You are here: TUTWiki>Tietoturva>Sisällysluettelo?>Riskianalyysi

Riskianalyysi

Riskillä tarkoitetaan toisiinsa yhdistettynä mahdollisen vahingon vakavuutta ja todennäköisyyttä. Usein mallina käytetään näiden kahden tuloa ja vakavuus arvioidaan rahassa. Todennäköisyyden mukanaolo riskin käsitteessä tarkoittaa mm. sitä, että tiedossa olevat vakavatkaan uhat, eli suuret mahdolliset menetykset, eivät aiheuta merkittävää riskiä, jos niiden todennäköisyys on erittäin pieni. Tällaista tilannetta voidaan siis pitää myös riittävän turvallisena, niin ettei erityisiin (tai lisä-) turvatoimiin tarvitse ryhtyä. Näinhän on laita esim. lentomatkustamisen suhteen.

Riskianalyysissa selvitetään uhkat, niiden toteutumisen todennäköisyydet ja niiden aiheuttamien vahinkojen suuruus. Riskinanalyysin synonyymina on toisinaan uhka-analyysi ja haavoittuvuustutkimus, vaikka riskin käsite onkin laajempi kuin uhkan tai haavoittuvuuden. Kun riskianalyysiin otetaan mukaan vahinkojen aiheuttamien kustannusten minimointi (suojautumisen hintaa unohtamatta), puhutaan riskien hallinnasta ('risk management'). Tosiasiahan on, että riskien välttäminen tai poistaminen ei yleensä ole mahdollista (vaikka nekin toki kuuluvat riskien hallinnan käsitteeseen).

Riskianalyysi suoritetaan, jotta saataisiin jokin pohja päätöksille siitä, mitkä suojautumismenettelyt ovat taloudellisesti järkeviä. Nykyiset riskianalyysin menetelmät ovat karkeita, mutta parempia kuin ei mitään. Epätarkkuudesta ja epätieteellisyydestä huolimatta riskianalyysia ei kannata jättää käyttämättä hyväksi (siis varsinkaan hyllyttämällä jo tehty analyysi), jos kohta pitää myös varoa väärää täsmällisyyden tunnetta.

Riskianalyysi etenee kutakuinkin seuraavasti:

  • kartoitetaan, mikä on arvokasta ('assets').
  • kartoitetaan uhkat näitä arvoja kohtaan, esimerkiksi skenaarioittain, "mitä voisi tapahtua", ja laatimalla hierarkkinen jaottelu esimerkiksi rakentamalla vaiheittain "uhkapuu", jossa kunkin solmun edustama yleisempi uhka jakautuu yksityiskohtaisemmin määriteltyihin uhkiin (myös AND-tyyppistä jakautumista voi esiintyä). Oleellista on saada kaikki mahdollisuudet katetuiksi.
  • kutakin uhkaa kohti -- esim. tietyn (lajin) luottamuksellisen tiedon paljastuminen - arvioidaan, minkä suuruinen menetys siitä koituisi. Kustannukset arvioidaan kuten yleensä vahingoissa: jälleenhankinta, työ, hukattu aika, kulut, muut arvot (esim. maineen heikkenemisen vaikutus liiketoiminnalle).
  • arvioidaan todennäköisyys, jolla kukin tapaus voisi sattua; tuloksena esimerkiksi odotusarvo, montako kertaa vuodessa.
  • arvioidaan suojautumismenetelmien hinta sekä tehokkuus, jolla ne torjuvat uhan. Tässä vaiheessa pitää siis viimeistään myös tuntea menetelmät eikä vain kohdejärjestelmää, jota puolestaan eivät turva-asiantuntijat yleensä hallitse ilman käyttäjien mukanaoloa.
  • tehdään laskelmat ja vertailu; vuotuinen tappio uhkien vuoksi, suojautumisen aiheuttamat kustannukset ja sen tuottama säästö (odotusarvot).

Arvoasioiden tunnistaminen on näistä helpointa eikä sekään ole aina helppoa. Laskentaa voidaan toki automatisoida ja jonkin verran aiempiakin vaiheita, ainakin siltä osin kuin niihin muodostuu rakenteisuutta (esim. juuri uhkapuun muodossa).

Sen lisäksi, että saadaan perustelu kustannuksille, saavutetaan parempi tietoisuus tarkastelun kohteena olleista aiheista. Tällä on yleensä myönteistä vaikutusta (myös) turvallisuuteen. Kun riskianalyysin tuloksena määritellään, mitkä uhkat torjutaan, muodostuu uhkamalli. Kaikkia riskejähän ei yritetä torjua, vaan riittävän pienet voidaan hyväksyä.

Harjoitus: (1) Ajattele, millaista omaisuutta, aineellista tai aineetonta, yrityksellä voi olla. Keksi jotakin, joka on arvokasta (ei kannata luovuttaa pois) mutta ei ole sitä tietoturvan kannalta. (2) Mikä taas tuntuu vähäarvoiselta, mutta tietoturvan kannalta onkin otettava huomioon? (3) Mitä muuta tietojärjestelmä tarvitsee kuin laitteet, ohjelmat ja käsiteltävän/talletettavan/siirrettävän tiedon?

Vastausta. (1) Esim. toimitilojen sijainti, LVI-laitteet, hyvä siivoushenkilöstö, ..., tyypillisesti infrastruktuuri ja sellaiset asiat, joita ei voi helposti edes menettää tai joista jo perinteisesti pitää huolta jokin muu taho kuin tietoturva-ammattilainen. (2) käytöstä poistetut tietokoneet, vanhat sisäiset puhelinluettelot, roskiksen sisältö, ... (3) ihmiset, dokumentaatio, materiaalit, tarvikkeet, ...

Riskianalyysista edetään yleensä turvasuunnitelmaan, jota myöhemmät riskianalyysit päivittävät ja laajentavat. Turvasuunnitelman ensimmäinen osa muodostuu turvapolitiikasta ja muut osat siitä, miten politiikka toteutetaan.

Lisätietoja riskienhallinnasta saa saman nimiseltä TTY:n kurssilta tai PK-RH Foorumin laajasta sivustosta . Artikkeli J.W. Meritt: Risk Management käsittelee hieman myös riskin numeerista arviointia. Analysointiin keskittyvä kirja (myös on-line) on [ Pelt05 ]. Konkreettisen esimerkin numeroiden pyörittelystä (vuoden 2002 $:issa) tarjoaa K. Timm: Justifying the Expense of IDS (selityksiä artikkelin osassa I ).

Amoroson kirja [ Amor94 ] käsittelee uhkapuita pitkälti, mutta menetelmä ei ole yleinen; vrt. A.J.Korhosen tiivis esitys aiheesta (seminaarityö 1997). Uhkapuista turvauhkien mallinnuksessa on myös noin nelisivuinen Bruce Schneierin artikkeli (1999), ja hän käsittelee aihetta myös kirjassaan [ Schn00 ]. Ilman puitakin pärjätään: näin tekee [[NIST:n IT-riskien hallinnan opas (2002).

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 14 Mar 2010 - 18:47:39 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback