Kyberriskien arviointi

July 1, 2021 at 10:56

Kun olet tunnistanut yrityksesi kriittiset tietojärjestelmät ja  kyberuhkat, jotka yritystäsi voivat kohdata, seuraava kysymys kuuluu, mikä on riski? Varmastikaan liikesalaisuuksiesi vakoilu ja toimitusjohtajahuijauksen kohteeksi joutuminen eivät ole yhtä todennäköisiä eivätkä vaikutuksetkaan samat. Miten riskiä voi arvioida?

Miten kyberriskejä voi arvioida?

Yleensä neuvotaan, että kyberriskit tulisi laittaa yrityksen muiden riskien joukkoon riskirekisteriin ja päivittää riskiarvioita säännöllisesti. Muuta miten kyberriskien todennäköisyyttä ja vaikutuksia arvioidaan?

Karkea, mutta suuntaa antava riskin suuruuden arviointi on riski = todennäköisyys x vakavuus. Tällaisessa kvalitatiivisessa riskianalyysissä on usein ongelmallista, että erilaisia riskiskenaarioita on useita. Skenaarioiden todennäköisyydet voivat vaihdella erittäin epätodennäköisestä satavarmaan ja vaikutukset mitättömästä megaluokan katastrofiin. Jos arvio todennäköisyydestä on huono ja myös arvio vakavuudesta on huono, kertomalla ne keskenään saadaan höpöhöpöä.

Tämän vuoksi erilaisten skenaarioiden riskit kannattaa arvioida tarpeen mukaan erikseen. Lisäksi on tärkeä pitää mielessä, että kvalitatiivinen riskiarvio ei ole absoluuttinen totuus vaan priorisointityökalu suojatoimenpiteiden toteuttamiselle.

Tarkempiin riskiarvioihin voidaan päästä kvantitatiivisella analyysillä, esimerkiksi Monte Carlo -riskianalyysimenetelmällä ja erilaisilla todennäköisyysjakaumilla. Kvalitaatiivisen ja kvantitaativisen riskianalyysin yhdistelmä voi myös olla hyödyllinen. Vertailukelpoisuuden vuoksi yrityksen kannattaa käyttää kyberriskien arviointiin samaa menetelmää kuin muihinkin riskiarvioihin.

Todennäköisyys on kehno sanavalinta kyberriskeille

Olipa riskiarvion pohjana simppeli kertolasku tai kehittyneempi malli, yhtenä tekijänä riskin suuruuden arvioimisessa on  todennäköisyys tai todennäköisyysjakauma. Todennäköisyys on kuitenkin hieman harhaanjohtava sana, kun puhutaan kyberriskeistä. Lataako joku työntekijöistämme vahingossa kiristyshaittaohjelman ainakin kerran seuraavan kolmen vuoden sisällä? Onko verkkosivuillamme haavoittuvuus enemmän kuin kolme kertaa vuodessa? Millä todennäköisyydellä joku kohdistaa meihin palvelunestohyökkäyksen? Kysymys on lähes mielivaltainen.

Aikamääreiden ja todennäköisyyden sijaan voi olla mielekkäämpää lähestyä asiaa hyökkäyksen tai uhkan toteutumisen helppouden kautta. Vaatiiko hyökkäys paljon teknisiä taitoja ja erityisiä työkaluja, vai voiko kuka tahansa internetin käyttäjä toteuttaa hyökkäyksen? Riittääkö uhkan realisoitumiseen, että joku klikkaa linkkiä ajattelematta asiaa vai tarvitseeko useiden suojakeinojen pettää samanaikaisesti? Järjestelmän kehittäjät tai tietoturva-asiantuntijat voivat auttaa hyökkäykseen vaadittavien tietojen ja taitojen arvioinnissa.

Myös motivaatio hyökkäyksiin tai väärinkäytöksiin kannattaa ottaa huomioon. Onko järjestelmästä saatavilla taloudellista etua tai onko siinä arvokasta tietoa? Se voi lisätä kohteen kiinnostavuutta kyberrikollisten silmissä ja valikoitua sen takia kohteeksi mieluummin. Sisäpiirin väärinkäytösmahdollisuuksia ei tulisi jättää huomiotta, vaikka niistä puhuminen tuntuisikin kiusalliselta.

