Esimerkki riskienhallintaprosessin menetelmien käytöstä

Transkriptio

1 1/8 Esimerkki riskienhallintaprosessin menetelmien käytöstä Näiden esimerkkien tavoitteena on havainnollistaa riskienhallinnan menetelmien käyttöä. Esimerkin tavoitteena ei ole toimia riskienhallintaprosessin tai sen tulosten raportointimallina. Riskienhallintaprosessi on suositeltavaa toteuttaa vaiheittain etenevänä projektina, jonka jokaiselle vaiheelle on määritelty tavoitteet, aikataulu ja resurssit. Myös suojausratkaisujen suunnittelu ja toteutus sekä riskien seuranta kannattaa toteuttaa projektina. Projektinhallintamenetelmien hallinta on siis onnistuneen riskienhallinnan perusedellytys. Uhkakartoitukselle on ominaista löytyvien uhkien valtava määrä. Yleensä vain murto-osa tunnistetuista uhista edellyttää toimenpiteitä, joten on erityisen tärkeää priorisoida huolellisesti jokaisen vaiheen tuloksena löydetyt uhat. Kaikki uhat kannattaa kirjata nopeasti ylös, jotta vältytään samojen uhkien toistuvalta tunnistamiselta ja jotta tulevaisuudessa voidaan nopeasti arvioida uhkien todennäköisyyksissä tai toteutumisen seurausvaikutuksissa mahdollisesti tapahtuneet muutokset. Esimerkin uhkakartoituksen kohde Esimerkissä uhkakartoituksen menetelmiä havainnollistetaan kartoittamalla uhkia, joihin runoilijan tulisi varautua kirjoittaessaan runoja tietoturvatasoltaan erilaisten työasemien kautta omassa kotiverkossaan olevalle www-palvelimelle. Uhkakartoituksen kohde on osa laajempaa tietojärjestelmää. Runoilijan tavoitteena on tehdä uhkakartoitus koko järjestelmälle. Karkean tason haavoittuvuusanalyysissä on todettu, että runoilijan kotiverkon tietoturvatasossa ei ole merkittäviä ongelmia. Runoilijalla on käytössä mm. palomuuri ja ajantasainen virustorjunta. Hän päivittää käyttöjärjestelmiä ja sovelluksia säännöllisesti sekä ottaa tarpeelliset varmuuskopiot. Haavoittuvuusanalyysin aikana runoilija tuo esille yhden vähältä piti -tilanteen, jossa tuttavan koneelle sähköpostin välityksellä tullut haittaohjelma lähetti hänen keskeneräisen runonsa muutamalle tuntemattomalle vastaanottajalle ja tästä syystä alustavan haavoittuvuusanalyysin perusteella päädyttiin aloittamaan tarkempi uhkakartoitus runojen tallennusprosessista. 1. Toiminnallinen yleiskuvaus Runoilija on aloittamassa uuden runokokoelman työstämistä. Runoilijan mieleen tulee uusia värssyjä mitä kummallisimmissa tilanteissa ja jotta värssyt eivät unohdu ennen kotiin pääsyä, runoilijalla tulee olla mahdollisuus kirjoittaa ne talteen mahdollisimman nopeasti. Runoilijaa ei koe mielekkääksi kantaa mukanaan kannettavaa tietokonetta, joten hän on kehittelemässä ystävänsä avustuksella omalle kotikoneelleen www-palvelua, jonne hän voi kirjoittaa mielessään pyörivät värssyt miltä tahansa Internetyhteydellä varustetulta koneelta. Värssyjen kirjaamiseen on suunnitteilla palvelimella oleva salasanasuojattua www-lomake. 2. Nykytilan kuvaus Tämän esimerkin tilanteessa vasta kehitetään järjestelmää, joten nykytila on edellä kuvatun toiminnallisen kuvauksen mukainen. Kun järjestelmä on jo käytössä, nykytilan kuvaus sisältää soveltuvin osin samoja asioita tavoitetilan kuvauksen kanssa. Nykytilasta on hyvä tunnistaa ainakin tiedon elinkaari, erilaiset käsittelyprosessit ja käsittelijät. Myös käytössä olevat turvaratkaisut tulee selvittää.

