Kyberturvallisuus ja paksut hännät

Tiivistelmä

Kyberhyökkäykset aiheuttavat organisaatioille kustannuksia ja muita haittoja jotka voivat olla erittäin suuriakin. Toisaalta niiden torjuminen vaatii resursseja, ja elämme rajallisten resurssien maailmassa. Käytettyjen resurssien hyödyt nousevat silloin päätöksenteon keskiöön: mitä riskejä kohtaamme, ja millaiset panostukset niiden torjumiseen ovat järkeviä? Yksi mielenkiintoisimmista asiaan liittyvistä kysymyksistä on riskien noudattama todennäköisyysjakauma: noudattavatko riskit normaalijakaumaa vai paksuhäntäistä jakaumaa? Tässä kirjoituksessa käsitellään näiden eroja ja sitä miten tämän pitäisi vaikuttaa riskeihin varautumiseen. Mikäli itse asian tausta tai tilastotieteellinen puoli ei kiinnosta, suosittelen tiivistelmän jälkeen hyppäämään suoraan kappaleeseen “Paksut hännät kyberriskeissä”.

Kyberriskeihin suhtaudutaan usein myös riskienhallinnan malleissa kuten ne noudattaisivat normaalijakaumaa, kun ne oikeassa maailmassa vaikuttavat noudattavan paksuhäntäistä jakaumaa. Tästä seuraa, että riskejä arvioidaan työkaluilla jotka toimivat normaalijakaumalla mutta eivät paksuhäntäisellä jakaumalla. Tämä puolestaan johtaa etenkin harvinaisempien, häntäpään riskien virhearvioihin.

Toinen ongelma on, että paksuilla hännillä riskien tappioiden virhearvio ja riskinkantokyvyn epälineaarisuus tuovat suhteettoman suuria organisaation olemassaoloon liittyviä riskejä, joka otetaan puutteellisesti huomioon. Lisäksi myös muut kuin rahalliset seuraukset, esimerkiksi ihmishenget ovat alttiita virhearvioille.

Mitä tämä tarkoittaa käytännössä? Esimerkiksi National Cyber Security Alliance (2019) on tutkinut, että alle 500 hengen yrityksissä 12 kuukauden sisällä kyberhyökkäyksestä 25 % hakeutui yrityssaneeraukseen ja 10 % joutui konkurssiin. Kamiya et al. (2018) löysivät myös tilastollisesti merkittävän yhteyden kyberhyökkäysten ja konkurssiriskin välillä.

Paksuihin häntiin perustuva riskienhallinta tuo seuraavia hyötyjä:

  1. Häntäriskit tunnistetaan paremmin
  2. Tietoturvapanostukset voidaan sekä perustella että kohdistaa kriittisimpiin riskeihin
  3. Oikeasuhtaiset panostukset tuovat suojaa tappioilta
  4. Organisaation odotettavissa oleva elinikä pitenee (konkurssiriski vähenee)

Taustaa

Viime viikolla otin LinkedInissä puheeksi Lahden kaupungin viime vuonna kohtaaman kyberhyökkäyksen kustannukset. MTV:n uutisessa Lahden kaupunginjohtaja Pekka Timonen avaa torjunnasta aiheutuneita miljoonan euron kustannuksia näin:

“Miljoona euroa ja tavallaan turha kulu. Olemme jälkikäteen arvioineet, että noin 300 000 – 400 000 eurolla hyökkäys olisi estetty”

Jaoin ylläolevat luvut LinkedInissä saatesanoilla “Jos ajattelet että kyberturva on kallista, mieti myös kuinka kalliiksi hyökkäys tulee”. Ilokseni kommentti varsin vilkasta keskustelua siitä, mitä noista luvuista voi päätellä vai voiko niistä päätellä mitään, ja miten riskeihin varautumisen keinoja ja niiden hintaa pitäisi ylipäätään punnita riskien perusteella. Huomautan tässä vaiheessa, etten itse ota kantaa siihen olisiko Lahden osalta kyseinen panostus ollut tarpeen.

