22
Elo

Kybertoimintakykyä riskejä hallitsemalla

Aiempi kirjoitukseni koski tilannekuvan käsitettä ja sen muodostumista kyberturvallisuuden kontekstissa. Heränneessä keskustelussa nousi esille etenkin toimintakyvyn merkitys oikeanlaisen tilanneymmärryksen rinnalla. ”Tilannetietoisuus ja –ymmärrys ei riitä, jos ei ole kykyä tehdä mitään.” Saadun tilannetiedon pohjalta pitää pystyä myös toimimaan. Mistä tällainen kyky syntyy?

 

Ymmärrys ja kyky

Ensinnäkin näkisin, että keskeistä on jo aiemmin esille nostamani kokemukseen pohjautuva ymmärrys toimintaympäristöstä. Kyky ymmärtää tapahtumia ja ennakoida niiden vaikutuksia ovat tehokkaan toiminnan peruspilareita. Tämän lisäksi tarvitaan myös konkreettisia työkaluja ja resursseja haluttujen toimenpiteiden toteuttamiseen. Kyberympäristössä reagointiin käytettävissä oleva aika ei välttämättä mahdollista lisäresurssien budjetointia ja hankintojen tekemistä. Resurssien tulisi siis olla jo lähtökohtaisesti käytettävissä, kun tarve niille ilmenee.

Näihin resursseihin voi lukeutua erilaisia teknisiä ratkaisuja, mutta tärkeitä ovat myös ennalta suunnitellut ja harjoitellut toimintamallit. Kun aikaa vielä on käytettävissä, voidaan yksittäisten asiantuntijoiden osaamista hyödyntää laajemmin kuin mitä aktiivinen tilanteeseen reagointi mahdollistaa. Ennalta suunniteltu toimintamalli auttaa jalkauttamaan parhaan osaamisen myös sellaisille toimijoille, joilla ei erikoistumista aiheeseen välttämättä ole, näin välittäen asiantuntijoiden ymmärrystä toimintaympäristöstä.

 

Kohdentaminen

Useinkaan aivan kaikkeen mahdolliseen ei voida, eikä ole järkevää, varautua. Miten siis päättää, millaiseen varautumiseen resursseja tulisi ennalta ohjata? Yksittäiset uhkakuvat ja niiden potentiaaliset seuraukset ovat hyvä tapa konkretisoida kyberturvallisuuden käsitettä. Konkreettiset uhkat herättävät usein myös kiinnostusta mediassa ja etenkin uusista löydöksistä uutisoidaan runsaasti. Tällaisia uhkakuvia voidaan käyttää myös edesauttamaan juuri tiettyyn uhkaan vastaavien ratkaisujen myymistä. Tämän seurauksena voi kuitenkin olla hyvin pirstaleinen ja mahdollisesti väärin painottunut kuva potentiaalisista uhkista, siis vääränlainen ymmärrys toimintaympäristöstä.

Oikein mitoitettu turvallisuus lähtee suojattavista kohteista, ei niihin kohdistuvista uhkista. Kuten Yhdysvaltain entinen ulkoministeri Dean Rusk on todennut: ”Jos suojelet klemmareita ja timantteja yhtä suurella tarmolla, on sinulla pian käsissäsi entistä enemmän klemmareita ja paljon vähemmän timantteja.” (vapaa suom.). Kun uhkat kohdistuvat informaatioympäristöön on tärkeää, että pohjalla on toimiva informaationhallinta, joka mahdollistaa erilaisten tietoaineistojen kriittisyyden määrittelyn.

