Tietoturva : Security Risk Management

Created by Jukka Koskinen on May 07, 2017

Tietoturva-arjen kysymyksiä ja vastauksia kirjan perusteella

Ohje: Valitse nimikoimaton tehtävä alla olevasta luettelosta. Nimikoi se eli kirjoita nimesi sen alkuun numeron jälkeen ja nimen jälkeen toteutuskerran tunnus muodossa (201*-x), missä x=s tai k.. Tämän voit tehdä jo ennen kuin edes saat kirjaa haltuusi. Laadi 100-150 sanan mittainen vastaus määräaikaasi mennessä tehtävän alle, ja noudata Moodlen keskustelualustalla olevia lisäohjeita. Jos käytät myös jotain muuta kuin omaa ja kirjan tietämystä, merkitse lähdeviite.

Evan Wheeler: Security Risk Management

Kirjoittaja edustaa koulukuntaa, joka kärjistäen sanoo, että parhaat käytännöt tarkistuslistoineen ovatkin pahasta. Turvatoimet pitäisi ennemmin asettaa (liike)toiminnan tarpeiden mukaan soveltamalla riskienhallintaa. Kirjan tarjoama tietämys ei kaikin osin ole siis ainakaan päivittäistä tietoturva-arkea niille, jotka tyytyvät noudattamaan ohjeistoja tai rakentamaan standardinmukaisuutta. Heidänkin on syytä tuntea aiheita kirjan alkupuolelta, josta oheiset kysymykset on laadittu. Kirjaan ja kirjoittajaan liittyvä verkkosivusto on www.ossie-group.org.

1. Anna-Kaisa Seppälä (2013-k). Mitä Wheeler tarkoittaa otsikolla "The death of information security" luvussa 1?

Organisaatiot ja turvallisuustiimien rakenne muuttuvat nykyisin radikaalisti. Ei ole olemassa enää yhtä ainoaa suositeltavaa tapaa järjestää turvallisuustoimintoja organisaatiossa. Nykyään liiketoiminnan muut osa-alueet ottavat enemmän vastuuta tiedonlähteiden suojauksesta, joten mieleen saattaa tulla kysymys,  jakautuuko ja uppoutuuko turvallisuus toimintona muihin liiketoiminnan yksiköihin.

Trendinä on, että turvallisuustiimeissä on vähemmän sellaisia ihmisiä, joilla on työnkuvana operatiivinen tai tekninen hallinta ja turvallisuuslaitteiden monitorointi. Turvallisuusjohtajan rooli myös kehittyy enemmän valvonnan suuntaan, ja tarjoamaan opastusta ja työkaluja olemassaoleville operatiivisille tiimeille, jotta ne voivat suorittaa päivittäiset toimensa. Turvallisuusjohtaja myös säännöllisesti arvioi tiimien tehokkuuden.

Uhat muuttuvat jatkuvasti, ja niiden moninaisuuteen helposti sotkeutuu. Tekniikat ja strategiat, jotka toimivat viime vuonna, eivät ehkä ole riittäviä enää tänä vuonna. Turvallisuusohjelman tulee olla joustava, ja pitää olla tietoinen uusista uhkatrendeistä, mutta tämä ei vaadi uutisvirtojen minuutista-minuuttiin monitorointia. Pitää ottaa hyöty irti uhkaraporteista ja tutustua päätrendeihin sekä tarkistaa menettelytavat ajoittain.

2. Mika Nysten (2013-s). Mitä Wheeler sanoo riskin hyväksymisestä luvussa 2?

Tietoturvallisuutta voidaan pitää tapana hallita liiketoiminnan riskiä sellaisella tasolla, että siitä ei ole haittaa liiketoiminnan kasvulle. Teoriassa tarpeettoman riskin vähentäminen kasvattaa liiketoimintaa. Riskin rajoja tulee arvioida ja päättää kuinka suuri riski ollaan valmiita ottamaan. Yrityksen poistaessa riskiä tietyltä alueelta voi se kilpailijoihinsa nähden lisätä riskiä toisella aluella saavuttaen näin kilpailuetua.

Alalla työskennelleiden tulisi arvioda riskejä uusiksi tiedostaen, että kaikkia haavoittuvuuksia ei tarvitse korjata. Tietoturvallisuuden tarkoituksena on taata luottamuksellisuus, eheys, saatavuus ja ymmärrettävyys hyväksyttävällä tasolla. Hyvä riskinhallinta ottaa huomioon organisaation erityistarpeet, maksimoi liiketoiminnan tuoton ja minimoi odottamattomat negatiiviset vaikutukset. Tavoitteena ei tulisi olla riskien 0-linja vaan niille pitäisi löytää hyväksyttävä taso.

