prosessit ovat liian raskaita, yksitoikkoisia tai vaarallisia ihmistyöntekijöille. Riskit liittyvät usein safety-tyyppiseen turvallisuuteen tai toimintavarmuuteen, koska järjestelmien suora vaikutus fyysiseen maailmaan tuo vaaralle alttiiksi työntekijät, muut ihmiset tai yhteiskunnan toiminnot. Sen vuoksi riskien arvioinnissa ja hallinnassa tulisi käyttää järjestelmälähtöisiä menetelmiä, joiden lähtökohtana on korkean tason tavoitteet (esim. kuoleman välttäminen, säännösten noudattaminen). Tällöin fyysisen turvallisuuden näkökulma tulee huomioiduksi.

Nykyisin kyberfyysisiä järjestelmiä halutaan yhä enemmän käyttää esim. etänä, ja niissä tarvitaan myös perinteisen tietoturvallisuuden näkökulmaa. Tällöin pitää huomioida, että etäkäyttö esim. verkon yli tuo kyberfyysisiin järjestelmiin mukaan kaikki verkkoihin liittyvät riskit. Historiassa turvallisuuskriittisillä järjestelmillä on ohjausjärjestelmien vikaantuessa ollut merkittäviä maailmanlaajuisia vaikutuksia (esim. Tšernobyl, Fukushima), ja kun tähän lisätään yhteys Internetiin, lisääntyy uhkapinta-ala entisestään. Verkkoon liittämisen myötä mukaan tulevat myös maailmanpolitiikan riskielementit ja erittäin resursoidut hyökkääjät (esim. Stuxnet, BlackEnergy). Lisäksi esim. IoT-laitteet ovat uudempi rajapinta turvallisuuskriittisiin järjestelmiin, ja ne voivat tarjota ikkunan, josta hyökkääjät pääsevät järjestelmään. IoT-tietoturva on lapsenkengissään ja IoT-laitteiden vaikutusta ja niiden tuomaa näkökulmaa riskienhallintaan ei ole vielä täysin ymmärretty. Kyberfyysisistä järjestelmistä on lisää toisessa luvussa.

Tietoturvan mittaaminen (syventävä)

Turvallisuusmittarit ovat pitkään olleet kiistanalaisia, koska turvallisuutta on usein vaikea arvioida määrällisesti. Laadullista arviointia käytetään tyypillisesti luotettavan kvantitatiivisen tiedon puuttuessa. Laadullisen arvioinnin ongelma on, että esim. asteikko punainen-keltainen-vihreä on subjektiivinen ja tarkoittaa eri asioita eri ihmisille ja sidosryhmille. Avoimia kysymyksiä ovat: mitä järjestelmän ominaisuuksia pitäisi mitata riskien suhteen, miten riskiä mitataan ja miksi riskiä ylipäätään mitataan? Jotkin mittarit liittyvät riskitasoihin, osa järjestelmän suorituskykyyn ja osa taas palveluntarjoamiseen tai luotettavuuteen.

Mittareilla on erilaisia ominaisuuksia, mutta jotain yleistä voidaan sanoa. On esitetty, että hyvät mittarit

• mittaavat johdonmukaisesti, ilman subjektiivisia kriteerejä.
• ovat helppoja mitata ja kerätä, mieluiten automaattisesti.
• ilmaistaan lukuina tai prosentteina, ei laadullisilla tunnisteilla (esim. matala, keskitaso, korkea).
• käyttävät vähintään yhtä mittayksikköä, esim. “virheet”, “tunnit” tai “eurot”.
• liittyvät asiayhteyteen ja ovat merkityksellisiä päätöksiä tekeville henkilöille, jotta toimenpiteitä voidaan tehdä perustuen mittareihin. Jos vastaus mittaukseen on olkapäiden kohautus ja “entä sitten?”, ei asiaa kannata edes mitata.

Mitä useampi näistä ominaisuuksista mittarilta puuttuu sitä huonompi se on.

Mittareiden tulisi perustua ymmärrykseen, että koskaan ei olla täysin turvassa, joten todellisen turvallisuuden mittaaminen tarvittavaa turvallisuutta vasten on hyväksyttävä lähestymistapa. Tällöin mittarit on räätälöity haavoittuvuuksien hallinnan tehokkuuden mittaamiseen. Erityisesti tulisi miettiä, onko mahdollista mitata numeerisesti, että riskinhallintasuunnitelma ja siihen liittyvät turvatoimet ovat tarkoituksenmukaisia tunnistettuja uhkia vastaan, ja antavatko mittarit todella todisteita siitä, että valitut turvatoimet ovat oikeita? Lisäksi tulisi miettiä, ovatko valitut turvatoimet kustannustehokkaita, eli lisäävätkö ne arvoa enemmän kuin niiden toteuttamiskustannukset ovat.

Palautusta lähetetään...