Mikä on riski?
Riskien tunnistaminen ja hallinta
Kukaan tai mikään ei ole täysin suojassa kyberuhilta verkottuneessa yhteiskunnassa. Et sinä, eikä kukaan muukaan. Ennaltaehkäiseminen, havaitseminen ja varautumiskyky ovat oleellisia kyberturvallisuuden hallinnan keinoja. Kyberhyökkäyksiä ei voida täysin estää, mutta niitä pyritään torjumaan ja niiden vaikutuksia minimoimaan erilaisilla toimenpiteillä. Haavoittuvuuksien tunnistaminen ja hallinta auttavat torjumaan uhkia. Näitä käsitellään tässä osiossa tarkemmin.
Luonnolliset tai ihmisen aiheuttamat uhkat
Yleisellä tasolla uhka voi olla luonnollinen tai ihmisen aiheuttama. Ihmisen aiheuttamat uhkat voidaan puolestaan jakaa tahattomiin (vahinkoihin) sekä tahallisesti aiheutettuihin. Käytämme tässä luvussa kahta esimerkkiä, yhtä luonnollista ja yhtä ihmisen aiheuttamaa uhkaa.
Luonnollinen uhka: Luonnonilmiöstä aiheutuva uhka voi olla esimerkiksi salamaniskun aiheuttama jännitepiikki sähköverkossa, joka tuhoaa tietokoneesi muuntajan, ja estää sen käyttämisen kunnes saat varaosan.
Huomaa, että salamanisku ja jännitepiikki ovat siis uhkia. Riski on se, ettet voi käyttää konetta muuntajan rikkoontumisen vuoksi.
Ihmisen aiheuttama uhka: Ihmisen aiheuttamasta riskistä esimerkki voisi olla se, ettet pysty käyttämään konettasi, koska pahantahtoinen hakkeri on kaapannut ja lukinnut sen lunnaiden saamiseksi. Tässä esimerkissä uhkan muodostavat hakkeri, ja hänen käyttämänsä “ransomware”.
Luonnollinen uhka: Luonnonilmiöstä aiheutuva uhka voi olla esimerkiksi salamaniskun aiheuttama jännitepiikki sähköverkossa, joka tuhoaa tietokoneesi muuntajan, ja estää sen käyttämisen kunnes saat varaosan.
Huomaa, että salamanisku ja jännitepiikki ovat siis uhkia. Riski on se, ettet voi käyttää konetta muuntajan rikkoontumisen vuoksi.
Ihmisen aiheuttama uhka: Ihmisen aiheuttamasta riskistä esimerkki voisi olla se, ettet pysty käyttämään konettasi, koska pahantahtoinen hakkeri on kaapannut ja lukinnut sen lunnaiden saamiseksi. Tässä esimerkissä uhkan muodostavat hakkeri, ja hänen käyttämänsä “ransomware”.
Riskien arviointi
Riskien arviointi alkaa oman “omaisuuden" (eng. asset) tunnistamisella. Riskejä kohdistuu vain sellaisiin asioihin, jotka ovat suojaamisen arvoisia. Ne ovat siis sinulle tärkeitä henkisesti tai niillä on rahassa mitattavaa arvoa.
Otetaan esimerkiksi edelleen henkilökohtainen tietokoneesi, joka usein on myös työvälineesi. Tähän omaisuuteen täytyy kohdistua uhka, jotta on olemassa riski. Jos tietokoneesi ei ole kytketty mihinkään verkkoon, hakkeri ei voi aiheuttaa sille uhkaa, mutta jännitepiikin mahdollisuus on edelleen olemassa. Riskiä ei myöskään ole, jos omaisuudellasi ei ole haavoittuvuutta. Jos tietokoneesi on kytketty pistorasiaan, jossa on ylijännitesuoja, ei salamaniskun aiheuttama jännitepiikki voi tuhota muuntajaa. Hakkeri voi kuitenkin lukita sen, jos se on kytketty tietoverkkoon.
Tällaista aivojumppaa on uhkien ja riskien tunnistaminen. Huomaa, että edellisessä esimerkkiyhtälössä oli käytetty vain kahta muuttujaa.