Kaikki riskit eivät ole samanarvoisia, vaan ne tulisi priorisoida esim. alhaisiin, keskinkertaisiin ja korkeisiin. Jälkimmäisiin riskeihin tulisi paneutua ja jättää alhaisin riskin ongelmat vähemmälle. Mikäli yrityksellä ei ole riskimallia, voi se tuhlata kaikki resurssinsa alhaisen riskin ongelmiin ja näin isomman ongelman selvittämiseen ei välttämättä olekaan resursseja saatavilla.

3. Jenna Lehtimäki (2012 -s). Millainen on riskienhallinnan työnkulku?

On olemassa useita erilaisia viitekehyksiä riskienhallintaprosessille, mutta ne kaikki sisältävät pääpiirteittäin samat vaiheet perustuen elinkaarinäkökulmaan. Kirjassa esitelty työnkulku alkaa resurssin profiloinnilla, jossa kuvataan turvattava resurssi ja arvioidaan sen riskiherkkyyttä. Tämän jälkeen tunnistetaan resurssiin kohdistuvat uhkat ja haavoittuvuudet sekä arvioidaan riskin toteutumisen todennäköisyys ja seuraukset. Kolmas vaihe on riskin evaluointi. Yleensä ottaen kaikkiin riskeihin varautuminen ei ole tarkoituksenmukaista eikä edes mahdollista olemassa olevilla resursseilla. Siksi evaluoinnissa riskit asetetaan tärkeysjärjestykseen, minkä mukaan varataan resurssit vastatoimien suunnittelulle. Riskien hallintakeinoihin kuuluvat hyväksyminen, välttäminen, siirtäminen ja pienentäminen.

Seuraavassa vaiheessa kirjataan ylös päätetyt suunnitelmat ja mahdolliset riskipoikkeukset, joihin on päätetty olla kohdistamatta vastatoimia. Dokumentointivaiheen jälkeen suunnitellut riskienhallintatoimenpiteet pannaan täytäntöön. Kun suunnitelmat on toteutettu käytännössä, testataan, oliko vastatoimilla halutut seuraukset ja pienenikö riski halutulle tasolle. Riskienhallinnan työnkulku ei lopu vielä tähän, vaan tilannetta on seurattava koko ajan, sillä riskit, uhkat ja prioriteetit muuttuvat ajan mukaan, millä saattaa olla vaikutuksia resurssin riskiprofiiliin. Jos äkillisiä muutoksia huomataan, on toimintatapoja muutettava. Riskienhallinnan työnkulku on jatkuva sykli, ja uusi resurssin profilointi tulisikin suorittaa säännöllisin väliajoin, jolloin sykli alkaa uudelleen alusta.

4. Kyösti Nyrhilä (2014-k). Mitä saadaan tuloksena kun kirjan ohjeiden mukaan arvioidaan riskiherkkyyttä? Millaisia olioita tulos koskee?

Ensinnäkin tuloksena saadaan yleistetty lista voimavaroista, joita analyysi koskee. Yleistys tehdään resurssien säästämiseksi. Toiseksi saadaan jokaiselle voimavaralle ominainen riskiherkkyys ja riskitoleranssi. Riskiherkkyys tarkoittaa sitä, kuinka tärkeä voimavara on kyseessä. Riskitoleranssi tarkoittaa sitä, kuinka suurille riskeille voimavara on hyväksyttävää altistaa. Seuraavaksi saadaan turvallisuusriskiprofiili, jossa kerätään tietoa voimavaroista, erityisesti niihin kohdistuvista riskeistä. Riskiprofiilissa tutkittavia muuttujia ovat: taloudellinen, juridinen, maineeseen vaikuttavuus ja/tai säännelty. Tästä saadaan jokaiselle voimavaralle riskit ja niiden vaikutukset kartoitettua. Yleensä tämä on hyvä tehdä kyselyllä, jonka tekemiseen pitäisi mennä 15-30 minuuttia.

5. Jaakko Paalanen (2014-k). Wheeler ehdottaa riskiin liittyvien käsitteiden muistisäännöksi kysymyksiä "kuka, miksi, mitä". Mitä näillä eritellään ja miksi se on tärkeää?

Wheeler määrittelee avaintermejä kuvailemaan riskien pääkomponentteja. Tähän liittyen hän jakaa esimerkkinä kolmijakoisen kysymyssarjan, joihin pitäisi pystyä vastaamaan, kun kartoitetaan riskiä ja sen komponentteja. Kysymykset voidaan eritellä esimerkiksi seuraavalla tavalla:

  • KUKA on se uhka, josta ollaan huolissaan?
  • MIKSI tämä haavoittuvuus aiheuttaa altistumisen uhalle?
  • MITÄ vaikutusta organisaatioon uhkalla voi olla?

