1. COMP.SEC.100
  2. 3. Riskienhallinta ja riskienhallintajärjestelmä
  3. 3.3 Miksi riskien arviointi ja hallinta on tärkeää?

Miksi riskien arviointi ja hallinta on tärkeää?

Jotta riskeihin päästään käsiksi, tarvitaan kolme vaihetta:

  1. Vaarojen tunnistaminen ja mahdollisuuksien mukaan niiden puntarointi.
  2. Haavoittuvuuksien tai alttiuksien etsiminen ja arviointi.
  3. Riskin suuruuden (laskennallinen) arviointi yhdistämällä todennäköisyys ja vakavuus.

Kohdassa 1 vaarojen tunnistaminen on mahdollisten pahojen tapahtumien ja niiden seurausten määrittämistä, ja puntarointi on tapahtumien seurausten suhteellisen voimakkuuden arviointia. Kohdassa 2 etsitään ja arvioidaan järjestelmän erilaisille uhkille alttiit eli avoimet osat (esim. ihmiset, laitteet, tietokannat), ja niiden haavoittuvuudet eli kyseisten osien ominaisuudet, joihin hyökkäys voidaan kohdistaa (esim. hyväuskoisuus, laitteistovirheet, ohjelmistojen turva-aukot). Kohdassa 3 riskien suuruuden arviointi voi olla määrällinen (esim. todennäköisyyspohjainen) tai laadullinen (esim. skenaarioihin perustuva) ja se arvioi toteutumisen odotettua vaikutusta.

Riskien tunnistaminen

Löydettyään https://haveibeenpwned.com/ -nettisivun Teija Teekkari on alkanut pohtia omaa salasanahygieniaansa. Hän on jo lähes vuosikymmenen käyttänyt samaa salasanaa useammissa palveluissa, mutta luettuaan sivulta löytyvän artikkelin tunnisti hän asiaan liittyvän riskin. Hän huomasi sähköpostiosoitteensa ja MD5-tiivistetyn salasanansa vuotaneen tennisfoorumilta ja artikkelin luettuaan ymmärtää, että murrettuaan MD5-tiivisteen (MD5 on vanhentunut mutta silti valitettavan usein käytössä oleva tiivistealgoritmi) hyökkääjä pääsisi käsiksi lähestulkoon kaikkiin Teijan käyttämiin palveluihin.

Ilman analyyttista jäsenneltyä prosessia ei ole perusteita ymmärtää, mille uhkille monimutkainen järjestelmä altistuu, tai tehdä suunnitelmaa niiden varalle. Helposti unohtuva osa riskienarviointia on huolenaiheiden arviointi. Se sisältää järjestelmää laajemman, sidosryhmät sisältävät käsityksen esim. vaaroista, riskien vaikutusten jälkivaikutuksista, peloista, riskienhallinnan valvonnasta ja luottamuksesta riskienhallinnasta vastaaviin johtajiin.

Riskienarvioinnin perusteella tehdään päätökset koskien tunnistettuja riskejä. Tuloksena kukin riski on jotain seuraavista:

  • Sietämätön: järjestelmän osa on hylättävä tai vaihdettava (niin että riski vältetään), tai jos se ei ole mahdollista, haavoittuvuuksia on vähennettävä ja altistumista rajoitettava.
  • Siedettävä: riskiä on vähennetty kohtuullisilla ja asianmukaisilla menetelmillä mahdollisimman alhaiselle tasolle, ja siitä tulee jäännösriski. Keinovalikoima sisältää riskin pienentämistä, jakamista ja siirtämistä. Käytettävät tavat riippuvat siitä, miten riskejä halutaan yrityksessä käsitellä.
  • Hyväksyttävä: riskien vähentäminen ei ole välttämätöntä ja voidaan jatkaa ilman väliintuloa. Riskiä voidaan käyttää myös mahdollisuuksien etsimiseen (ns. ylösalaisin käännetty riski) ja tällöinkin lopputulos voi olla riskin hyväksyminen pikemminkin kuin sen vähentäminen. (Riskinotto on tavallisempi ilmaisu arjessa.)

