Siirry sisältöön

Riskienhallinnalla tuloksia kyberturvallisuuteen ja tietosuojaan

11.09.2017 | Kunta- ja sotepäättäjät | Marko Ruotsala


Kyberturvallisuuden ja tietosuojan ytimessä syksyllä 2017 - kolmen blogin kokonaisuus alkaa riskienhallinnan merkityksestä kyberturvallisuuden ja tietosuojan johtamisessa.

Tätä blogia kirjoittaessani olen ollut rakentamassa sote- ja kuntasektorien tietoturvaa lähemmäs kaksikymmentä vuotta. Urani alkuvaiheessa oli itsestään selvää, että virustorjunta tulee olla Windows työasemissa. Ikäviä viruksia ja haittaohjelmia, jotka esimerkiksi näyttävät mainoksia tai tulostavat kiusallaan kaikkiin verkkotulostimiin satunnaista roskaa oli liikenteessä. Puhuttiinpa jopa kiristyshaittaohjelman mahdollisuudesta, niitäkin kun on ollut olemassa jo 80-luvun lopusta saakka.  Virustorjunnalla pyrittiin vähentämään jo tuolloin riskiä siitä mahdollisuudesta, että sairaalan työasemat eivät olisi toimintakuntoisia. Toki tuolloin olisi ollut käytössä vanhan ajan päätteitä esimerkiksi ajanvaraukseen ja potilaskertomukset olivat keltaisissa kansioissa arkistossa. Sinällään riskienhallintaa ei tuolloin mielletty jatkuvana prosessina, ennemminkin ”tarvitsemme virustorjunnan kun muillakin on” -periaatteella.

Internet, USB-tikut ja haittaohjelmat sähköpostin mukana pakottivat seuraavaksi pohtimaan työasemien ja palvelinten tietoturvapäivitysten jakelun ja testauksen teknologiat sekä prosessit kuntoon. Välttämätöntä jo silloin, vaikka hankalaa se todellakin oli, sen voi myöntää näin viisitoista vuotta myöhemmin. Tämäkään päätös ei sinällään perustunut määrämuotoiseen riskiarvioon tai muuhun sen syvällisempään ”kaikki aikaansa seuraavat tahot tekevät näin”.

Molemmat edellä olleet esimerkit ovat syntyneet seuraamalla toimialan kehittymistä ja pohtimalla mitä tämä esimerkiksi sairaalan toimintaympäristössä voisi tarkoittaa. Vaikka hintalappu molemmissa esimerkeissä teknisistä ratkaisuista ja varsinkin jälkimmäisessä prosessista voi olla yllättävän kova, päädyttiin nämä tekemään. Syynä oli, että koettiin riskin olevan tasolla, jota ei voi sietää niin rahallisesti, toiminnallisesti, kuin maineen kannalta.

Ilokseni olen huomannut viimeisen vuoden aikana käydessäni asiakkaillamme ja muilla sidosryhmillämme ympäri maan, että organisaatiot ovat vähän kerrassaan ottamassa käyttöön kokonaisvaltaista riskienhallintaa. Usein lähdetään liiketoiminta-, henkilöstö- ja tilariskeistä liikkeelle ja myöhemmin tullaan siihen lopputulokseen, että kaikkiin edellä mainittuihin liittyy nykyään suuria riskejä, jotka kumpuavat tietotekniikan kasvavasta hyödyntämisestä mm. kiinteistöautomaatiossa ja liiketoimintaprosessien ohjauksessa. Tässä lähestymistavassa on erittäin hyvää se, että organisaatiot alkavat nähdä, kuinka tärkeä komponentti ICMT on nykymaailman toiminnan kannalta. Tämän ymmärrettyään organisaation ylin johto alkaa pikkuhiljaa ymmärtää ettei kyseessä ole vain ”joku IT juttu, jonka tietohallinto hoitaa”. Tämän ylhäältä alaspäin lähestymisen hyötynä on myös se, että usein organisaatioon muodostetaan määrämuotoinen riskienhallinnan prosessi.  Prosessissa määritellään hyväksyttävät riskitasot, riskienarviointikriteerit, vastuut, seuranta ja käytettävät työkalut. Tietoturvariskienhallinta on yksinkertaisuudessaan riskien tunnistamista ja arvioimista toiminnalle mahdollisesti aiheutuvien vaikutusten ja niiden toteutumisen todennäköisyyden perusteella.