Wheeler selventää haavoittuvuuden, uhan ja vaikutuksen/seurausten suhteita toisiinsa.Yksinkertainen tapa muistaa erot riskien terminologiassa on se, että uhka vastaa kysymykseen “KUKA”, haavoittuvuus kysymykseen “MIKSI” ja uhkan toteutumisen mahdolliset seuraukset kysymykseen “MIKÄ”. Wheeler alleviivaa, että tämänlainen muistisääntö saattaa vaikuttaa kovin yksinkertaiselta, mutta se todella auttaa erittelemään asiaa. Näiden tekijöiden avulla voidaan arvottaa riskiä laskennallisesti, ja avainkysymysten avulla voidaan määritellä riskin realisoitumista.

6. Tuomo Niemi (2012-s). Kuvassa 6.1 on tavanomainen 3x3-taulukko, joka esittää, miten korkea, kohtuullinen tai matala riskiarvio (risk exposure, 3 kpl kutakin tasoa) määräytyy vakavuus- ja todennäköisyysarvion perusteella. Millä tavoin Wheeler kokoaa vakavuuden ja todennäköisyyden arviot?

Wheeler jakaa riskien vakavuuden arvioinnin neljään eri aiheeseen, jotka ovat vastuullisuus, eheys, luottamuksellisuus ja saatavuus. Riskien mahdollisuuden Wheeler jakaa kahteen eri aiheeseen, uhkajoukko ja olemassa olevat turvaohjelmat. Näissä arvioinneissa hän käyttää samaa arvoasteikkoa kuin riskiarvioonkin, matalaa, kohtuullista ja korkeaa.

Riskien vakavuus
  • Vastuullisuus
    • Matala: Voi epäsuorasti edistää luvatonta pääsyä, joka ohittaa tapahtumien valvonnan.
    • Kohtuullinen: Voi sallia rajallisen hallinnan toimintoon, joka vastaa järjestelmän tapahtumien valvonnasta.
    • Korkea: Voi sallia täyden hallinnan toimintoon, joka vastaa järjestelmän tapahtumien valvonnasta.
  • Eheys
    • Matala: Voi epäsuorasti edistää luvatonta tietojen luontia, muokkausta tai tuhoamista.
    • Kohtuullinen: Voi sallia rajallisen pääsyn tiettyjen tietojen luontiin, muokkaamiseen tai tuhoamiseen.
    • Korkea: Voi sallia täyden pääsyn kaikkien tietojen luontiin, muokkaamiseen tai tuhoamiseen.
  • Luottamuksellisuus
    • Matala: Voi epäsuorasti edistää tietojen luvatonta katselua.
    • Kohtuullinen: Voi sallia rajallisen pääsyn katsomaan tiettyjä tietoja.
    • Korkea: Voi sallia täyden pääsyn kaikkien tietojen katseluun.
  • Saatavuus
    • Matala: Voi aiheuttaa palvelun heikentymistä ja/tai huomattavan heikentymisen palvelun tarjonnassa.
    • Kohtuullinen: Voi aiheuttaa palvelun häiriön tai palvelun eston tiettyyn osaan käyttäjäyhteisöä.
    • Korkea: Voi aiheuttaa palvelun häiriön tai pidennetyn katkon, mikä vaikuttaa kaikkiin palvelun käyttäjiin.
Riskien mahdollisuus
  • Uhkajoukko
    • Matala: Pieni hyvin valikoitu joukko käyttäjiä/järjestelmiä.
    • Kohtuullinen: Kaikki työntekijät tai järjestelmät organisaatiossa. Tai valikoitu yhteisö asiakkaita, kumppaneita tai toimittajia.
    • Korkea: Koko internet tai rajaamaton.
  • Olemassa olevat turvaohjelmat
    • Matala: Käytössä on ohjelmia, jotka estävät haavoittuvuuden käytön, ilman fyysistä yhteyttä kohteeseen.
    • Kohtuullinen: Olemassa olevat turvaohjelmat, jotka voivat estää onnistuneita haavoittuvuuden käyttöjä, ilman merkittävään sisäpiiritietoa.
    • Korkea: Turvaohjelmat, jotka ovat käytössä estääkseen haavoittuvuuden käyttöä, ovat hyödyttömiä.

7. Antti Rahikainen (2014-k). Millaisista suosituksista luvun 7 lopussa oleva luettelo turvallisuuden perusmekanismeista koostuu? Miksei se ole ristiriidassa tarkistuslistojen välttämisen kanssa?