 

Riskienhallinnan perusteet

Ymmärrys suojattavista kohteista mahdollistaa suojautumistoimenpiteiden suunnittelun näihin kohdistuvien riskien pohjalta, siis riskienhallinnan. Yksi riskienhallinnan tavoite on määritellä, miten paljon resursseja kuhunkin riskiin varautumiseen on syytä panostaa. Voidaan puhua riskienhallinnan tilannekuvasta, joka on luonteeltaan staattisempi kuin reaaliaikainen kuva esimerkiksi tietoliikenteen tilasta ja mahdollisista häiriöistä. Ei kuitenkaan tule ajatella sen olevan myöskään ikuisesti muuttumaton.

Riskienhallinnan ylläpitäminen vaatii ymmärrystä sekä liiketoiminnasta että käytännön uhkista ja niiltä suojautumisesta. Riskienhallinnan tuomaan lisäarvoon vaikuttaa myös suojattavien kohteiden tila. Kohteen ollessa informaatio, on sen oltava hyvin hallittua, jotta suojaustoimenpiteet voidaan kohdistaa oikein ja saada niillä aikaan haluttu vaikutus. Huonosti hallitulle tiedolle tai sen muutosprosesseille voi olla vaikeaa määritellä oikeaa suojaustasoa, saatikka huolehtia siitä, että sen käsittely pysyy määriteltyjen kontrollien vaatimissa rajoissa.

 

Toimenpidelistoista mukautuvampaan malliin

Kesäkuun lopulla pääsin osallistumaan valtiovarainministeriön tietoturvasäännösten uudistamistyötä käsittelevään kuulemistilaisuuteen. Yksi valtionhallinnon tietoturvallisuutta koskevaan ohjeistukseen liittyvistä tavoitteista on siirtyminen kaikille yhteisistä tarkasti määritellyistä kontrolleista riskilähtöisempään, tapauskohtaisen harkinnan mahdollistavaan turvallisuustoimintaan. Tästä näkökulmasta asiaa tarkastellaan myös EU:n tietosuoja-asetuksessa, jonka mukaan henkilötietojen suojaamiseksi tulee olla toteutettuna ”riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet”.

Nämä linjaukset liittyvät laajempaan trendiin jossa turvallisuusvaatimuksia ollaan siirtämässä valmiista toimenpidelistoista erilaisiin ympäristöihin mukautuvaan riskilähtöiseen suojautumiseen. Tällainen lähestymistapa mahdollistaa tarkoituksenmukaisemmat ja paremmin kohdistetut toimenpiteet myös kyberuhkilta suojautumiseksi.

 

Riskienhallinta – uhka vai mahdollisuus?

Toisaalta tämä lähestymistapa asettaa myös suurempia paineita yksittäisille organisaatioille. Sen sijaan, että kontrollit toteutetaan valmista listaa noudattaen, tulee organisaatioiden itse valita toteutettavat toimenpiteet. Jälkikäteen tulee voida myös tarvittaessa osoittaa, että nämä on valittu pohjautuen asianmukaiseen ja ajantasaiseen riskianalyysiin, realistiseen riskienhallinnan tilannekuvaan.

Tämä edellyttää, että riskienhallintaa ei toteuteta pelkkänä paperiharjoituksena, vaan että se on aidosti sidoksissa todelliseen toimintaan ja myös tekniseen toimintaympäristöön. Teknisten asiantuntijoiden on kyettävä tarjoamaan tietoa ajantasaisen riskienhallinnan tilannekuvan ylläpitämiseksi. Tämä tarkoittaa tietoa niin suojeltavien kohteiden, niihin kohdistuvien uhkien, kuin käytettävissä olevien suojaustoimenpiteidenkin suhteen.

Taustalle vaaditaan ymmärrys suojattavista kohteista ja arvoista, niin organisaation omista lähtökohdista, kuin siihen kohdistuvien vaatimustenkin kautta. Optimitilanteessa vaatimustenmukaisuus, informaationhallinta, riskienhallinta ja tehokas turvallisuuden toteutus toimivat saumattomana ketjuna. Tämä mahdollistaa nopean reagoinnin liiketoiminnan häiriöihin ja niiden seurausten tehokkaan hallinnan.