Kyberturvallisuuslaki edellyttää viestintäverkkojen ja tietojärjestelmien turvallisuuteen liittyvää riskienhallintaa ja ajantasaisia riskienhallintatoimenpiteitä, jotta voidaan estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen ja palveluiden vastaanottajiin. Mitä kyberturvallisuuslain tarkoittama riskienhallinta tulisi käytännössä toteuttaa? Avaamme kyberturvallisuusriskienhallintaa kahdessa blogissamme.
Mitä on kyberturvallisuusriskienhallinta?
Kyberturvallisuusriskienhallinta on järjestelmällinen prosessi, jossa tunnistetaan ja hallitaan kyberuhkiin liittyviä riskejä. Sen avulla suojataan organisaation tiedot, järjestelmät ja liiketoiminta häiriöiltä ja hyökkäyksiltä. Riskienhallinta tukee päätöksentekoa ja resurssien kohdentamista ja varmistaa, että suojaustoimet pysyvät ajan tasalla muuttuvassa uhkaympäristössä.
1. Tunnista keskeinen omaisuus ja avainhenkilöt
Riskien tunnistamiseksi on tärkeää miettiä, mitä halutaan suojata. Ensimmäinen vaihe onkin oman toiminnan kannalta tärkeiden palveluiden, prosessien, tietojärjestelmien, pilvipalveluiden, tiedon ja laitteiden dokumentointi omaisuusluetteloon. Omaisuusluetteloon kannattaa luokitella, onko keskeistä tiedon luottamuksellisuus, eheys vai saatavuus ja onko omaisuus toiminnan kannalta kriittinen, tärkeä, normaali vai ei lainkaan tärkeä. Lisäksi on hyödyllistä merkitä, mihin asiakkaalle tarjottavaan tai sisäisesti tarvittavaan palveluun omaisuutta tarvitaan. Erityisesti on tärkeää merkitä, mikäli jokin yksittäinen järjestelmä, prosessi tai laite on niin keskeinen, että ilman sitä toiminta sakkaa.
Toiminnan kannalta keskeiset avainhenkilöt kannattaa tunnistaa ja varmistaa, että heille on osaava varahenkilö.
2. Luo kyberturvallisuusriskienhallinnan toimintaperiaatteet
Kyberturvallisuusriskienhallinnan toimenperiaatteet, tai politiikka, on ohjaava dokumentti, jossa kuvataan seuraavia asioita:
- Kyberturvallisuuden riskienhallinnan tavoitteet,
- Roolit ja vastuut riskienhallinnassa,
- Johdon sitoutuminen riskienhallintaan ja
- Johdon hyväksyntä toimintaperiaatteille.
Toimintaperiaatteet voi sisällyttää yleiseen riskienhallintapolitiikkaan tai kyberturvallisuusriskienhallinnan toimienpideohjeeseen.
Toimintaperiaatteet on myös hyvä paikka kuvata riskienhallintaan liittyvä terminologia, jotta riskeistä on helpompi keskustella Kyberturvallisuuslain mukaiset määritelmät ovat seuraavat:
Kyberuhka on haitallinen tilanne, tapahtuma tai toiminta, joka voi toteutuessaan vahingoittaa tai häiritä tietojärjestelmiä, viestintäverkkoja, näiden käyttäjiä tai muita henkilöitä.
Riski on aiheutuneiden menetysten tai häiriön mahdollisuus, joka ilmaistaan menetyksen tai häiriön suuruuden ja toteutumistodennäköisyyden yhdistelmänä.
3. Dokumentoi kyberturvallisuuden riskienhallinnan prosessi ja menettelyohje
Kyberturvallisuuden riskienhallinnan prosessi ja menettelyohje on konkreettinen ohje siitä, millaisten vaiheiden avulla henkilöstö osaa tunnistaa kyberturvallisuusriskejä omilta vastuualueiltaan ja tehdä riskien pienentämiseksi tarvittavia toimenpiteitä.
Menettelyohjeessa kannattaa kuvata:
- Miten usein riskiarviointeja tulee tehdä?
- Kuinka kyberturvallisuusuhkia tunnistetaan, esimerkiksi uhkamallinnuksen avulla?