Riskien arviointi

Teija pohtii kaikista vakavimpia salasanan vuotamisen seurauksia. Pankkitunnukset ovat kaikeksi onneksi pankin puhelinautentikoijan takana, joten suoraa pääsyä ei hyökkääjällä näihin olisi. Hänen sähköpostinsa sekä sosiaalisen median tilinsä ovat kuitenkin haavoittuvia.

Teijan sähköpostiin päästyään hyökkääjä voisi löytää esimerkiksi vuokrasopimuksen, josta käy ilmi hänen henkilötunnuksensa. Tämän saatuaan hyökkääjä voisi esimerkiksi hakea lainaa Teijan nimissä. Lisäksi hyökkääjä voisi mielivaltaisesti vaihtaa Teijan salasanat mihin tahansa palveluun, johon kyseisellä sähköpostiosoitteella on rekisteröity.

Sosiaalisen median tiliin liittyen Teija arvioi suurimmaksi riskiksi identiteettivarkauden, joka altistaisi myös hänen seuraajansa hyökkäyksille, mikäli hyökkääjä vaikkapa lähettäisi Teijan tililtä viestejä hänen seuraajilleen.

Molemmista riskeistä aiheutuu siis vähintään suurta harmia, pahimmillaan taloudellista vahinkoa Teijalle tai hänen läheisilleen. Siispä hän luokittelee riskit sietämättömiksi.

Päätös riskiin suhtautumisesta riippuu monesta tekijästä, esim. epävarmuudesta, riskin realisoitumisen seurauksista (seuraukset voivat olla hyviä tai huonoja, lieviä tai vakavia), riskinottohalukkuudesta ja organisaation riskinsietokyvystä.

Erityyppiset riskit vaativat erilaista riskienhallintaa. Riskien tyyppejä ovat:

  • Säännölliset riskit ovat sellaisia, joiden todennäköisyys ja vaikutukset tunnetaan melko hyvin. Käsittely noudattaa normaalia johdon päätöksentekoprosessia. Tilastot ja asiaankuuluvat tiedot selvitetään, halutut tulokset ja hyväksyttävyyden rajat määritellään, ja riskien vähentämistoimenpiteet toteutetaan ja pannaan täytäntöön. Esim. auto-onnettomuudet, turvalaitteet.
  • Monimutkaisia riskejä varten saattaa olla tarpeen käyttää laajempaa aineistoa riskeistä; esim. kustannus-hyötyanalyysia tai kustannustehokkuuden arviointia. Esim. lääkkeisiin liittyvät hoitovaikutukset tai ilmastonmuutos ovat esimerkkejä monimutkaisista riskeistä, joiden vaikutusten arviointia monimutkaistavat tieteen konsensuksesta eriävät mielipiteet.
  • Epävarmat riskit ovat sellaisia, joita on vaikea ennustaa. Tällöin hyödyllisiä näkökohtia voivat olla seurausten peruuttamattomuus, pysyvyys ja laajuus. Varovaisuusperiaatetta tulisi noudattaa yhdessä järjestelmien hallitun kehittämisen kanssa, pitäen huolta, että haitalliset sivuvaikutukset voidaan hallita ja tarvittaessa muutokset peruuttaa. Epävarmuuden sietokyky on tässä tärkeää.
  • Epäselviä riskit ovat, kun useat sidosryhmät, esim. operatiivinen henkilöstö tai yhteiskunta, tulkitsevat niitä eri tavoin (esim. on olemassa erilaisia näkemyksiä tai hallintakeinoista ei päästä yhteisymmärrykseen). Tällöin riskienhallinnan tulisi selvittää eriävien näkemysten syyt, jotta epäselvyys vähenisi ja riskienhallinnan keinoja päästäisiin arvioimaan.