Yleiseen riskienhallintaan on olemassa hyviä käytäntöjä, kuten ISO 31000 standardi jonka avulla voidaan lähteä riskienhallintaa rakentamaan organisaatiolle. ISO/IEC 27005 tietoturvariskienhallinta puolestaan on ISO 31000 yhteensopiva standardi, joka tarjoaa paljon valmiita esimerkkejä haavoittuvuuksista jne.

Riskienhallinnan merkitystä ovat pitkään korostaneet tietoturvanhallinnan standardit kuten esimerkiksi ISO 27001 ja toisaalta parhaat käytännöt, sekä ohjeet kuten esimerkiksi Vahti. EU:n uuden yleisen tietosuoja-asetuksen aivan ytimessä on riskilähtöinen ajattelu. Asetuksen myötä riskienhallinta saadaan viimeinkin lainsäädännön kautta kunnolla myös ICT-alalle, tämä siis koskien vain henkilötietojen käsittelyä. Toki voidaan miettiä kuinka monessa ICT-ratkaisussa ei käsitellä tietoja, jotka voidaan linkittää yksittäiseen luonnolliseen henkilöön. Näitä kun voivat olla mm. IP-osoitteet, valokuvat, videot, auton rekisterinumerot.

"Tietosuoja-asetuksen noudattamisesta osoittamiseen (”Compliance to accountability”) -periaate velvoittaa rekisterinpitäjät sekä käsittelijät dokumentoimaan ja tarvittaessa esittämään kuinka riskejä on hallittu ja mihin toimiin riskien pienentämiseksi on ryhdytty."

Tietosuoja-asetuksen noudattamisesta osoittamiseen (”Compliance to accountability”) -periaate velvoittaa rekisterinpitäjät sekä käsittelijät dokumentoimaan ja tarvittaessa esittämään kuinka riskejä on hallittu ja mihin toimiin riskien pienentämiseksi on ryhdytty. Ennen henkilötietojen käsittelyn aloittamista tulee tehdä tietosuojaa koskeva vaikutustenarviointi ja se tulee toistaa määräajoin sekä muutostilanteissa.

Mutta miksi organisaation tulisi muodostaa omaan organisaatioon toimiva riskienhallintaprosessi? Onko motivaationa EU tietosuoja-asetus, parhaat käytännöt, standardit? Toivottavasti pääasiallinen motivaatio ei ole mikään edellä mainituista. Riskienhallinnan ydin on liiketoiminnan jatkuvuudessa ja kustannustehokkuudessa. Haluaako organisaatio varmistaa liiketoiminnan jatkuvuuden poikkeustilanteissa tai vähentää poikkeustilanteen riskiä? Vakavaksi poikkeustilanteeksi voi muodostua esim. kiristyshaittaohjelma. Keväällä luettiin mediasta, kuinka Ison-Britannian kansallisen terveydenhuollon NHS:n sairaalat olivat suurissa ongelmissa kiristyshaittaohjelman vuoksi.

Järjestelmällisellä riskienhallinnalla ylhäältä alaspäin ja alhaalta ylöspäin tyyppisellä lähestymisellä myös tämän tyyppisiä riskejä kyetään hallitsemaan. Tarkoitan tällä riskianalyysiä organisaation arkkitehtuurin kaikilla tasoilla, kuten toiminta, prosessit, tietojärjestelmät, tieto ja teknologia. Kun hankimme vaikka uuden verkkoteknologian pohdimme sen liiketoimintavaikutuksia esimerkiksi kiristyshaittaohjelmariskin realisoituessa. Kykeneekö tämä teknologia suojaamaan meitä, asettaako tämä meidät erityiseen riskiin ja mitkä ovat vaikutukset liiketoiminnalle jos tämä ratkaisu ei ole käytettävissä vaikkapa kolmeen päivään?

Riskien mallinnukseen ja hallintaan on olemassa hyviä työkaluja jolla riskejä voidaan kuvata, seurata, määrittää niille omistajuus jne. Työkalujen avulla saadaan nopeasti kuva organisaation riskeistä ja vastuista. Riskit on syytä kuvata tietojärjestelmittäin, mutta myös ylätasolla. Näin päästään kokonaisvaltaiseen lopputulokseen. Riskienhallinta on jatkuva prosessi, joten lopputulos on tässä kuitenkin hieman väärä sana. Parempi ilmaisu olisi esimerkiksi ”riskitilanne syksyllä 2017”. Riskitilannetta tulee tämän jälkeen arvioida kokonaisuutena organisaation tavoitetilaan verraten. Missä ovat pahimmat puutteemme kyberturvallisuudessa, jatkuvuudessa, tietosuojassa jne.? Tämän perusteella sitten voidaan lähteä suunnitelmallisesti valitsemaan kehityskohteita tuleville vuosille. Enää peruste ei ole ”muutkin tekevät näin”.