Ohessa vielä muistutus riskin määritelmästä:

Riski = vaikutus x todennäköisyys

Keskustelussa tuli esille se, miten suoraan luvuista laskettuna panostuksessa ei välttämättä olisi järkeä. Riskin todennäköisyyden pitäisi siis olla tarkasteltavalla ajanjaksolla (esim. 5 vuotta) joko yli 1 / 3 tai 1 / 2,5 jotta kyseinen investointi olisi perusteltavissa. Tämä on kaikkein yksinkertaisin tapa laskea kyberturvainvestoinnin “tuotto”. Todennäköisyydet eivät toki ole tiedossa, mutta näin laskien ne vaikuttavat epärealistisen korkeilta. Suomalaiset kaupungit eivät ole kohdanneet vastaavien kustannuksien hyökkäyksiä vastaavalla frekvenssillä.

Keskustelussa nousi myös ansiokkaasti esiin, että koska elämme rajallisten resurssien maailmassa, myös kyberturvaan tehtäviä rahallisia panoksia täytyy tarkasti punnita siitä saatavia hyötyjä vastaan. Hyöty on tässä tapauksessa tappio joka jää realisoitumatta (tappio voi olla rahaa, mainehaitta, tai muita asioita). Todennäköisyys kertoo missä määrin esimerkiksi miljoonatappiota kannattaa torjua ennen kuin torjunta muuttuu perinteisen todennäköisyyksillä korjatun kustannus-hyötylaskelman valossa tappiolliseksi. Annetuilla luvuilla, ilman lisäoletuksia Lahden antamat luvut luultavasti eivät perustelisi panostusta.

Tälläinen laskelma nojaa käytännössä jonkinlaiseen todennäköisyysjakaumaan. Jakaumaa voidaan arvioida esimerkiksi toteutuneiden kyberhyökkäysten frekvenssin ja niistä aiheutuneiden tappioiden avulla. Tätä dataa on luonnollisesti saatavissa, vaihtelevissa määrin. Erilaisten riskien odotusarvoisia vaikutuksia mallinnetaan jakauman mukaan, ja vaikutuksista lasketaan erilaisten tietoturvapanostusten kustannus-hyötyarvio. Laskelmaa voidaan tarkentaa esimerkiksi maan, sektorin ja organisaation tasolla. Jakauma on useimmiten niin sanottu normaalijakauma.

Tässä vaiheessa on hyvä mainita, että riskiajatteluni pohjaa vahvasti mm. Nassim Talebin ja Benoit Mandelbrotin tutkimukseen jakaumien paksuista hännistä, tilastoista ja riskienhallinnasta sekä kyberriskien paksuhäntäisyyttä koskevaan näyttöön. Seuraava kappale on luonteeltaan tekninen ja käsittelee aiheeseen liittyvää tilastotiedettä. Kappaleessa kerrotaan mitä näyttöä kyberriskien paksuista hännistä on ja miten normaalijakauma ja paksujen häntien jakauma eroavat toisistaan. Varoitus: asia on pyritty esittämään kansantajuisesti, mutta kappale on erittäin tekninen. Mikäli haluat skipata tämän teknisen osion, hyppää suoraan kappaleeseen “Paksut hännät kyberriskeissä” jossa käsitellään aiheeseen liittyviä johtopäätöksiä.

Normaalijakauma vs. paksuhäntäinen jakauma

Kyberriskien paksuhäntäisen jakauman noudattamisesta on tieteellistä näyttöä. Didier ja Maillart (2008) totesivat kyberriskien vaikutuksen noudattavan potenssilakia. Coburn, Leverett & Woo (2018) kertovat miten perinteisesti normaalijakaumaoletusta on käytetty kyberriskien arviointiin ja huomauttavat tämän olevan perusteeton oletus, sillä kyberriskit eivät tunne rajoja ja voivat olla vakavuudeltaan useita eri kertaluokkia. Myös OECD huomauttaa raportissaan Digital Economy Outlook 2017 (s. 262-263) että kyberriskit noudattavat paksuhäntäistä jakaumaa. Indikaattoreita paksun hännän jakaumasta ovat esimerkiksi seuraavat:

  • Yksittäisen riskin toteutuminen voi vaikuttaa koko tilaston odotusarvoon
  • Häntäpään riskien todennäköisyydet ja niiden vaikutusten koko eivät ole helposti laskettavissa

Paksut hännät näyttäytyvät useissa etenkin ihmisten luomiin järjestelmiin liittyvissä ilmiöissä, mutta myös luonnossa esimerkiksi maastopalojen vaikutuksissa. Hyvä esimerkki on markkinatuotot: ohessa tappioiden paksu häntä Bloomberg Barclays Global Aggregate-indeksissä (Business Insider):

Didier ja Maillart (2008) totesivat kyberriskien noudattavan potenssilakia. Ohessa on yksipuolinen kuvaaja missä on potenssilakiin perustuva Pareto-jakauma normaalijakauman ohella kuvattuna. (Pareto-periaate kuvaa ilmiötä missä 80 % vaikutuksista tulee 20 % havainnoista. Pareto-jakauma voi noudattaa tätä tai muita potenssilakeja). Yksipuolinen jakauma kuvaa hyvin esimerkiksi kyberriskejä (oletuksena on että kyberhyökkäysten vaikutus voi olla vain nolla tai jonkinasteinen tappio).

Andrianin & McKelveyn tutkimuksen (2007) johtopäätös on, että “tilastollisia löydöksiä ei tule hyväksyä (…) mikäli tilastollinen merkitsevyys saadaan käyttämällä oletusta joka johtaa tavalla tai toisella äärimmäisten tapausten ja (lähes) äärettömän varianssin huomiotta jättämiseen”. Juuri tässä piilee ongelma kyberriskien arvioinnissa perinteisten normaalijakaumaan perustuvien tilastomenetelmien avulla.

Taleb listaa tutkimuksessaan (2020) useita matemaattisia huomioita siitä, miten oletus paksuhäntäinen jakauma vaikuttaa. Ohessa tässä kontekstissa tärkeimmät:

  1. Suurten lukujen laki ei toimi tai toimii liian hitaasti oikeassa elämässä
  2. Aineiston odotusarvo ei useimmiten vastaa jakauman odotusarvoa (ongelma korostuu yksipuolisissa jakaumissa kuten yllä)
  3. Mittarit kuten keskihajonta ja varianssi eivät toimi
  4. Empiirinen jakauma ei oikeasti ole empiirinen
  5. Frekvenssin ja tuoton ennusteet alkavat erota toisistaan
  6. Tuhoon johtavat riskit korostuvat

Kuvaajasta  (Taleb 2020) näemme, että potenssilakia noudattava jakauma tasautuu paljon hitaammin ja hypähdellen. Reaalimaailmassa tämä tarkoittaa että liian pieni näytekoko (joka riittäisi helposti normaalijakaumalla) johtaa suurella todennäköisyydellä vääriin tulkintoihin. Ongelmat 1-3 johtuvat pitkälti tästä ja tähän liittyvistä ongelmista. Ongelma 4 johtuu siitä, että liian pieni aineisto johtaa erittäin herkästi häntäpään tapahtumien ulosjääntiin. Koska häntäpään tapahtumat ovat poikkeuksellisen merkittäviä, empiria ei vastaa riittävästi todellisuutta.

 Entäpä ongelma 5? Kuvaajista (Taleb 2020) voidaan huomata, että pieni virhearvio frekvenssissä ei juuri tuota virheitä todennäköisyyksien arvioinnissa, mutta valtavan virheen tuottoon (tappioon) liittyvissä arvioissa. Kuten aiemmin osoitettiin, suurellakin aineistolla todennäköisyyksien virhearviot ovat erittäin todennäköisiä. Tämä tarkoittaa, että potenssilakia noudattavan jakauman kohdalla myös erittäin suuret virhearviot tuoton (tappion) suhteen ovat todennäköisiä. 