- Miten riskin suuruus arvioidaan, sisältäen todennäköisyyden arvioinnin kriteeristön, vakavuuden arvioinnin kriteeristön ja miten riski lasketaan edellä mainittujen avulla?
Miten riskienhallintatoimenpiteet valitaan, esimerkiksi:
- Miten riskiä voi minimoida tai poistaa?
- Millaisia riskejä voidaan siirtää osittain esimerkiksi ulkoistamalla, palvelusopimuksilla tai kybervakutuuksilla?
- Johdon hyväksymä riskinsietokyky – eli millaisia riskejä voidaan hyväksyä?
- Miten riskin omistaja valitaan?
- Miten riskienhallintatoimenpiteiden toteutumista seurataan?
- Miten ja minne riskit, valitut hallintatoimenpiteet ja jäännösriskin hyväksyntä kirjataan?
- Miten riskienhallintatoimenpiteiden vaikuttavuutta arvioidaan – eli oliko toimenpiteistä hyötyä vai ei?
4. Tunnista uhkat ja dokumentoi ne
Uhkien tunnistaminen kannattaa tehdä porukalla, jotta saadaan useita näkökulmia ja ideoita. Brainstormaus on hyvä lähtökohta: ideoidaan ja kirjataan ylös kaikki ajatukset, mikä voisi mennä pieleen, liikaa ajattelua rajoittamatta. Liian epätodennäköisten tai villien skenaarioiden karsinnan aika tulee myöhemmin.
Jotta uhkien tunnistaminen olisi kattavaa, kannattaa hyödyntää omaisuusluetteloa ja miettiä, mitä haitallisia seurauksia omaisuuden vaarantumisella olisi, tai mitä ikävää esimerkiksi tiedolle, pilvipalvelulle tai laitteelle ei saisi tapahtua. Vielä systemaattisemmin uhkiin voi pureutua järjestelmäkohtaisen uhkamallinnuksen avulla.
Kyberturvallisuuslaki edellyttää kaikkien vaaratekijöiden huomioimista. Tämä tarkoittaa, että uhkien tunnistamisessa tulisi miettiä soveltuvin osin seuraavien haitallisten skenaarioiden toteutumista tarjottaville palveluille ja organisaation toiminnalle:
Fyysiset uhkat ja ympäristön uhkat: Mitä seuraa, jos laitteita varastetaan, varastoon murtaudutaan, ulkopuolinen pääsee luvatta toimistoon, tuotantolaitteet rikkoutuvat, tai sattuu tulipalo, vesivahinko tai pitkä sähkökatkos?
Ilkivalta: Voisiko joku tehdä ilkivaltaa esimerkiksi julkisella paikalla oleviin laitteistoihin?
Entä jos kaivuri katkaisee tietoliikennekaapelin toimistomme liepeiltä tai internet-operaattorilla on laaja-alainen vika?
Kyberhyökkäykset: Millaisia seurauksia voi olla palvelunestohyökkäyksillä, kiristyshaittaohjelmilla tai tietojenkalastelulla? Millainen motivaatio kyberrikollisilla on hyökätä juuri meihin? Voimmeko joutua kohdentamattoman hyökkäyksen uhriksi? Miten olemme suojautuneet?
Sisäpiirin uhkat: Käsittelemmekö tietoa tai liikkuuko meillä rahaa, joka motivoisi väärinkäytökseen tai muuhun sisäpiirin uhkaan?
Toimitusketjun uhkat: Mitä voi seurata, jos palvelutoimittaja tekee virheen tai toimittaja vaihtuu? Entä jos päivittäin tarvitsemassamme pilvipalvelussa on toimintahäiriö? Lue lisää toimittajariskien hallinnasta myös aiemmasta blogistamme.
Ohjelmistokehityksen ja ylläpidon uhkat: Entä jos ylläpitäjä tekee konfiguraatiota muuttaessaan virheen, voiko se häiritä palvelun oikeaa toimintaa? Voidaanko vahingossa laittaa tuotantoon ohjelmistoversio, jossa on bugeja tai haavoittuvuuksia?
