Et voi saada täyttä tietoturvaa.

Hiljattain keskustelin Twitterissä siitä, miten Leijona Securityn tietoturvakartoitus on hinnoiteltu. Siellä eräs keskustelija nosti esiin näkemyksen, että (mielestäni varsin maltillinen) hinta on perusteltu vain, jos kartoituksen jälkeen tehdyillä toimenpiteillä tietoturva pitää varmasti. Voin kertoa saman tien, että tällaista palvelulupausta Leijona Securityllä ei ole eikä tule.

Leijona Security ei voi taata 100 % pitävää tietoturvaa. Jos joku muu tällaista lupaa, se on heidän asiansa, mutta siitä lisää alempana. Ajatus täydestä turvallisuudesta tulee kuitenkin esiin silloin tällöin, joten avaan tässä kirjoituksessa sitä miksi sen odottamisessa ei ole järkeä, ja sen lupaaminen on tavalla tai toisella erikoista.

Palotarkastaja tulee taloon

Miksi tietoturvakartoituksen kohdalla tuollainen odotus on kohtuuton? Mietitäänpä vaikka palotarkastusta. Palotarkastushan noudattaa loppujen lopuksi melko lailla samaa kaavaa:

  1. Paloturvallisuuden asiantuntija tulee paikalle ja kartoittaa riskit
  2. Palotarkastaja kertoo, millä keinoin riskejä tulisi vähentää ja ennaltaehkäistä
  3. Palotarkastaja poistuu paikalta ja lähettää laskun

Lupaako palotarkastaja tarkastuksen päätteeksi, että kun toteutatte nämä toimenpiteet, rakennuksenne ei enää voi missään tapauksessa syttyä tuleen? Ei tietenkään lupaa, sehän olisi mahdoton lupaus (ellei rakennus ole rakennettu täysin palamattomista materiaaleista ja sisällä pelkästään palamattomia esineitä ja materiaaleja).  Silti palotarkastaja vaatii toimenpiteitä, kuten palavien materiaalien poistoa rappukäytävästä.

Tietoturvallisuudessa suojattavia kohteita ovat sähköiset järjestelmät, joissa liikkuu tai säilytetään dataa. Samoin kuin kuvatunlaisia rakennuksia ei juuri ole, ei käytännössä ole organisaatioita joissa ei olisi käytössä noita järjestelmiä. Lisäksi tietoturva voi vuotaa myös esimerkiksi henkilöiden ja kulunhallinnan kautta. On siis käytännössä mahdotonta päästä tilanteeseen, jossa riskitekijöitä ei olisi.

Hyöty on mitattavissa

Mikä palotarkastuksen ja tietoturvakartoituksen tarkoitus sitten on? Tarkoitus on ehkäistä tulipalojen tai tietoturvariskien toteutumista ja toteutuvien riskien vaikutuksia. Vaikka teesini on, että riskittömyyteen ei päästä, on riskien karsimisessa kuitenkin järkeä. Hyötyä syntyy, kun riskin toteutumisen todennäköisyys pienenee, tai sen oletettu vaikutus pienenee.

Riskin voi muuttaa yksinkertaistettuna euromääräiseksi näin:

Toteutumisen todennäköisyys x riskin oletettu euromääräinen vaikutus = euromääräinen riski.

Riskien mittaamista ja tietoturvan euromääräisen hyödyn laskemista on käsitelty tarkemmin tässä kirjoituksessa. Tämän kirjoituksen tarpeisiin riittää ymmärrys siitä, että mikäli turvallisuustoimenpiteet vähentävät riskiä enemmän kuin niihin käytetään rahaa, ne ovat kannattavia.

Kokonaisriskiä voikin säätää joko todennäköisyyden kohdalla (esim. hyökkäyspinta-alan pienentäminen, henkilöstön kouluttaminen, tietoturvakontrollit) tai oletetun vaikutuksen kohdalla (kriisitilanteisiin valmistautuminen, harjoittelu, viestinnän suunnittelu, verkkojen eristäminen, varmuuskopiot, muut jatkuvuudenhallinnan toimenpiteet). Nämä ovat keinoja joita tietoturvakartoituksessa saatetaan ottaa esiin.

Samalla tavalla riskiä laskevat esimerkiksi autoissa ABS-jarrut ja peruutustutkat. Kukaan tuskin uskoo, ettei tuollainen auto voisi joutua kolariin. Moni kuitenkin pitää ylläolevia ominaisuuksia järkevinä ja haluaa niistä maksaa riskien pienemisen takia.

