Kybermittarin usein kysytyt kysymykset - FAQ

Kyberturvallisuuskeskuksen kehittämä Kybermittari auttaa parantamaan yritysten, organisaatioiden ja samalla koko yhteiskunnan kykyä torjua kyberuhkia. Kybermittari tuo yritysten ja organisaatioiden johdolle ja tietoturva-ammattilaisille konkreettisen työkalun kyberuhkien aiempaa parempaan hallintaan.

Kybermittarin avulla johto saa näkymän toiminnalle tärkeiden kyberkyvykkyyksien kypsyystasoon osa-alueittain ja tavoitteittain. Mittari näyttää, millä tasolla kyberriskien tunnistaminen, suojautuminen, havainnointi, reagointi ja palautuminen ovat organisaatiossa. Mittari tuo näkymän myös toimitusketjun ja ulkoisten riippuvuuksien hallintaan liittyvään kypsyystasoon. Lisäksi yritysjohto saa arvokasta tietoa siitä, miten oma kyberriskeihin varautuminen vertautuu toimialan keskiarvoon.

Kybermittari on räätälöity Suomessa toimivien yritysten ja organisaatioiden tarpeisiin ja se pohjautuu kansainvälisiin kyberkyvykkyyksien mittausmalleihin. Kansallinen lähestymistapa mahdollistaa yritysten ja toimialojen yhtämittaisen vertailun ja tuo yhteisen kielen kyberturvallisuuden mittaamiseen ja kehittämiseen. Kyberturvallisuuskeskuksen rooli on tukea mittarin jatkuvuutta ja pitkäjänteisyyttä sekä luoda edellytykset jakaa luottamuksellisesti tietoa parhaista käytänteistä, suosituksia ja referenssituloksia yhteistoiminnassa kriittisten organisaatioiden kanssa.

Mittarin kehityksessä ja pilotointivaiheessa on ollut Traficomin Kyberturvallisuuskeskuksen ja Huoltovarmuuskeskuksen lisäksi mukana kriittisen infrastruktuurin organisaatioita, yrityksiä, asiantuntijoita sekä viranomaisia. Kybermittarin pohjana toimivat kansainväliset NIST Cybersecurity Framework sekä Cybersecurity Capability Maturity Model (C2M2).

Kybermittarista muodostuu yleisesti tunnustettu ja laajasti käytössä oleva tuote yhteiskunnan ja organisaatioiden kyberkypsyyden arvioimiseksi ja kehittämiseksi. 

Kybermittari laajentaa ja ylläpitää käyttäjien kesken olevaa luottamusverkostoa, jossa tuetaan toisia jakamalla vertailukelpoisia tuloksia ja osaamista sekä käytetään yhteistä kieltä kyberturvallisuuden osa-alueista jäsenten kesken. 

Kansallisella tasolla Kybermittarin laajamittainen käyttö tukee kansallisen tilannekuvan muodostamista, viranomaistoimintaa ja päätöksentekoa sekä auttaa resurssien kohdentamisessa.

Kun organisaatiot lähtevät käyttämään Kybermittaria, on tärkeää olla tietoinen yleisistä kognitiivisista vinoumista, jotka voivat vaikuttaa tulosten arviointiin ja hyödyntämiseen. Näiden vinoumien tunnistaminen auttaa tekemään objektiivisempia ja tarkempia johtopäätöksiä.

Tyypilliset vinoumat ja miten välttää ne:

1. Mental Shotgun (ajatushaulikko):

• Mikä se on?
  • Tämä tarkoittaa taipumusta käsitellä monia asioita samanaikaisesti tai ylitulkita tuloksia. Esimerkiksi organisaatio saattaa keskittyä liian moneen osa-alueeseen kerralla, jolloin priorisointi kärsii.
• Miten välttää?
  • Keskity ensin alhaisimpiin tuloksiin Kybermittarissa ja niihin osa-alueisiin, jotka ovat liiketoiminnan kannalta kriittisiä.
  • Laadi prioriteettilista ja vältä hajottamasta huomiota liian moneen asiaan yhtä aikaa.

2. Optimism bias (opstimistinen vinouma):

• Mikä se on?
  • Organisaatio saattaa yliarvioida oman kyvykkyytensä tai suojatoimiensa toimivuuden, koska “meille ei ole tapahtunut mitään vakavaa.”
• Miten välttää?
  • Vastausten tulee perustua todellisiin tietoihin, ei oletuksiin tai toiveisiin.
  • Hyödynnä ulkopuolisten arvioita tai faktoja, kuten testituloksia, auditointeja tai todistettuja tapahtumia.