Osana riskien tunnistamista sinun tulee määritellä olemassa olevien uhkien ja haavoittuvuuksien kokonaisvaikutus tilanteessa, jossa uhka toteutuu. Esimerkkinä vaikutuksen arvioinnista voisi olla vaikka se, paljonko uuden muuntajan hankkiminen rikkoutuneen tilalle maksaa. Mieti myös aiheuttaako käyttökatko kuluja eli esimerkiksi onko tietokone myös työväline ja voisiko sen rikkoutumisesta tai käytön estymisestä syntyä ansionmenetyksiä. “Ransomware” lunnaiden arviointi onkin jo vaikeampaa, pitäisikö vain hankkia se tietoturvaohjelmisto..
Riskin muodostumiseen vaikuttaa myös uhkan todennäköisyys. Objektiivinen todennäköisyyden määrittely edellyttää matemaattista mallintamista, mikä on liian laaja kokonaisuus tämän kurssin oppimäärä huomioiden. Myös todennäköisyyttä määrittelevän yhtälön muuttujien määrittelystä saa tehtyä korkeampaa tiedettä varsin helposti.
Arkisissa asioissa useimmat meistä joutuvat luottamaan omaan maalaisjärkeensä, mihin liittyy henkilökohtaisen toimintaympäristön ja omien toimintamallien huomiointi. Tämänkin vuoksi matemaattinen mallintaminen olisi hankalaa, käytämme digitaalisia laitteitamme hyvin erilaisilla tavoilla ja erilaisissa ympäristöissä. Todennäköisyys salamaniskulle on suurempi etätyöpäivänä Saimaan saaressa kuin maakaapeliin kytketyssä kaupunkiasunnossa.
Otetaan esimerkiksi edelleen henkilökohtainen tietokoneesi, joka usein on myös työvälineesi. Tähän omaisuuteen täytyy kohdistua uhka, jotta on olemassa riski. Jos tietokoneesi ei ole kytketty mihinkään verkkoon, hakkeri ei voi aiheuttaa sille uhkaa, mutta jännitepiikin mahdollisuus on edelleen olemassa. Riskiä ei myöskään ole, jos omaisuudellasi ei ole haavoittuvuutta. Jos tietokoneesi on kytketty pistorasiaan, jossa on ylijännitesuoja, ei salamaniskun aiheuttama jännitepiikki voi tuhota muuntajaa. Hakkeri voi kuitenkin lukita sen, jos se on kytketty tietoverkkoon.
Tällaista aivojumppaa on uhkien ja riskien tunnistaminen. Huomaa, että edellisessä esimerkkiyhtälössä oli käytetty vain kahta muuttujaa.
Osana riskien tunnistamista sinun tulee määritellä olemassa olevien uhkien ja haavoittuvuuksien kokonaisvaikutus tilanteessa, jossa uhka toteutuu. Esimerkkinä vaikutuksen arvioinnista voisi olla vaikka se, paljonko uuden muuntajan hankkiminen rikkoutuneen tilalle maksaa. Mieti myös aiheuttaako käyttökatko kuluja eli esimerkiksi onko tietokone myös työväline ja voisiko sen rikkoutumisesta tai käytön estymisestä syntyä ansionmenetyksiä. “Ransomware” lunnaiden arviointi onkin jo vaikeampaa, pitäisikö vain hankkia se tietoturvaohjelmisto..
Riskin muodostumiseen vaikuttaa myös uhkan todennäköisyys. Objektiivinen todennäköisyyden määrittely edellyttää matemaattista mallintamista, mikä on liian laaja kokonaisuus tämän kurssin oppimäärä huomioiden. Myös todennäköisyyttä määrittelevän yhtälön muuttujien määrittelystä saa tehtyä korkeampaa tiedettä varsin helposti.
Arkisissa asioissa useimmat meistä joutuvat luottamaan omaan maalaisjärkeensä, mihin liittyy henkilökohtaisen toimintaympäristön ja omien toimintamallien huomiointi. Tämänkin vuoksi matemaattinen mallintaminen olisi hankalaa, käytämme digitaalisia laitteitamme hyvin erilaisilla tavoilla ja erilaisissa ympäristöissä. Todennäköisyys salamaniskulle on suurempi etätyöpäivänä Saimaan saaressa kuin maakaapeliin kytketyssä kaupunkiasunnossa.