Tästä päästään luontevasti ongelmaan 6. Ongelma seuraa siitä, että riskinkantokyky ei useimmiten ole lineaarista. Sadan tuhannen euron ja miljoonan euron riskin toteutumisten vaikutus ei välttämättä ole kymmenkertainen kuten lukujen valossa voisi olettaa, vaan miljoona euroa voi ajaa etenkin yrityksen konkurssiin. Konkurssin jälkeen yritys on poissa pelistä, ja tämä poistaa luonnollisesti myös kaikki tulevat tulovirrat. Nämä voi siten laskea toteutuneen riskin vaikutuksiksi. Lisäksi esimerkiksi Lahden tapauksessa terveydenhuolto oli vaarassa saada osansa kyberhyökkäyksestä. Tämä tuo pahimmillaan ihmishenget osaksi kyberhyökkäyksen riskiä. 

Paksut hännät kyberriskeissä

Esimerkiksi olemassaoleva data voi sopia normaalijakaumaan. Mikäli aineistoksi otetaan vaikkapa Suomessa toteutuneet kyberriskit ja niiden vaikutukset, tulokset voivat hyvinkin sopia jonkin malliseen normaalijakaumaan. Olemassaolevat havainnot kertovat kuitenkin vain miten jakauma on toteutunut, eivät itse jakaumaa. Jotta voisimme olla varmoja että kyberriskit todella noudattavat normaalijakaumaa, meidän tulisi saada erittäin paljon dataa. Liian vähäinen havaintojen määrä piilottaa herkästi häntäpään harvinaisemmat, suuren vaikutuksen riskit. Coburn, Leverett & Woo (2018) argumentoivat että kyberriskien toteutumista on seurattu niin lyhyt aika, ettei tappioiden muodostamasta hännästä voi olla varmuutta.

Paksuhäntäisyyttä lisää osaltaan myös se, että riskit eivät kasva organisaatioiden koon mukana lineaarisesti. Didier ja Maillart (2008) osoittivat, että riskit kasvavat nopeammin kuin lineaarisesti organisaation kokoon nähden. Tämä voi johtua esimerkiksi ison kohteen houkuttelevuudesta, suuremmasta hyökkäyspinta-alasta ja muista tekijöistä.

Normaalijakaumassa äärimmäisten poikkeamien todennäköisyys on erittäin pieni – ja laskettavissa. Havainnollistetaan asiaa tilastollisiin poikkeamiin liittyvien esimerkkien avulla. Mikäli kahden ihmisen yhteenlaskettu pituus on 410 senttimetriä, tilastollisesti on paljon todennäköisempää että henkilöiden pituudet ovat 205 ja 205 senttimetriä kuin esimerkiksi 150 ja 260 senttimetriä. Sen sijaan mikäli kaksi kyberhyökkäystä aiheuttavat yhteenlaskettuna kymmenen miljoonan kustannukset, 50/50-jaon sijaan todennäköisiä ovat myös esimerkiksi 50 000 € ja 9 950 000 € vahingot.

Toinen argumentti kyberriskien paksuhäntäisen jakauman puolesta on jo tapahtuneet muutokset. Menneen hetken menneisyys (silloin käytettävissä ollut aineisto) ei ole juuri voinut ennustaa mullistavia muutoksia kuten StuxNet ja NotPetya. NotPetya itsessään näyttää noudattavan paksujen häntien jakaumaa aiheuttamissaan tuhoissa: kuusi suurimmin kärsineistä organisaatioista kärsi lähes 23 % hyökkäyksen arvioiduista kymmenen miljardin dollarin vaikutuksista, vaikka hyökkäyksestä kärsivät vähintään sadat organisaatiot. Yksi organisaatio, Merck, tuotti tästä luvusta 8,7 % (870 miljoonaa dollaria).

https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

Mikäli historiallisesta datasta laskettu jakauma ei aiemminkaan onnistuneesti ennustanut näitä riskejä, miten voimme olettaa että nykyhetkessä käytettävissä oleva data ennustaisi riskejä juurikaan sen paremmin? Tämän ongelman lisäksi todennäköisyyksiä muokkaavat jatkuvasti esimerkiksi digitalisaatio, teknologian kehitys, hyökkääjien resurssien lisääntyminen, hyökkäysten automaatio ja ammattilaistuminen.