3. Anchoring (ankkurointi):

• Mikä se on?
  • Ensimmäinen tulos tai aiemmat kokemukset voivat liiaksi ohjata nykyistä arviointia. Esimerkiksi organisaatio voi antaa suuremman painoarvon osa-alueelle, jossa sillä on jo hyvät tulokset, ja aliarvioida heikkouksiaan.
• Miten välttää?
  • Arvioi jokainen osa-alue erikseen ilman, että aiemmat tulokset vaikuttavat näkemyksiin.
  • Hyödynnä vertailevia kysymyksiä: “Onko suojaustasomme todellisuudessa riittävä, jos vertaamme alan keskiarvoihin?”

4. Availability Heuristic (saatavuusharha):

• Mikä se on?
  • Päätökset perustuvat helposti muistettaviin tai tuoreisiin tapahtumiin. Esimerkiksi hiljattainen kyberhyökkäys saattaa korostaa reagointikyvyn merkitystä suojautumisen kustannuksella.
• Miten välttää?
  • Muista, että kaikkia osa-alueita tarvitaan yhdessä tehokkaan kyberturvallisuuden takaamiseksi.
  • Perusta arviointi kattavaan kokonaiskuvaan eikä vain viimeaikaisiin tapauksiin.

5. Bandwagon Effect (laumavietti):

• Mikä se on?
  • Organisaatio saattaa painottaa niitä osa-alueita, jotka ovat tällä hetkellä “muodissa” tai joita muut organisaatiot korostavat.
• Miten välttää?
  • Arvioi tulokset oman organisaation tarpeiden ja riskiprofiilin näkökulmasta, äläkä kopioi muiden ratkaisuja suoraan.

6. Confirmation Bias (vahvistusharha):

• Mikä se on?
  • Etsitään tai painotetaan vain sellaista tietoa, joka tukee olemassa olevia omia käsityksiä tai uskomuksia.
• Miten välttää?
  • Pyri tarkastelemaan tuloksia kriittisesti ja käytä ulkopuolista asiantuntijaa arvioimaan, onko johtopäätöksesi tasapainoinen.

7. Overconfidence Bias (liiallinen itsevarmuus):

• Mikä se on?
  • Johto voi uskoa, että organisaation kyberturvallisuus on paremmalla tasolla kuin se todellisuudessa on, koska toimenpiteet “näyttävät riittäviltä.”
• Miten välttää?
  • Käytä mittarin tuloksia rehellisesti parannuskohteiden löytämiseen. Älä tyydy pelkkiin hyviin lukemiin yhdellä osa-alueella.

8. Sunk Cost Fallacy (uponneiden kustannusten harha):

• Mikä se on?
  • Organisaatio voi pitäytyä tehottomissa käytännöissä tai työkaluissa, koska niihin on jo investoitu paljon aikaa ja rahaa.
• Miten välttää?
  • Keskity siihen, mikä on oikeasti hyödyllistä organisaatiolle tänään ja tulevaisuudessa. Vanhojen investointien säilyttäminen ei ole aina paras ratkaisu.

Toimintaohjeet vinoumien välttämiseksi

● Käytä tiimiä: Varmista, että kysymyksiin vastaa ryhmä ihmisiä, joilla on erilaisia näkemyksiä organisaation kyberturvallisuudesta.
● Arvioi objektiivisesti: Pohdi jokaista vastausta faktojen, ei tunteiden tai aiempien uskomusten pohjalta.
● Tarkista priorisointi: Suuntaa resurssit sinne, missä on eniten riskejä tai kehittämistarpeita, ei sinne, missä asiat ovat jo hyvällä mallilla.
● Päivitä säännöllisesti: Toista Kybermittarin käyttö esimerkiksi kerran vuodessa ja hyödynnä aiempien arvioiden kehitystä peilinä nykyhetkelle.

Tietoturvastandardit edellyttävät että tietoturvan kehittymistä mitataan. Kybermittari hoitaa tämä osan riippumatta käytössä olevasta viitekehyksestä. Esimerkiksi ISO27001-standardissa (2022) suorituskyvyn arviointia ja parantamista on käsitelty standardin kohdissa 9 ja 10.

