Uhkamallinnus apuna kyberturvallisuuden parantamisessa

Kyberturvallisuuden parantaminen on jatkuva prosessi, jossa pyritään havaitsemaan ja torjumaan organisaatioon kohdistuvia uhkia. Organisaation henkilöillä on kuitenkin usein hiukan epäkiitollinen tehtävä edessään: toisaalta jatkuvasti viestitään erilaisista uhista ja toteutuneista kyberhyökkäyksistä, ja kyberturvallisuuteen markkinoidaan mitä erilaisimpia ratkaisuja ja tuotteita uhilta suojautumiseksi. Samaan aikaan käytössä olevat budjetit ovat rajallisia, ja ne tulisi käyttää mahdollisimman tehokkaasti.

Yksi keino vaihtoehtoisten toimintatapojen vertailuun, priorisointiin ja kohdentamiseen on uhkamallinnus. Yksinkertaisesti ilmaistuna uhkamallinnus on prosessi, jossa pyritään selvittämään organisaatioon kohdistuvia uhkia, niiden vaikutuksia ja todennäköisyyttä sekä keinoja torjua niitä. Lopputuloksena on informaatiota, jota voidaan käyttää kyberturvallisuustoimien kohdentamisessa ja priorisoinnissa juuri organisaatiolle itselleen tärkeimpiin uhkiin.

Luultavasti teet jo uhkamallinnusta

Uusien keinojen käyttöönotto on aina omanlaisensa prosessi. Toisaalta useimmat organisaatiot tekevät jo uhkamallinnusta tai sen kaltaisia toimenpiteitä, joskaan eivät välttämättä kyberturvallisuuteen liittyen. Esimerkiksi yrityksen budjettisuunnittelu yllättävien luottotappioiden varalta on eräänlaista uhkamallinnusta. Strategian tekeminen sisältää elementtejä uhkamallinnuksesta. Kyberturvallisuuteen liittyen on esimerkiksi saatettu ostaa kalliimpi antiviruslisenssi koska tapahtuneet kiristyshaittaohjelmahyökkäykset huolettavat.

Suurin työ on kuitenkin tehdä uhkamallinnuksesta systemaattinen osa kyberturvallisuuden hallintaa ja parantamista. Tämä vaatii työtä ja perehtymistä uhkamallinnuksen hyödyntämiseen, ja toki myös ymmärrystä omasta toiminnasta ja oman toimialan kohtaamista uhista. Avuksi löytyy kuitenkin esimerkiksi useita valmiita viitekehyksiä, joita on ansiokkaasti listattu esimerkiksi tässä artikkelissa. Viitekehyksien soveltamisessa on se hyöty, että ne ohjaavat prosessia ja auttavat ajatuksien jäsentämisessä. Toisaalta oikean viitekehyksen valinta, sen oikeanlainen soveltaminen (ja viitekehyksen rajoitteiden ymmärtäminen) ovat myös tärkeitä jotta uhkamallinnuksesta saadaan kaikki mahdollinen hyöty irti.

Aloita perusteista

Mistä siis lähteä liikkeelle? Aivan ensimmäiseksi organisaation kannattaa pohtia seuraavia asioita:

  1. Onko meillä riittävä ymmärrys omasta toiminnastamme?
  2. Millaisia uhkia olemme kohdanneet? Mitä niistä voi oppia?
  3. Miltä meidän kyberpuolustuksemme näyttää tällä hetkellä?
  4. Tiedämmekö millaisia uhkia toimialamme kohtaa?
  5. Tiedämmekö millaisia uhkia kaltaisemme organisaatiot kohtaavat?
  6. Osaammeko tällä hetkellä luokitella tärkeimpiä järjestelmiä, prosesseja ja dataa puolustuksen näkökulmasta?

Organisaatiolla tulee olla vähintään hyvä ymmärrys omasta toiminnastaan ja toimialastaan sekä kyky luokitella suojattavia asioita jotta uhkamallinnusta voidaan alkaa tehdä. Ilman ymmärrystä infrastruktuurista, prosesseista, suojattavasta datasta ja toimialasta on erittäin vaikeaa, pahimmillaan harhaanjohtavaa lähteä pohtimaan uhkia.