Tässä vaiheessa alamme huomata, että häntäriskien mallintaminen alkaa mennä vaikeaksi. Miten esimerkiksi Merckin pitäisi varautua tulevaisuuden riskeihin? Nyt tiedetään, että 870 miljoonan dollarin vaikutuksen todennäköisyys on suurempi kuin nolla. Jos todennäköisyys on 0,001 vuodessa, kannattaa perinteisellä laskumallilla jopa 870 000 $ investointi odotusarvoisesti. Entäpä jos todennäköisyys on 0,003, tai 0,005? Entä 0,01? Mihin havaintoihin tai muuhun dataan perustuen nämä todennäköisyydet voidaan laskea? 

Lisäongelman tuo se, että 870 000 000 $ vahinko tuskin oli skaalan yläpää. Kukaan tuskin voi perustellusti väittää, ettei Merck olisi voinut menettää vielä enemmän rahaa hyökkäyksen johdosta. Sama pätee myös Lahteen: miljoonan euron suorat vaikutukset tuskin olivat jakauman äärimmäisessä hännässä. Lisäksi kyberhyökkäyksistä syntyy epäsuoria vahinkoja, kuten mainehaittoja joilla voi pitkässä juoksussa olla rahallisia vaikutuksia. Lahdessa onnistuttiin onnekkaasti eristämään terveydenhuollon verkot hyökkäykseltä. Eristys aiheutti jonkin verran ongelmia terveydenhuollon palveluissa, mutta hyökkäyksen leviäminen sote-verkkoon olisi todennäköisesti aiheuttanut vähintään välillisiä henkeen ja terveyteen liittyviä riskejä. Onko oletus normaalijakaumasta moraalisesti oikein, mikäli virheellinen arvio jakaumasta voi riskeerata ihmishenkiä?

Suorien kustannusten lisäksi tulee huomioida esimerkiksi vähentyvä myynti, lisääntyvät velan kustannukset ja vakuutusmaksut, asiakashankinnan vaikeutuminen, mainehaitat, mahdolliset oikeuskulut sekä esimerkiksi liikesalaisuuksien joutuminen vääriin käsiin. Nämä kaikki ovat osa riskiä.

Vahingoilla on toki aina teoreettinen yläraja, mutta se on todennäköisesti niin suuri että yritys joutuu konkurssiin. Luonnollisesti monikaan yritys ei voi kerryttää edes 1/10 tappioita Merckiin verrattuna, mutta sama pätee niihinkin: maksimiriski ja sitä pienemmätkin riskit ovat luultavasti riittävän suuria ajamaan yrityksen konkurssiin. National Cyber Security Alliance (2019) tutkimuksen luvut ovat karua luettavaa: 12 kk sisällä hyökkäyksen kohdanneista alle 500 hengen yrityksistä 25 % oli joutunut yrityssaneeraukseen ja 10 % lopullisesti konkurssiin. Kamiya et al. (2018) puolestaan huomasivat että kyberhyökkäyksen kohteeksi joutuminen nostaa konkurssiriskiä tilastollisesti merkittävästi.

Entä miten nämä tutkimukset sopivat pohjoismaiseen ympäristöön? Suoria johtopäätöksiä luvuista ei kannata vetää, mutta vaikutus vaikuttaa selvältä: konkurssiriski kohoaa kyberhyökkäyksen seurauksena. Kamiya et al. (2018) tutkimuksen mukaan erityisesti yritykset jotka ovat suuria ja joilla on paljon aineetonta omaisuutta ovat herkemmin kyberhyökkäysten kohteena. Toisaalta myös yritykset jotka toimivat vähemmän kilpailluilla sektoreilla ovat todennäköisemmin hyökkäysten kohteena. Pohjoismaat saattavat hyötyä esimerkiksi pienemmistä kielialueista ja mahdollisesti myös yleisesti paremmasta kyberturvallisuuden tasosta, mutta aihe kaipaa laajempaa tutkimusta. Joka tapauksessa sama paksuhäntäisen jakauman ja riskien logiikka koskee myös Pohjoismaita.

