Kyberturvallisuus ja paksut hännät: jatkoa

Taustaa

Kirjoitin hiljattain siitä, miten kyberriskit noudattavat paksuhäntäistä jakaumaa, ja mitä käytännön merkitystä asialla on. Kirjoituksen voi lukea täältä, mutta kertaan asiaa vielä hieman. Paksuhäntäinen jakauma kyberriskeissä tarkoittaa sitä, että osa riskeistä on muihin kyberriskeihin verrattuina erittäin merkittäviä, ja ne esiintyvät verrattain harvoin. Tämä vaikeuttaa riskien ennustamista ja perinteisten tilastollisten menetelmien käyttöä riskienhallinnassa. Pahimmillaan normaalijakaumaan perustuva oletus voi johtaa rajusti harhaan. Perusongelma näyttää siis olevan, että riskienhallinnan analyysi vaikeutuu merkittävästi.

Mitä tällaiset häntäriskit voivat olla? Kiristyshaittaohjelmahyökkäys voi keskeyttää yrityksen toiminnan ja samalla varastaa yrityksen luottamukselliset tiedot. Hyökkääjät voivat myydä tiedot parhaiten tarjoavalle, käyttää niitä itse tai vaatia lunnaita jotta tietoja ei julkaista.

Tietomurto muun teollisuusvakoilun osana voi viedä esimerkiksi yrityksen kilpailuedun, ja samalla kokonaisen maan kilpailuedun jollain alalla.

https://www.bloomberg.com/news/features/2020-07-01/did-china-steal-canada-s-edge-in-5g-from-nortel

Toisaalta riittävän raju kyberriski voi johtaa yrityksen konkurssiin, tai esimerkiksi terveydenhuollossa ihmishenkien menetyksiin. Esimerkkejä on myös siitä, miten yritykset ovat menettäneet satoja miljoonia yhdessä hyökkäyksessä. Nämä ovat äärimmäisiä riskejä, ja niistä varoittaminen nähdään herkästi alarmismina. On toki aivan totta, että suurin osa kyberriskeistä toteutuu paljon lievempinä (ja ne ovat yleisyytensä puolesta myös helpommin ennustettavissa).

Miten riskejä sitten pitäisi arvioida?

Seuraava kysymys on luonnollisesti, että miten tällaisiin riskeihin tulisi reagoida. Suljetaan ensimmäisenä pois ylenpalttinen panikointi. Riskit ovat olemassa, ja niitä voi harvoin täysin torjua. On myös käytettävä rajallista tietoturvabudjettia järkevästi niin, että se tuottaa kokonaisuutena lisäarvoa, huomoiden myös usein toteutuvat lievemmät riskit.

Aivan ensimmäinen asia on tehdä riskikartoitus ja uhkamallinnus siltä pohjalta, että organisaatioon kohdistuvia häntäriskejä on olemassa vaikka niiden toteutumisesta ei olisi vielä näyttöä. Tehtiin analyysi sitten organisaation kesken tai kolmannen osapuolen avustuksella, tärkeää on hyvä ymmärrys omasta toiminnasta, toimintaympäristöstä, mahdollisista hyökkääjien motiiveista. Kaikkein tärkeintä on kuitenkin avoin mieli ja uteliaisuus riskien suhteen: riskien sivuuttamiseen tai mahdottomiksi toteamiseen pitää olla erittäin korkea kynnys. Tämän työvaiheen tarkoitus on luoda realistinen kuva siitä, millaiset uhat koskevat organisaatiotasi.

Työhön kuuluu toki oleellisesti myös riskien vaikutusten arviointi. Häntäpään harvinaisissa, merkittävissä riskeissä vaikutuksia ei tule aliarvioida sillä perusteella että merkittävä tapahtuma kuulostaa epätodennäköiseltä. Mikäli riskin toteutumisen todennäköisyys on suurempi kuin nolla, sen pitäisi useimmiten olla mukana arviossa. Jotta riskiä ei oteta huomioon, tulisi toisin sanoen todistaa että riskiä ei ole. Ja painotettakoon vielä kerran: se, että riski ei ole vielä kertaakaan toteutunut, ei ole todiste siitä ettei riski ole olemassa.

Mitä vaikutuksia riskeillä sitten voi olla? Arvioinnissa tulisi ottaa huomioon välittömät vaikutukset (esimerkiksi liiketoiminnan keskeytymisen suorat kustannukset, hyökkäyksen torjumisen ja jälkien korjaamisen kustannukset), mutta myös epäsuorat kustannukset ja muut vaikutukset. Mitä epäsuorat kustannukset sitten ovat? Esimerkiksi kohonneita lainakustannuksia, vakuutusmaksuja, asiakashankinnan vaikeutumista ja niin edelleen. Konkurssiriski on erityisen tärkeä huomioida: konkurssi tuhoaa käytännössä kaikki tulevaisuuden potentiaaliset voitot sekä nykyisen olemassaolevan arvon. Muita vaikutuksia voivat olla esimerkiksi ihmishenget ja mainehaitta, jotka voivat osaltaan heijastua organisaatiosta riippuen myös talouteen. Myöskään näitä ei tule jättää huomiotta. Listaa siis kaikki potentiaaliset vaikutukset ja niiden ylärajat.