Euroopan unionin kyberturvallisuusdirektiivin (NIS2-direktiivi) 21 artikla käsittelee kyberturvallisuusriskien hallintatoimenpiteitä. Hallintatoimenpiteissä mainittuja aiheita vastaavia Kybermittarin osioita ja tavoitteita ja käytäntöjä on tunnistettu. Tarkoituksena antaa käyttäjille erimerkkejä suositelluista käytännöistä, jotka liittyvät kuhunkin hallintatoimenpiteeseen. Näitä ristiinviittauksia tarkennetaan täytäntöönpanon edetessä. Traficomin voit lukea asiasta lisää NIS2-direktiivin mukaisista kyberturvallisuuden riskienhallinnan toimenpiteistä.

Kybermittari mittaa kyberturvallisuuden kypsyystasoa kolmiportaisella asteikolla. Kybermittarissa on 11 osiota, jotka jakautuvat tavoitteisiin. Tavoitteet koostuvat käytännöistä, jotka on sijoitettu vaativuutensa mukaisesti jollekin näistä kolmesta kypsyystasosta. Käytännöt perustuvat yleisesti käytettyihin tietoturvallisuus standardeihin, viitekehyksiin tai parhaisiin käytäntöihin. Annettujen vastausten perusteella Kybermittari laskee organisaation tietoturvatason osio ja tavoitekohtaisesti. Kybermittarin tavoitteena on olla yleiskäyttöinen mittausväline, jolla mittaus on toistettavissa ja jolla sadut tulokset ovat vertailtavissa tarvittaessa myös eri toimialojen välillä.

Kyberturvallisuuskeskus tarjoaa Kybermittarin vapaasti yritysten, järjestöjen ja julkisten toimijoiden käyttöön. Lisäksi sitä voivat hyödyntää kaupalliset toimijat tai viranomaiset. Laajemmat käyttöehdot ja palvelunkuvaukset löytyvät Kybermittari-sivuilta.

Voit vapaasti ottaa käyttöön, jakaa ja muunnella Kybermittari-palvelun materiaaleja, jotka on julkaistu Creative Commons Nimeä 4.0 -lisenssillä (CC BY 4.0). Muistathan viitata asianmukaisesti lähteeseen. Huomioithan Kyberturvallisuuskeskuksen ulkopuoliset tietolähteet ja niiden oikeuksien haltijoiden mahdolliset oikeudet käyttäessäsi dokumentteja. Kybermittari on rekisteröity tavaramerkki (sanamerkki)

Kybermittarin ehdot:

1. ”Kybermittari” on Kyberturvallisuuskeskuksen omistama tavaramerkki (sanamerkki) (PRH, Rno: 279095)
2. Kybermittariin liittyvä materiaali on julkaistu Creative Commons Nimeä 4.0 -lisenssillä (CC BY 4.0). 
   Se tarkoittaa, että saat käyttää listaa mihin tarkoitukseen haluat, muokata sitä niin kuin haluat ja jakaa sitä eteenpäin niin kuin haluat, seuraavilla ehdoilla:
   • Nimeä - Sinun on mainittava lähde asianmukaisesti, tarjottava linkki lisenssiin sekä merkittävä, mikäli olet tehnyt muutoksia. Voit tehdä yllä olevan millä tahansa kohtuullisella tavalla, mutta et siten, että annat ymmärtää lisenssinantajan suosittelevan sinua tai teoksen käyttöäsi.
   • Ei muita rajoituksia -  Et voi asettaa sellaisia oikeudellisia ehtoja tai teknisiä estoja, jotka estävät oikeudellisesti muita tekemästä mitään sellaista, minkä lisenssi sallii

Cybersecurity Capability Maturity Model (C2M2) ehdot:

© 2022 Carnegie Mellon University. This version of C2M2 is being released and maintained by the U.S. Department of Energy (DOE). The U.S. Government has, at minimum, unlimited rights to use, modify, reproduce, release, perform, display, or disclose this version the C2M2 or corresponding tools provided by DOE, as well as the right to authorize others, and hereby authorizes others, to do the same.

During the creation of the original C2M2, Capability Maturity Model® and CMM® were registered trademarks of Carnegie Mellon University. Information Systems Audit and Control Association, Inc. (ISACA) is the current owner of these marks but did not participate in the creation of C2M2.