Eräs erittäin merkittävä etu järjestelmällisessä riskienhallinnassa on myös tietoturvakontrollien mitoittaminen oikein. Miksi 1000€ omaisuutta suojataan 10000€ hintaisella ratkaisulla? Teemmekö ratkaisuista liian monimutkaisia suojaamalla samankaltaisilla kontrolleilla moneen kertaan? Tietotuvankontrollien vaikuttavuus on avainasemassa, kun valitaan tilanteeseen sopivia kontrolleja. Voisikin sanoa moninkertaiset kontrollit, moninkertaiset kustannukset, moninkertaiset hankaluudet!
 

"Me Istekin turvallisuus- ja riskienhallintapalveluissa olemme asiakkaidemme luotettuja neuvonantajia. Suosittelemme ratkaisuja asiakkaillemme riskilähtöisesti ja kerromme ratkaisujen todellisista hyödyistä."

Kuluneen vuoden aikana minulle on koetettu myydä hyvin monenlaisia ratkaisuja niin tietosuoja-asetuksen, kuin kiristyshaittaohjelmien vuoksi. Hyvin moni näistä ratkaisuista on vaikuttavuudeltaan hyvin kyseenalainen ja hintalappu on tähtitieteellinen. Tietosuoja-asetus tai kyberturva pelottelun sijaan pyrimme Istekissä aina etsimään asiakkaillemme sopivat oikein mitoitetut tietoturvaratkaisut. Kyse on kokonaisvaltaisesta riskienhallinnasta, jonka avulla saavutetaan kustannustehokkuutta ja toimivia ratkaisuja.  Me Istekin turvallisuus- ja riskienhallintapalveluissa olemme asiakkaidemme luotettuja neuvonantajia. Suosittelemme ratkaisuja asiakkaillemme riskilähtöisesti ja kerromme ratkaisujen todellisista hyödyistä. Suosittelemme vain ratkaisuja jossa ROI/ROSI on järkevällä tasolla.

Tietoturvakontrollien suunnitelmallinen monikerroksellisuus, kyberturvallisuuden tilannekuva, heuristiikka, tekoäly, tietoturvapoikkeamienhallintaprosessit ja erityisesti vahva kyberturvallisuuden ja tietosuojan asiantuntemuksemme asiakkaidemme toimialoilla yhdistettynä asianmukaiseen riskienhallintaan ovat vahvuuksiamme. Ota yhteyttä, niin tehdään yhdessä riskienhallinnan avulla tuloksia kyberturvallisuuteen ja tietosuojaan!

Seuraavaksi Kyberturvallisuuden ja tietosuojan ytimessä syksyllä 2017 blogisarjassa tulemme julkaisemaan:
”EU tietosuoja-asetuksen soveltamiseen valmistautuminen. Myyttejä ja väärinymmärryksiä asetukseen liittyen”
”Kyberturvallisuuden tilannekuva ja toimintakyky 24/7 toiminnan jatkuvuuden varmistajana"

 


11.09.2017

|

Kategoriat: Kunta- ja sotepäättäjät

Marko Ruotsala

Marko Ruotsala

liiketoimintapäällikkö, turvallisuus- ja riskienhallintapalvelut

Kirjoittaja on Istekki Oy:n turvallisuus- ja riskienhallintapalvelut liiketoimintapäällikkö. Erityisesti sote-, maakunta- ja kuntasektoreiden riskilähtöinen kyberturvallisuuden kehittäminen, tietoturvanhallintajärjestelmät ja tietosuoja ovat hänen intohimon kohteina.



Jaa sivu somessa:

 

Tietoa blogista

Blogissamme Istekin asiantuntijat valottavat digitalisaation tulevaisuuden näkymiä ja nykytilannetta julkisyhteisöjen ja terveydenhuollon ammattilaisten, päättäjien sekä tietohallinnon näkökulmasta.

 

TUTUSTU KIRJOITTAJIIN