Todennäköisyyden asteikkona voi käyttää siis esimerkiksi seuraavaa:

  • (Lähes) varma: Hyökkäys on mahdollista toteuttaa rajapintaan, joka on saatavilla julkisesti internetissä, julkisessa tilassa olevan laitteen kautta tai muuten hyvin helposti. Hyökkäyksen toteuttamiseen ei tarvita erityisiä taitoja ja virheen aiheuttama tietoturvapoikkeama on todennäköinen. Motivaatio hyökkäämiseen on suuri.
  • Korkea: Hyökkäys on mahdollista toteuttaa rajapintaan, johon pääsee etäyhteydellä organisaation ulkopuolelta. Hyökkäykseen on selkeä motivaatio (esimerkiksi rahallinen hyöty), virheen mahdollisuus on melko suuri tai on useita mahdollisia hyökkäystapoja, jotka ovat melko helppoja toteuttaa.
  • Keskisuuri:  Hyökkäys vaatii melko paljon motivaatiota ja taitoja,  esimerkiksi luotettavan tunnistautumistavan ohittamisen tai sisäpiirin väärinkäytöksen. Taitavan hyökkääjän tekemän työkalun avulla keskiverto kyberrikollinen voi toistaa hyökkäyksen.
  • Matala: Hyökkäysrajapinnat on suojattu hyvin: esimerkiksi järjestelmän käyttö on sallittu vain tietyistä sijanneista tai turvallisen ja tietoturvatestatun etäyhteyden yli. Hyökkäys vaatii taitoja, korkea motivaatiota, ymmärystä kohdejärjestelmästä  tai useiden suojausmekanismien tulee pettää.
  • Merkityksetön: Ei hyödynnettävissä olevia hyökkäystapoja eikä erityistä motivaatiota sisäpiirin väärinkäytöksiin.

Myös ajankohtainen uhkatieto auttaa hyökkäyksen todennäköisyyden arvioinnissa: onko jokin kyberrikollisryhmä juuri nyt aktiivinen, korkataanko nyt tietyn tuotteen nollapäivähaavoittuvuuksia vai ratsastavatko kalastelu- ja haittaohjelmahyökkäykset nyt tiettyjen trendien, kuten Black Fridayn kaltaisten ostojuhlien tai koronavirusrokotteiden, aallonharjalla.

Toki, jos yrityksellä on historiatietoa aiemmista tietoturvapoikkeamista tai väärinkäytöstapauksista, ne voivat antaa osviittaa sekä todennäköisyydestä että vaikutuksista.

Vaikutuksia voidaan mitata tietojen arkaluontoisuudella, työtunneilla tai ihmishengillä

Vaikutusten arviointi on usein hieman helpommin mitattavaa:

  • Miten haitallisia toimenpiteitä hyökkääjä voi tehdä järjestelmässä?
  • Miten arkaluontoiseen tietoon hyökkääjä tai muut ulkopuoliset pääsevät käsiksi?
  • Vaarantuuko tietojen luottamuksellisuus tai eheys hieman, kohtalaisesti vai täysin?
  • Kuinka monta tietojärjestelmää tai kuinka montaa asiakasta poikkeama koskee?
  • Jos kyseessä on saatavuusongelma, kestääkö se minuutteja, tunteja, päiviä vai viikkoja?
  • Kuinka paljon rahaa kuluu vahinkojen korjaamiseen?
  • Kuinka paljon työaikaa kuluu korjaustoimenpiteisiin?

Jos hyökkääjä pääsee järjestelmään ylläpitäjän oikeuksin, voi tuhota kaiken tiedon tai pääsee käsiksi arkaluontoisiin tietoihin, ovat vaikutukset erittäin kriittisiä. Vastaavasti, jos paljastunut tietosisältö on toisarvoista tai järjestelmässä on vain lyhytaikaisia häiriöitä, vaikutukset voidaan luokitella vähäisiksi.