Kun perusasiat ovat selvillä, voidaan alkaa toteuttamaan uhkamallinnusta. Tähän voidaan käyttää esimerkiksi olemassaolevia viitekehyksiä, muistaen samalla niiden rajoitteet. Pidä myös realismi mukana! Vaikka esimerkiksi Yhdysvaltojen tiedustelupalvelu NSA on kenties maailman kyvykkäin hyökkääjä, datasi ei silti välttämättä kiinnosta heitä. Amerikkalaiset pilvipalvelut toki ovat Yhdysvaltain lainsäädännön piirissä, mutta se ei välttämättä ole syy jättää siirtymättä omissa nurkissa pyörivistä palvelimista pilveen. Vaakakupissa tulisi silloin painaa myös se, osataanko on-prem infrastruktuuria todella ylläpitää asiantuntevasti, päivittäen haavoittuvuudet rivakasti ja toteuttaen tehokasta tietoturvan valvontaa, ja mitä tietoturvahyötyjä pilveen siirtyminen puolestaan tuo.

Muista myös että kaikki uhat eivät liity kyberhyökkäyksiin. Esimerkiksi varmuuskopioiden puute saattaa pitkässä juoksussa aiheuttaa suuria ongelmia liiketoiminnalle, mikäli esimerkiksi kriittisiä dokumentteja tai dataa katoaa tiedostopalvelimen tai tietokantapalvelimen hajotessa.

Riippumatta käytetyistä metodeista, vähintään seuraavat asiat ovat tärkeitä uhkamallinnuksessa:

  1. Varmista että prosessiin osallistuvat oikeat henkilöt, eli mukana on riittävä ymmärrys kyberturvallisuudesta, IT-infrastruktuurista, toiminnan prosesseista sekä alasta ylipäätään
  2. Pura auki toimintasi ja infrastruktuurisi
  3. Mieti mitä uhkia ja riskejä organisaatiosi saattaa kohdata
  4. Pohdi uhkien todennäköisyyttä, vaikutuksia ja tärkeysjärjestystä
  5. Pohdi miten uhkia voidaan vähentää ja torjua

Uhkamallinnus on saatu käyntiin. Mitä seuraavaksi?

Organisaatiosi saattaa jo tehdä uhkamallinnusta kyberturvallisuuden parantamiseksi, joka on hieno asia. Tässä tapauksessa on aika miettiä voidaanko prosessia parantaa, ja saadaanko siitä täysi hyöty irti. Esimerkiksi kannattaa pohtia seuraavia asioita:

  1. Onko uhkamallinnus ohjannut kyberturvallisuustoimintaamme?
  2. Olemmeko olleet oikeassa yksittäisten uhkien kohdalla? Olemmeko yli- tai aliarvioineet joitakin uhkia?
  3. Onko joku täysin huomiotta jäänyt uhka toteutunut meillä tai jossain muussa organisaatiossa? Miksi se on jäänyt huomiotta?
  4. Seuraammeko kyberuhkien kehitystä sekä yleisesti että alallamme?
  5. Ovatko käyttämämme metodologiat, viitekehykset ja työkalut oikeita juuri meidän tarpeisiimme?

Yhteenveto

Uhkamallinnus on hyvä keino kyberturvallisuuden parantamiseen, erityisesti siinä miten se auttaa kohdentamaan puolustuksen resursseja ja toimenpiteitä sekä toimii yleisesti päätöksenteon tukena. Parhaimmillaan uhkamallinnus vähentää toteutuneita kyberuhkia ja säästää rahaa, auttaen samalla resurssien kohdentamisessa.

Uhkamallinnus toimii kuitenkin kunnolla vasta sitten, kun organisaatiolla on hyvä ymmärrys omasta infrastruktuuristaan ja toiminnastaan. Uhkamallinnuksen käyttöönotossa kannattaakin edetä askel kerrallaan, tunnistellen samalla oman organisaation maturiteettia. Pidä huoli siitä, että prosessiin osallistuvat henkilöt joilla on tarvittava ymmärrys asian eri ulottuvuuksista. Kun prosessi on käytössä, kannattaa kriittisesti tarkastella toimiiko se juuri niin kuin halutaan, tuottaako se haluttuja tuloksia ja olisiko siinä muutettavaa.

Mikäli uhkamallinnus kiinnostaa enemmän, allekirjoittanut puhuu Tivian verkkokoulutuksessa marraskuun alussa uhkamallinnuksen, riskianalyysin ja jatkuvuuden hallinnan käytöstä organisaation kyberturvallisuuden parantamisessa. Voit myös varata alta ajan keskustelulle uhkamallinnuksesta tai muista kyberturvallisuuteen liittyvistä aiheista.

Ilmoittautuminen koulutukseen

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Kategoria Blogi