Puhun tässä yhteydessä yrityksistä, koska julkisella sektorilla on suurempi rahallinen riskinkantokyky. Siellä toki voi syntyä monenlaisia muita riskejä, kuten esimerkiksi yleiseen turvallisuuteen liittyviä riskit tai mainitsemani henkeen ja terveyteen liittyvät riskit, joiden kanssa riskitoleranssin pitäisi olla erittäin matalalla.

Miten suhtautua kyberriskeihin mikäli ne noudattavat paksuhäntäistä jakaumaa?

Aiemmin perusteltiin sitä, miksi kyberriskit vaikuttaisivat noudattavan paksujen häntien jakaumaa ja mitä seurauksia siitä on riskien arvioinnille. Tämä herättää perustellusti kriittisiä kysymyksiä:

  1. Eikö ole parempi olla joku arvio todennäköisyydestä, malliahan voi korjata myöhemmin?
  2. Jos häntäriskien todennäköisyydet ovat pieniä, eikö niitä ole silti rationaalista kantaa?
  3. Tarkoittaako tämä että organisaationi pitäisi käyttää tuhottoman paljon rahaa kyberturvaan?

Ensimmäisen kysymyksen ongelma on se, että normaalijakaumaan ahdetut havainnot paksuhäntäistä jakaumaa noudattavista riskeistä aliarvioivat poikkeuksetta suurien riskien vaikutukset. Lisäksi oletus (tai tieto) paksuhäntäisestä jakaumasta on itsessään eräänlainen arvio todennäköisyyksistä. Riittävällä määrällä havaintoja jakauman todennäköisyydet voidaan toki mallintaa paremmin. Tämä kuitenkin tarkoittaa sitä, että häntäpään riskejä realisoituu uusiksi havainnoiksi, ja kun ne joka tapauksessa realisoituvat jollekin, ne voivat yhtä hyvin realisoitua myös kysyjälle.

Toinen kysymys on erittäin perusteltu. Jos yritykselle eksistentiaalisen suuri kyberriski realisoituu vaikkapa kerran viidessäkymmenessä vuodessa, ja yrityksen keskimääräinen elinikä (sekä päätöksentekijän keskimääräinen aika yrityksessä) ovat tilastollisesti useimmiten reilusti tuon ajan alle, saattaa kuulostaa että sekä päätöksentekijän että yrityksen kannattaa ottaa riski. Tuo riski toteutuu kuitenkin muiden eksistentiaalisten riskien päälle: mikäli esimerkiksi kilpailu ja regulaatio aiheuttavat vastaavan riskin, niiden vaikutukset kumuloituvat! Pitää myös muistaa, että toteutuessaan eksistentiaalinen riski tuhoaa myös kaikki tulevat voitot (ja nämä pitäisi osata diskontata sisään riskilaskelmaan). Peli on pelattu kuin venäläisessä ruletissa.

Tästä päästäänkin kolmanteen kysymykseen. Elämme rajallisten resurssien maailmassa, ja kyberriskit eivät ole ainoita riskejä jotka yritykseen kohdistuvat. Kyberriskien vähentämiseen on käytössä rajallinen määrä rahaa, joka voisi tuottaa lisää rahaa tai torjua muita riskejä toisin käytettynä. Vastuullinen päättäjä ei käytä tuhottomasti rahaa kyberturvaan muiden riskien kustannuksella. Ne osat jakaumaa jotka eivät ole eksistentiaalinen uhka organisaatiolle voidaan hyväksyä tai pyrkiä arvioimaan tietyllä epävarmuudella. Nämä ovat useimmiten niitä riskejä jotka sopivat hyvin normaalijakaumaan.