Tarkempia perusteluja

Ylläoleva analogia ja riskimatematiikka ei kuitenkaan riitä aidosti perustelemaan sitä, miksi täydellinen tietoturva todella olisi mahdotonta toteuttaa. Ensimmäinen ajatusharjoitus on luonnollisesti se, että jos täydellistä tietoturvallisuutta olisi olemassa, eikö se olisi jo käytössä? Miksi sitten luemme miljardiluokan yritysten tai jopa valtioiden joutuvan kyberhyökkäysten ja tietovuotojen kohteeksi? Kun se ei onnistu niiltäkään, miten suomalainen PK-yritys tai kunta voisivat resursseineen päästä täydelliseen turvallisuuteen?

Toinen ajatusharjoitus on se, mitä paras mahdollinen (huom, ei täydellinen) tietoturva todella vaatisi. Esimerkiksi viranomaisten Vahti-ohje eri suojaustasojen materiaalille on tutustumisen arvoinen:

https://www.vahtiohje.fi/web/guest/luokiteltujen-tietoaineistojen-kasittelyvaatimuksia

Suojaustaso I:n (STI, kaikkein suojatuin taso) tietojen käsittelyvaatimuksia lukaisemalla huomaa äkkiä, että minkä tahansa normaalin organisaation toiminta tyssäisi saman tien, mikäli vaatimukset otettaisiin käytäntöön. Nuo ovat kuitenkin maamme tarkimmin vartioidulle tiedolle tarkoitettuja kriteereitä. 

Turvallisuudesta on siis tavallisen organisaation joustettava. Mutta niin “joustaa” valtiokin! Suojaustasoista 1-4 nimittäin voi myös päätellä, että eri tiedoille on olemassa eri vaatimukset siksi, että riskiarvio on eri. Siitä voi myös päätellä sen, että esim. suojaustaso II:ta ei pidetä täysin turvallisena.

Valtiolla riskiä ei luonnollisesti tarkastella euromääräisenä, vaan esimerkiksi kansalliseen turvallisuuteen liittyvien vaikutusten mukaan. Sama kylmä matematiikka toimii kuitenkin taustalla. Tämän tiedon turvallisuus on valtiolle arvokkaampaa kuin tuon, joten sen suojaus vaatii enemmän toimenpiteitä. Ja kuinka ollakaan, välillä myös nuo turvatumpien tasojen tiedot vuotavat julkisuuteen.

Mitä sitten pitäisi tehdä?

Ei ainakaan kannata vaipua apatiaan. Suojaustasojen I ja II tasoinen tietojenkäsittely ei ole käytännöllistä, eikä sekään takaa täyttä tietoturvaa. Organisaatioiden tulisi kuitenkin kartoittaa itselleen tärkeä tieto, sen sijainti ja käsittelytavat sekä niihin kohdistuvat riskit. Kun nämä perusasiat ovat selvillä, voidaan lähteä toteuttamaan toimenpiteitä jotka samalla vähentävät riskiä mutta mahdollistavat organisaation päivittäisen toiminnan. Kun riskit ovat tiedossa ja korjaavat toimenpiteet on aloitettu, on helpompi hyväksyä jäljelle jäävä riski ja varautua sen toteutumiseen.

Entäpä sitten ne tahot jotka lupaavat turvata tietoturvan täysin? Vaihtoehtoja on kolme:

  1. He ovat kehittäneet jotain aivan erityistä joka kannattaa todellakin ostaa!
  2. He eivät tiedä mistä puhuvat.
  3. He valehtelevat.

Entä kun joku tulee lupailemaan täyden tietoturvan varmistavaa palvelua tai tuotetta jota ei voi hakkeroida? Suosittelen vaatimaan esimerkiksi kiinteää sadan tuhannen euron sopimussakkoa jokaisesta toteutuneesta tietoturvariskistä joka tapahtuu palvelun piirissä (riskinhän on juuri vakuutettu olevan nolla). Uskoakseni siinä vaiheessa lupailu vaihtuu epäuskoiseen “eihän tuollaista voi luvata”-tokaisuun.

Leijona Security ei voi luvata täydellistä tietoturvaa, koska se olisi valehtelua. Riskien kartoittaminen ja vähentäminen sen sijaan on palvelulupaus jonka Leijona Security voi antaa.

Kategoria Blogi