Tunnista riskit
Listaa kaikki tunnistamasi viestintäverkkoihin ja tietojärjestelmiin kohdistuvat riskit. Riskien tunnistamisessa auttaa uhka-analyysi.
NIS2-direktiivissä säädetään kyberturvallisuuden riskienhallinnasta ja hallintatoimenpiteiden perustason velvoitteista. Traficomin valmistelemasta suositusluonnoksesta voi hakea tukea riskienhallinnan suunnitteluun.
NIS2-direktiivissä riskienhallinnan tavoitteena on tunnistaa viestintäverkkoihin ja tietojärjestelmiin kohdistuvat riskit ja suojata ne sopivilla hallintatoimenpiteillä. Olennaista on myös turvata toiminnan jatkuvuus ja palveluntarjonta silloin kun viestintäverkkojen ja tietojärjestelmien toiminta jostain syystä häiriintyy. Kyberturvallisuuden riskienhallinnan pitää olla riittävän kattavaa ja organisaation omiin tarpeisiin sopivaa. Riskienhallinnan toimenpiteiden taso tulee olla oikeassa suhteessa viestintäverkkojen ja tietojärjestelmien merkitykseen ja niihin kohdistuviin riskeihin.
Riskienhallintaa tulee tehdä säännöllisesti ja aina muutosten yhteydessä. Toimintaympäristöön voi tulla muutoksia, joihin viestintäverkon ja tietojärjestelmän suojausten tulisi sopeutua. Mukaan voi tulla kokonaan uusia uhkia tai uhkien painopiste voi muuttua. Toimijan liiketoiminnan laajentuminen tai muutokset voivat myös tuoda kokonaan uusia järjestelmätarpeita. Sen lisäksi järjestelmät muuttuvat, kun uusia palveluita ja ominaisuuksia otetaan käyttöön tai vanhoja poistetaan.
Toimintaympäristön muutos voi johtua myös laajoista yhteiskunnan tapahtumista. Koronapandemian aikana siirryttiin käyttämään etätyöratkaisuja. Näiden mukana tuli uutta teknologiaa ja uusi työympäristö, jotka aiheuttivat uusia kyberturvallisuusriskejä. Turvallisuusympäristön muutos on nostanut yleistä kyberturvallisuuden uhkatasoa. Lisäksi esimerkiksi tekoäly tarjoaa uusia mahdollisuuksia, mutta myös riskejä. Riskienhallinta tarjoaa myös keinoja uusien teknologioiden hallittuun käyttöönottoon.
Riskien käsittelyn lopputuloksena valittujen hallintatoimenpiteiden vaikuttavuutta on arvioitava ja niitä tulee täydentää tarvittaessa. Parhaimmillaan työ on osa organisaation perustoimintaa.
Erilaiset viitekehykset tai standardit helpottavat riskienhallintaa. Traficomin Kyberturvallisuuskeskuksen valmistelemaan suositukseen kyberturvallisuuden riskienhallinnan toimenpiteistä on listattu yleisesti tunnettuja viitekehyksiä. Viitekehyksen valinnalla ei ole suurta merkitystä riskienhallinnan lopputuloksen kannalta ja tämän vuoksi suosituksessa ei ehdoteta minkään yksittäisen standardin käyttöä. Viitekehykset ovat myös usein keskenään samankaltaisia. Niiden etu on, että ne tarjoavat järjestelmällisen tavan riskien arviointiin ja käsittelyyn.
Riskienhallinta voi olla omaisuus-, skenaario- tai palvelupohjaista. Toimijan kannattaa valita se lähestymistapa, joka parhaiten soveltuu organisaation tarpeisiin ja tuntuu helpoimmalta. Selvää on, että kyberturvallisuusriskien hallinnassa kannattaa hyödyntää organisaation omaa riskienhallintaprosessia, mikäli sellainen jo löytyy. Tietoturvallisuuteen liittyvässä riskienhallinnassa käytetään yleensä omaisuuspohjaista lähestymistapaa, jonka avulla on helppo muodostaa konkreettisia hallintatoimenpiteitä. Menetelmää voi myös myöhemmin muuttaa osaamisen ja ymmärryksen karttuessa.
NIS2-direktiivissä kyberturvallisuuden riskienhallinta kohdistetaan viestintäverkkojen ja tietojärjestelmien lisäksi niiden fyysiseen ympäristöön kaikki vaaratekijät huomioiden. Tärkeintä on, että organisaatio oppii tunnistamaan toimintaympäristönsä, eli toimintojensa kannalta kriittisimmät palvelut, resurssit, laitteet, tilat, ohjelmat ja sidosryhmät, sekä niihin liittyvä uhkat.