Vastuullinen päättäjä kuitenkin tunnistaa kyberriskien paksuhäntäisen jakauman epävarmuuksineen, ja toimii sen mukaisesti. Mikäli tunnistettavissa on mahdollinen yrityksen olemassaoloa uhkaava riski, on eettisesti oikein viedä päätöksenteko yrityksen omistajille (hallitukselle) – tai vähintään perustella tehdyt valinnat joissa kyseistä riskiä mahdollisesti otetaan. Rationaalinen suojautuminen tuollaista uhkaa vastaan ylittää useimmiten perinteisen normaalijakaumaan perustuvan kustannus-hyötylaskelman. Julkisella puolella sama koskee esimerkiksi terveydenhuoltoa: ihmisten henki ja terveys on pakko ottaa jollain tavalla huomioon. Mikäli riskistä on pientäkään epävarmuutta, on suotavaa olla varovainen otettavan riskin suhteen.

Kuten aiemmin osoitettiin, todennäköisyyksien arviointi virheellisesti altistaa suhteettoman suurille arviointivirheille tappioiden suhteen. Todennäköisyyksien arvioinnin sijaan kannattaakin panostaa häntäpään riskeille altistumisen arviointiin, ja niiden potentiaalisten vahinkojen ehkäisyyn tai minimointiin.

Johtopäätökset

Normaalijakauman käyttäminen kyberriskien arvioinnissa tuo ongelmia häntäriskien todennäköisyyden arvioinnissa. Käytännössä lopputuloksena on suurella todennäköisyydellä riskien aiheuttamien tappioiden moninkertainen virhearvio. Virhearvio kertautuu lisää riskinkantokyvyn epälineaarisuuden takia: jotkut riskit johtavat lopulliseen tappioon, kuten konkurssiin, tai niillä riskinottoa on muuten vältettävä (esimerkiksi ihmishenget). Kyberhyökkäysten osalta löytyy näyttöä selvästi kohonneesta konkurssiriskistä.

Paksuhäntäiseen jakaumaan perustuva riskienhallinta tuo seuraavia hyötyjä:

  1. Häntäriskit tunnistetaan paremmin
  2. Tietoturvapanostukset voidaan sekä perustella että kohdistaa kriittisimpiin riskeihin
  3. Oikeasuhtaiset panostukset tuovat suojaa tappioilta
  4. Organisaation odotettavissa oleva elinikä pitenee (konkurssiriski vähenee)

Päättäjien kannattaakin siis pyrkiä tunnistamaan altistuksensa häntäriskeille myös kyberturvallisuudessa, ja alkaa muokata riskienhallintaansa sen mukaiseksi. Häntäriskien kantaminen on myös aina hyväksytettävä ylimmällä johdolla ja / tai omistajilla.

Aiheesta tulee myös laajempi tilastotieteellinen whitepaper, ja seuraavassa blogikirjoituksessa pureudutaan tarkemmin siihen, mitä toimenpiteitä tällaisen riskiajattelun pohjalta kannattaa tehdä.

Loppuun vielä pieni kevennys joka summaa argumentin varsin hyvin. Erityiskiitos Stefan Gasicille joka antoi luvan käyttää oivaltavia sarjakuviaan tässä blogissa!

Mikäli haluat kysyä tarkemmin riskienhallinnasta tai muusta kyberturvallisuuteen liittyvästä, ota yhteyttä:

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Lähteet:

https://www.nber.org/papers/w24409.pdf

Maillart, Thomas & Sornette, Didier. (2008). Heavy-Tailed Distribution of Cyber-Risks. The European Physical Journal B: Condensed Matter. 75. 10.1140/epjb/e2010-00120-8. 

The Organisation for Economic Co-operation and Development: OECD Digital Economy Outlook 2017, 262-263

https://arxiv.org/pdf/2001.10488.pdf

https://www.businessinsider.com/normal-distribution-versus-fat-tails-2016-10?r=US&IR=T

Andriani, P., McKelvey, B. Beyond Gaussian averages: redirecting international business and management research toward extreme events and power laws. J Int Bus Stud 38, 1212–1230 (2007). https://doi.org/10.1057/palgrave.jibs.8400324

Kategoria Näkökulma