Hyvin hoidetun riskien hallinnan ansiosta voidaan olla varmempia, että järjestelmä toimii haluttujen tavoitteiden saavuttamiseksi. Tällöin on todennäköistä, ettei järjestelmää voi manipuloida tuottamaan ei-toivottuja tuloksia ja että käytössä on prosesseja, jotka minimoivat vaikutukset, jos jotain ei-toivottua tapahtuu.

Riskien arviointi ja hallinta tuottaa myös tietoa läpinäkyvästi ja ymmärrettävästi eri yleisöille. Tällöin sidosryhmät ovat tietoisia riskeistä, siitä miten niitä hallitaan ja ketkä ovat vastuussa riskienhallinnasta. Lisäksi sidosryhmät voivat muodostaa mielipiteen siitä, mikä on hyväksyttävä riskialtistuksen raja. Tämä on ehdottoman tärkeää riskien onnistuneen hallinnan kannalta, koska jos riskejä ei kommunikoida selkeästi päätöksentekijöille, riskien hallitsemattomuuden vaikutukset jätetään päätöksissä helposti huomiotta ja järjestelmä säilyy alttiina riskeille. Samoin, jos riskienhallinnan tarkoitus ei ole selvä työntekijöille operatiivisella tasolla ja heiltä puuttuu ymmärrys omasta vastuustaan riskeihin, he eivät välttämättä osallistu riskienhallinnan toteuttamiseen ja järjestelmän riskialttius säilyy.

Riskien hallinta

Teija on tullut siihen lopputulokseen, ettei samojen salasanojen uudelleenkäyttäminen voi jatkua. Riskienhallintakeinona toimii siis salasanojen vaihtaminen. Vaihtamismenettelyssä on kuitenkin valinnanvaraa. Hän muistelee näkemäänsä havainnollistavaa sarjakuvaa salalauseista, ja pohdiskelee olisiko tämä sopiva riskienhallintakeino. Toisaalta hän on kuullut usean tahon suosittelevan salasananhallintaohjelmaa. Kummassakin vaihtoehdoissa Teija saisi luotua vahvoja salasanoja, joten vertailu on lähinnä hinnan/muistivaatimuksen välillä. Salasananhallintaohjelmasta tulisi maksaa, mutta muistettavia salasanoja olisi vain yksi (eli ohjelman pääsalasana). Salalauseiden keksiminen olisi ilmaista puuhaa, mutta muistettavia salasanoja tulisi vähintään tusina.

Vastaa kysymyksiin.

Mitä tarkoittaa siedettävä riski?
Mitä riskityyppiä esimerkki edustaa? “Hipster Inc.:n toimitusjohtaja on huolissaan yritysvakoilusta, joka tapahtuisi jonkun Hipster Inc:in työntekijän toimesta. Hän pitää sitä todennäköisenä riskinä, koska Hipster Inc. on juuri patentoimassa kehittämäänsä teknologiaa. Hipster Inc.:in henkilöstöpäällikkö ei kuitenkaan jaa huolta. Hänestä rekrytointiprosessi ottaa hyvin huomioon työntekijöiden taustat ja siksi sisäpuolisen vakoilun uhkaa ei ole. “
Mitä riskityyppiä esimerkki edustaa? “Hipster Inc.:in selvityksen mukaan sen työntekijöille tulee runsaasti tietojenkalasteluun liittyvää roskapostia. Vaikka työntekijät ovat olleet toistaiseksi niihin haksahtamatta, “läheltä piti” -tilanteita on ollut useita. Hipster Inc. päättää lisätä koulutusta kalasteluviestien tunnistamiseen liittyen. Lisäksi päätetään, että roskapostin määrää pitää saada vähennettyä ja ottaa käyttöön tehokkaat suodattimet. Toimien tehokkuutta mitataan tarkkailemalla “läheltä piti” -tilanteiden määrää.”
Palautusta lähetetään...