Uhkien tunnistamisessa noudatetaan samaa kaikki vaaratekijät huomioivaa lähestymistapaa. Ulkoisten kyberuhkien lisäksi pitäisi huomioida myös sisäiset uhkat ja viestintäverkkoihin ja tietojärjestelmiin kohdistuvat fyysiset uhkat. Sisäinen uhka voi olla tahallista tai tahatonta. Fyysinen uhka voi olla ympäristön, ilmaston tai yhteiskunnallisen tilanteen aiheuttama.
Viestintäverkkoihin ja tietojärjestelmiin kohdistuvien kyberuhkien tunnistamisessa auttaa uhkamallinnus. Uhkamallinnus tarjoaa systemaattisen menetelmän monimutkaisen järjestelmään kohdistuvan kyberuhkan kartoittamisessa. Uhkamallinnus kannattaakin ottaa osaksi tuotekehitystä.
Ohjelmistohaavoittuvuudet ovat yleinen kyberuhka. Tietyt ohjelmistohaavoittuvuudet ovat luonteeltaan sellaisia, että niiden hyväksikäyttö voi olla nopeaa ja uusia haavoittuvuuksia löydetään jatkuvasti. Tämän vuoksi ohjelmistohaavoittuvuuksien vaikutusta on arvioitava ja lieventävät toimenpiteet, kuten kriittisten ohjelmistopäivitysten asentaminen, on toteutettava viipymättä.
Riskienhallintaprosessi voi sisältää erilaisia vaiheita, kuten riskien tunnistamisen, analysoinnin, arvioinnin ja käsittelyn. Nämä vaihtelevat hieman eri riskienhallinnan viitekehyksissä.
Listaa kaikki tunnistamasi viestintäverkkoihin ja tietojärjestelmiin kohdistuvat riskit. Riskien tunnistamisessa auttaa uhka-analyysi.
Riskien arvioinnissa jokaiselle riskille arvioidaan toteutuneen riskin vaikutus ja todennäköisyys. Samalla saadaan karsittua listaa, koska osa riskeistä ei vaadi toimenpiteitä.
Kyberturvallisuusriskeissä vaikutusta voi arvioida tiedon tai palvelun luottamuksellisuuteen, aitouteen, eheyteen ja saatavuuteen.
Riskit tulisi käsitellä niin, että niiden todennäköisyys tai vaikutus on esimerkiksi minimoitu, poistettu tai ulkoistettu niin, että jäljelle jäävät riskit eli jäännösriskit on hyväksytty ja perusteltu.
Riskien hallintakeinojen valinnassa tavoitellaan jäännösriskin hyväksyttävää tasoa. Hallintakeinot voivat olla esimerkiksi teknisiä ja hallinnollisia. Traficomin suositusluonnosta kyberturvallisuuden riskienhallinnan toimenpiteistä voi käyttää apuna sopivien hallintakeinojen valinnassa.
Hallintatoimenpiteiden vaikuttavuutta kannattaa arvioida säännöllisesti ja etenkin toimintaympäristön muuttuessa. Hallintatoimenpiteen tulisi hoitaa tehtävänsä ja suojata tunnistetulta riskiltä. Tarpeettomaan hallintatoimenpiteeseen ei kannata käyttää resursseja.
Vaikuttavuuden arviointiin voi kehittää raportointityökaluja, joiden avulla voi seurata hallintatoimenpiteen toteutumista ja kehittämistarpeita. Näiden niin kutsuttujen mittareiden avulla voi myös raportoida riskienhallinnan toimivuutta johdolle.
Traficomin suositusluonnosta kyberturvallisuuden riskienhallinnan toimenpiteistä voi käyttää riskienhallinnan suunnittelussa ja luettelona vaihtoehtoisista hallintakeinoista. Suosituksen hallintatoimenpiteet noudattelevat yleisiä toimintatapoja ja ne soveltuvat myös pienempien organisaatioiden käyttöön.
Julkaisemme alkukesän aikana lisää NIS2-direktiiviin liittyviä uutisia. Edellisessä jutussa käsittelimme perustason tietoturvakäytäntöjä. Seuraavat uutiset koskevat hankinnan ja toimitusketjujen turvallisuutta sekä uhkamallinnusta.