Koska pienikin murto tai poikkeama voi murentaa luottamusta järjestelmään ja voi olla tarpeen selvittää, kuinka montaa järjestelmää tai asiakasta ongelma koskee, kannattaa miettiä myös ongelman selvityksen kustannuksia. Tai menetetäänkö arvokasta työaikaa, kun järjestelmät ovat pois pelistä?

Aiemmat vastaavat tapaukset yrityksessä voivat auttaa kustannusten arvioimisessa. Toki kaikkia välillisiä vaikutuksia, kuten menetettyä työaikaa tuskin on raportoitu tuntikirjausjärjestelmässä projektille "123456 Tietomurron selvitys" vaan kustannukset voivat olla jakautuneena sinne tänne. Aiempia tietoturvapoikkeamatapauksia ei tietenkään välttämättä ole, jos yritys on uusi tai onnekas. Vähemmän mairitteleva mahdollisuus on, että yrityksessä ole tapaa raportoida tietoturvapoikkeamia tai niitä pyritään lakaisemaan maton alle.

Koska sama hintalappu voi olla toiselle yritykselle taskurahoja ja toiselle katastrofi, kannattaa miettiä  vaikutusta yrityksen maineeseen. Onko tapaus lähinnä kiusallinen vai menetetäänkö asiakas? Revitelläänkö iltapäivälehdissä sellaisia otsikoita että uudetkin asiakkaat ja työnhakijat kaikkoavat?

Vakavuuden asteikkona voi käyttää siis esimerkiksi seuraavaa:

  • Kriittinen: Tapahtuma mahdollistaa ulkopuolisten pääsyn järjestelmään ylläpitäjän oikeuksin, pääsyn erittäin arkaluontoiseen tietoon tai tiedon tuhoamisen. Tapahtuma koskettaa kaikkia järjestelmän käyttäjiä. Tapahtuma voi aiheuttaa merkittäviä suoria tai epäsuoria kustannuksia ja sillä on merkittäviä vaikutuksia yrityksen maineeseen, esimerkiksi menetetään useita asiakkaita.
  • Vakava: Tapahtuma mahdollistaa pääsyn arkaluontoiseen tietoon tai pitkäkestoisen palveluneston aiheuttamisen ja vaikutukset kohdistuvat joko suurimpaan osaan käyttäjistä tai ylläpitäjiin. Tapahtumalla on vakavia vaikutuksia yrityksen maineeseen.
  • Keskisuuri: Tapahtuma mahdollistaa pääsyn luottamukselliseen aineistoon tai väliaikaisen palveluneston aiheuttamisen. Tapahtuma koskettaa osaa käyttäjistä. Mainehaitta on melko vähäinen.
  • Matala: Luottamuksellista tietoa ei vaarannu ja mahdollinen saatavuuskatkos on lyhytaikainen. Tapahtuma koskettaa vain yksittäisiin käyttäjiä. Mainehaitta on pieni tai hyvin lyhytkestoinen.
  • Merkityksetön: Ei vahinkoja, ei vaikutuksia käyttäjiin, saatavuuteen tai maineeseen.

Tulee kuitenkin huomata, että jos tietoturvaongelman seurauksena voi olla henkilövahinkoja tai terveysongelmia, kuten esimerkiksi turvallisuusjärjestelmien, nostureiden tai hissien tapauksessa, vaikutusten arviointiskaala on aivan omanlaisensa. Pienikin henkilövahinko on vakava asia.

Kun riskien suuruus on tunnistettu, voidaan asettaa tärkeysjärjestykseen suojatoimenpiteiden toteuttaminen riskin pienentämiseksi tai välttämiseksi. Mutta ovatko suojatoimenpiteet tarpeeksi hyviä? Tätä käsitellään blogisarjan seuraavassa osassa.

Tämä blogi on osa yritysten tietoturvaa ja tietoturvatietoisuutta käsittelevää blogisarjaa. Sarjan edellisessä osassa kartoitettiin tapoja selvittää, millaisia kyberuhkia yritys voi kohdata. Sarjan seuraavassa osassa selvitetään, miten valittujen suojatoimenpiteiden toimivuutta voi testata.

Related blogs