Seuraavassa vaiheessa on mietittävä riskitoleranssia. Mitkä vaikutuksista ovat niin äärimmäisiä, että organisaatiolla ei ole varaa ottaa riskiä? Huomaa, että tässä pohdinnassa riittää tieto siitä, että todennäköisyys riskin toteutumiselle ei ole nolla. Listaa nämä riskit häntäpään riskeiksi joihin tulee kiinnittää erityistä huomiota. Listaa myös riskit joiden vaikutukset voidaan kantaa. Apuna voit käyttää myös olemassaolevia tapauksia, kuten esimerkiksi samankokoisten organisaatioiden ja saman alan toimijoiden kohtaamia tapauksia, tai esimerkiksi toteutuneita GDPR-sakkoja. Tärkeintä on kuitenkin ymmärtää oman organisaation toimintaan kohdistuvat riskit, ulkoa saatava data kun ei kerro juuri organisaation omista riskeistä.

Pohdi mistä erityisesti häntäpään riskit kumpuavat, ja mitä niiden vaikutukset ovat. Ovatko esimerkiksi tehdastuotannon pidempi seisahtuminen, asiakastietojen laaja vuotaminen tai omien liikesalaisuuksien vuotaminen kilpailijoille häntäpään riskejä? Kuinka kauan tehtaan on varaa olla kiinni? Kuinka isot sakot asiakastietojen vuotamisesta voi tulla, ja murentaako se asiakasluottamusta? Onko kilpailuasema hyvissä kantimissa sen jälkeen kun kriittiset tuotekehitystiedot ovat ulkomaalaisen kilpailijan käsissä? Kaikkine vaikutuksineen tällaisten riskien toteutuminen voi olla erittäin organisaatiolle.

Todennäköisyyksien arviointi on, kuten todettua, äärimmäisen vaikeaa. Tässä vaiheessa riittää tieto tai perusteltu arvio siitä, onko edes jokin nollaa suurempi todennäköisyys olemassa.

Mieti myös ovatko keinot näiden torjuntaan samoja kuin lievempien riskien torjunnassa? Mitä keinoja voidaan ottaa helposti käyttöön? Entä miten toimintaa kannattaisi muuttaa? Osa keinoista auttaa suoraan myös vakavampiin uhkiin. Osa vakavammista riskeistä puolestaan voi vaatia aivan erillisiä toimenpiteitä.

Miten tämä muutetaan dataksi jonka perusteella voi tehdä päätöksiä?

Kuten aiemmassa kirjoituksessa todettiin, paksuhäntäistä jakaumaa noudattavissa riskeissä perinteiset tilastotieteelliset menetelmät eivät toimi. Avuksi voidaan ottaa esimerkiksi Monte Carlo-simulaatio. Monte Carlo-menetelmällä simuloidaan käytännössä suuri määrä erilaisia vaihtoehtoisia skenaarioita, ja saatavista vaihtoehtoisista skenaarioista voidaan muodostaa jakauma. Monte Carlo perustuu satunnaisuuteen, joten se karsii jo itsessään sisäänrakennettuja oletuksiamme, jotka usein vähättelevät riskejä. Monte Carlo ei myöskään itsessään ole sidottu mihinkään tiettyyn jakaumaan, vaan sillä voidaan mallintaa myös paksuhäntäisiä riskejä.

Tässä päästäänkin mielenkiintoiseen dilemmaan:  miten valita oikeat parametrit simulaatiolle? Tässä vaiheessa on hyvä kerrata riskin määritelmä: kustannus kertaa todennäköisyys. Tavallisimmille riskeille nämä ovat monesti tiedossa, ja ne on varsin helppo syöttää suoraan simulaatioon. Monimutkaisemmissa, paksuhäntäisissä riskeissä kustannus voi olla esimerkiksi satunnainen luku nollan ja maksimikustannuksen välillä. Todennäköisyyksiä voi estimoida parhaan kykynsä mukaan, ja simulaatiota kannattaa kokeilla eri todennäköisyyksillä. Näin eri simulaatiot tuottavat erilaisia tuloksia, mutta suuri määrä simulaatioita alkaa antaa kuvaa siitä, millaisen riskijakauman kanssa organisaatio on mahdollisesti tekemisissä.

Tuloksia katsoessa on hyvä myös miettiä omaa riskitoleranssia. Ovatko esimerkiksi miljoonan euron menetykset aina riski jota ei voida hyväksyä? Simulaatio saattaa nostaa tällaisia esiin yllättävissäkin paikoissa. Silloin on aika harkita onko kenties syytä vähentää riskin todennäköisyyttä tai kustannuksia (ja toki sitäkin, ovatko parametrit varmasti oikean suuntaiset). Näin voidaan tehdä panostuksia sinne missä niillä on suurin merkitys, ja kehittää analyysiä eteenpäin.

Yhteenveto

Oletukset kyberriskien normaalijakaumasta ohjaavat riskianalyysiä usein väärään suuntaan, sillä kyberriskit vaikuttavat kuuluvan paksuhäntäisten riskien maailmaan. Oletus paksuhäntäisyydestä puolestaan vaatii metodiikan muutosta riskienhallinnassa, sillä perinteiset tilastomenetelmät lakkaavat toimimasta paksuhäntäisellä jakaumalla.

Monte Carlo on työkalu jolla voidaan arvioida vaihtoehtoisia tulevaisuuksia epävarmuuden vallitessa, ja sen tulosten perusteella voidaan kohdistaa kyberturvallisuuspanostuksia myös paksuhäntäisiin riskeihin. Absoluuttista totuutta sieltäkään ei saa, mutta nöyryys ja älyllinen rehellisyys riskien edessä yhdistettynä simulaatioon joka ei oleta liikoja todennäköisyysjakaumasta on yhdistelmä jonka kokeilua voi lämpimästi suositella kyberturvallisuuden riskienhallinnassa.

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Kategoria Blogi, Näkökulma