  • Järjestelmän tulee estää pääsy valtuuttamattomaan tietoon tai toimeen silloinkin kun järjestelmässä on vika oikeuksien hallintajärjestelmässä.
  • Oikeuksien hallintajärjestelmien tulee olla modulaarisia, jolloin hallinnan eri osia voidaan poistaa tai muokata ilman, että järjestelmään tarvittavien muutosten tekeminen vaatii suuria muutoksia itse kokonaisuuteen.
  • Uusien toteutusten tulisi noudattaa aikaisempia toteutuksia, jotta järjestelmän hallinta olisi helpompaa ja samalla alenisivat kustannukset sekä järjestelmän monimutkaisuus. Eli uudet toteutukset tulisi tehdä käyttäen “best practise” -periaatetta. Tällöin käytetään jo olemassa olevia, hyväksi havaittuja toteutuksia pohjana.
  • Tietojärjestelmät tulee ryhmitellä samankaltaisten tietojen, resurssien tai komponenttien kanssa ryhmiin, ja eristää ne loogisiksi kokonaisuuksiksi.
  • Tietojärjestelmä ei saa olla liian “monimutkainen” eik' siinä pidä olla turhia rajoitteita, jotka vaikuttavat merkittävästi sen käyttöön. Toisaalta sen tulee olla myös riippuvainen tiedon/palvelun/resurssin riskin suuruudesta. Esimerkiksi yleisessä käytössä olevaa vessaa ei tarvitse suojata sormenjälkiskannerilla sekä rfid-tägillä. Toisaalta yrityksen RD- osasto voi hyvin vaatia korkeatkin suojausmekanismit.
  • Tietojärjestelmän oletuksena tulee olla kaikkein rajaavimmat oikeudet. Jokainen löyhennös on siis käytännössä poikkeus oletukseen.
  • Eri työtehtävien tekemiseen vaadittavat järjestelmät tulee olla erillään. Esimerkiksi: Toimiessasi puhelinvastaajana vastaanotossa käyttöoikeutesi tulee olla todella rajatut, vaikka seuraavana päivänä olisit järjestelmän pääylläpitäjä. Eri rooleihin eri tunnukset.
  • Tietojärjestelmän tulee oletuksena rajata käyttäjän oikeudet siten, että sillä pystyy tekemään tarvittavat työtehtävät, mutta ei yhtään enempää.

Ylläolevan listan on tarkoitus toimia yleisenä ohjenuorana sille, millä perusmekanismeilla turvallisuutta voidaan hallita. Se ei kuitenkaan ole suora listaus siitä, miten asioita tulisi tehdä. Listan tarkoituksena on saada ylläpitäjä/manageri ymmärtämään ja tunnistamaan järjestelmän eri osia ja tätä kautta pohtimaan jokaiselle eri osalle ylläolevan listan kautta varsinaiset mekanismit, joilla turvallisuutta voitaisiin hallita. Tarkistuslistat aiheuttavat usein turhaa monimutkaisuutta organisaatiossa, sillä yleensä järjestelmien tulee täyttää listan kaikki kohdat. Poikkeama tästä listasta estää järjestelmän hyväksymisen käyttöön. Tämän takia tulisi tarkasti tunnistaa ja arvioida järjestelmän todelliset tarpeet ja suunnitella se siten, että sen hallinta ja mahdolliset muutokset eivät vaaranna sen turvallisuutta.

8. Tiia Tala (2014-k). Luottamuksella ja turvallisuudella on erikoinen suhde ja tämän pitäisi näkyä myös riskien hallinnassa. Käsitteleekö Wheeler tätä ja millä tavoin?

Perinteisen tietoturvan ajatuksena oli turvata haluttua tietoa ulkopuolisilta tahoilta. Tällöin kaikki ulkopuolinen voitiin ajatella epäluotettavana ja kaikkeen sisäiseen pystyttiin luottamaan. Tämä ajatusmaailma on kuitenkin utopinen, koska toimintaympäristöt ovat varsinkin nykyään paljon monimutkaisempia ja suuri osa tietoturvauhista kohdistuu sisäisiin resursseihin. Kuitenkin jotta yrityksen toiminnot voivat jatkua tehokkaasti, täytyy sen ainakin jollain tasolla luottaa sisäiseen toimintaansa. Koska riski on kuitenkin olemassa, tulee riskin vaikutusta ja todennäköisyyttä analysoida mahdollisen riskin merkityksen kartoittamiseksi. Riskienhallinnassa Wheeler määrittää kaikista pienimmän todennäköisyyden tietoturvariskille, eli olemattoman uhan, tapahtuvan sellaiselta ryhmältä, joka on pieni ja siihen voidaan yrityksessä luottaa. Kuitenkin kaikista epäluotettavimmaksi ja vähiten uhkaavaksi resurssiksi tietoturvan kannalta Wheeler määrittää ihmisen ja luotettavimmaksi automatisoidun prosessin. Tämä johtuu siitä, että ihmisten käytöstä on paljon vaikeampi kontrolloida ja ennustaa ja tämä tulee ottaa myös huomioon riskien analysoinnissa.