Uhkien ideoinnin jälkeen samaan liittyvät uhkia kannattaa vielä tarvittaessa yhdistellä ja selkeyttää, jotta niiden tarkastelu myöhemmin on helpompaa. Lisäksi uhkat tulee kirjata yhdessä sovittuun paikkaan, eli riskirekisteriin.
Riskirekisterin toteutus voi olla esimerkiksi taulukko Excelissä tai Google Sheetissä, Jira-tiketteinä, Sharepoint-listana tai kirjattuna jossain riskienhallintaan tarkoitetussa sovelluksessa. Tärkeintä on, että tässä kohtaa päivität riskirekisteriin, mikä on uhkaskenaario ja mitkä ovat sen vaikutukset.
5. Arvioi riskin suuruus
Kun uhkat eli ei-toivotut skenaariot on tunnistettu, on aika arvioida niiden todennäköisyys ja vaikutus. Myös nämä arviot on syytä tehdä porukalla, sillä harvoin yhdellä ihmisellä on kattavaa ymmärrystä uhkan vaikutuksista koko organisaation läpi. Lisäksi on hyvin inhimillistä aliarvioida riskit ja yliarvioida oma puolustuskyky.
Uhkan toteutumisen todennäköisyyttä voi olla hankala arvioida aikamääreillä. Miten todennäköisesti joku yrittää tietomurtoa järjestelmiimme kolmen vuoden aikana? Toki historiatietoa ja aiempia poikkeamia voi hyödyntää arvion tukena. Todennäköisyyden käsitettä voi myös pilkkoa osiin helpottamaan arviointia.
Löydettävyys. Esimerkiksi, pitääkö uhkan toteutumiseksi päästä sisään VPN:llä ja kirjautua admin-käyttöliittymään vai riittääkö että joku internetissä törmää heikkoon kohtaan sovellusta puolivahingossa?
Hyödyntämisen helppous. Pitääkö uhkaskenaarion toteuttamiseksi olla etevä kyberrikollinen tai vaatiiko se useita yhtäaikaisten haavoittuvuuksia? Vai onko heikkouden hyödyntäminen niin helppoa, että siihen pystyisi kuka tahansa?
Motivaatio. Jos uhkaskenaario toteutuessaan hyödyttää jotakuta esimerkiksi taloudellisesti tai kiinnostavien tietojen takia, motivaatio hyökkäämiseen tai väärinkäytöksiin on suurempi ja todennäköisyyden voi ajatella olevan suurempi.
Uhkan seurausten vakavuutta arvioidessa kannattaa miettiä seuraavia asioita:
Suorat ja epäsuorat kustannukset, jotka johtuvat liiketoiminnan keskeytymisestä, laitteisto- tai ohjelmistokorjauksista, selvittelykuluista, lisäresurssien hankkimisesta, SLA:n paukkumisesta aiheutuneista sakoista jne.
Kuinka moneen asiakkaaseen tai käyttäjään vaikutus kohdistuu.
Jos vaikutus aiheuttaa saatavuushäiriöitä, kuinka kauan vaikutus kestää.
Jos seurauksena paljastuu tietoja, mikä on vuotaneiden tietojen arkaluontoisuus.
Maineen menetys.
Kustannusten arviointi voi olla vaikeaa, mutta hyödyllistä: ei ole tarkoituksenmukaista, että riskin pienennyskustannukset ovat isommat kuin riskin realisoitumiskustannukset.
Todennäköisyyttä ja vakavuutta voidaan arvioida joko laadullisesti tai numeroina ja vastaavasti riski voidaan muodostaa tällä perustaa useanlaisilla laskukaavoilla tai riskimatriisin avulla. ISACA:lla on hyvä artikkeli erilaisista riskiarvioinnin tavoista.
Päivitä riskiarvio riskirekisteriin. Tässä vaiheessa on hyvä nimetä myös riskin omistaja. Omistaja voi olla esimerkiksi tietojärjestelmän vastuuhenkilö, liiketoiminnan vetäjä, johdon edustaja tai muu henkilö, jonka tehtävä- ja vastuukenttään asia kuuluu.