2 2/8 3. Tavoitetilan kuvaus 3.1. Suojattavat kohteet Suojattavana kohteena on puolivalmis runokokoelma, jonka turvatavoitteet ovat: a) luottamuksellisuus ideat eivät saisi joutua vääriin käsiin ennen kokoelman julkaisemista. Puolivalmiin runokokoelman luottamuksellisuuden aste on siten luottamuksellinen. b) eheys hyvät värssyt eivät saisi muuttaa muotoaan runoilijan tietämättä. c) käytettävyys runokirjaa tulisi voida täydentää aina kun uusi värssy pyörii mielessä Suojaustaso Järjestelmän suojaustaso on normaali yksityishenkilön suojaustaso. Runoilija ei ole vielä erityisen kuuluisa, joten hänen runoilijankykynsä eivät ole kovin tunnettuja, eikä uuden runokirjan kaupallisista markkinoista ole siten täyttä varmuutta. Suojaratkaisujen toteuttamiseen ei ole varattu raharesurssia Käyttäjäryhmät ja käyttöoikeudet Tietojenkäsittelyjärjestelmässä on vain yksi käyttäjä eli runoilija itse, joka toimii seuraavissa rooleissa a) Tuottajan rooli. Tässä roolissa runoilija lähettää www-lomakkeen kautta uusia runoja runotietokantaan. Tässä roolissa runoilija voi vain lisätä uusia tiedostoja runokirjaan. Runoilijalle on tärkeää uusien runojen eheyden ja luottamuksellisuuden turvaamisesta. Käytettävyyteen runoilija voi tässä roolissa vaikuttaa vain vähän niin kauan kuin runoilija on riippuvainen muiden tarjoamista päätelaitteista ja nettiyhteyksistä. b) Toimittajan rooli. Tässä roolissa runoilijalla työskentelee vain paikallisverkon työasemalta ja hänellä on täydet oikeudet runokirjan sisältöön ja hän on vastuussa runokirjan eheyden ja luottamuksellisuuden turvaamisesta. Tässä roolissa runoilija myös tulostaa välitulosteita kirjoittimelle ja hän on vastuussa tulosteiden luottamuksellisesta hävittämisestä. Tämä runokirjan toimittajan rooli ei ole uhkakartoituksen kohteena. c) Ylläpitäjän rooli. Tässä roolissa runoilija on vastuussa siitä, että tietojenkäsittelyjärjestelmä ei vaaranna runotietokannan eheyttä eikä luottamuksellisuutta ja että www-palvelu on runojen tuottajan käytettävissä. Tässä roolissa runoilija huolehtii tietojenkäsittelyjärjestelmän ajantasaisuudesta (käyttöjärjestelmä, www-palvelinohjelmisto, muut sovellusohjelmistot, virustorjunta, palomuuri) ja tietokannan säännöllisestä varmuuskopioinnista. Tämä rooli ei suoraan ole uhkakartoituksen kohteena, vaikka uhkakartoitus saattaa nostaa tämän roolin vastuulle kuuluvia uhkia esille Runokirjan käsittelyprosessit ja elinkaari Riskikartoituksen kohde Runon lisäys Ulkopuolinen päätelaite Internet Runokirja Varmuuskopiot Väliversiot, Runokirja Runokirjan muokkaus

3 3/8 4. Uhkien tunnistaminen 4.1. Haavoittuvuusanalyysi: nykytila v.s. tavoitetila Haavoittuvuusanalyysi toteutetaan esimerkiksi vertaamalla nykytilan tiedonkäsittelyprosesseja tavoitetilaan keskustellen. Keskusteluissa nojaudutaan osallistujien tietämykseen sovellusalueesta, sovellusalueen tyypillisistä uhista, toteutuneista uhista tai havaituista vähältä piti -tilanteista. Tässä esimerkissä uhkakartoituksen kohde on hyvin rajattu, mutta käytännön tilanteissa rajaus on usein epätarkempi, jolloin työryhmän tietämyksen tukena voidaan käyttää myös sopivia tarkistuslistoja. Haavoittuvuusanalyysin tavoitteena on toisaalta tunnistaa uhat, jotka on tarkoituksenmukaista korjata ennen uhkien systemaattista tunnistamista ja toisaalta löytää kohdat, joihin systemaattisessa kartoituksessa kannattaa ensimmäiseksi keskittyä. Esimerkiksi pk-yrityksen kohdalla voidaan hyvinkin alkuvaiheessa havaita merkittäviä puutteita vaikkapa palomuurin, virustorjunnan tai varmuuskopioinnin kohdalla. Haavoittuvuusanalyysin avulla on myös mahdollista löytää nykytilan ja tavoitetilan kuvausten puutteet tai epätäsmällisyydet. Siten haavoittuvuusanalyysista usein palataan tarkentamaan nyky- tai tavoitetilan kuvauksia, mikä kannattaa huomioida uhkakartoitusprojektin suunnittelussa. Esimerkin haavoittuvuusanalyysi toteutettiin runoilijan ja kartoittajan yhteisenä keskusteluna ja runon lisäysprosessissa havaittiin seuraavat ongelmat: 1) Runoilija ei ole kiinnittänyt riittävästi huomiota www-lomaketta suojaavan salasanan turvallisuuteen. Uhkana on, että ulkopuolinen arvaa runoilijan salasanan. Uhan seurauksena ulkopuolinen voi naamioitua runoilijaksi ja syöttää ylimääräisiä runoja tietokantaan eli vaarantaa runotietokannan eheyden. Tällaiset ylimääräiset runot vaarantavat runokirjan eheyden, mutta runoilija tunnistaa ne helposti runokirjaa työstäessään. Uhasta siis lähinnä aiheutuu ylimääräistä työtä. 2) Runo lisätään käyttäen suojaamatonta selainyhteyttä, mikä voi vaarantaa runojen luottamuksellisuuden ja eheyden. Eheyden vaarantaminen edellyttää välimieshyökkäystä, minkä toteutuminen on hyvin epätodennäköistä. Eheysongelman runoilija huomaisi aika helposti työstäessään runokirjaa, mutta pilatun runon palauttaminen alkuperäiseen asuun onnistuminen riippuu runoilijan muistista. Aloittelevan runojen tahallinen salakuuntelukaan ei ole kovin todennäköistä, mutta ne voivat vahingossa joutua vääriin käsiin esimerkiksi työasemassa olevan haittaohjelman tai erilaisten lokitietojen välityksellä. Jos runot ovat hyviä, joku ulkopuolinen voi varastaa 'vahingossa' runot ja julkaista ne omissa nimissään. Tästä syystä julkaisemattomien runojen luottamuksellisuuden turvaamiseen kannattaa kiinnittää huomiota mahdollisuuksien mukaan. 3) Käytettävyyteen runoilija voi vaikuttaa vain ylläpitäjän roolinsa kautta niin kauan kuin runoilija on riippuvainen muiden tarjoamista päätelaitteista ja nettiyhteyksistä. Haavoittuvuusanalyysin aikana tunnistettiin myös monia muita uhkia, jotka tässä vaiheessa luokiteltiin niin vähämerkityksellisiksi, etteivät ne vaadi toimenpiteitä. Nämäkin uhat kirjattiin ylös tulevia uhkakartoituksia varten.

4 4/8 4.2 Tarkistuslistat Jos uhkakartoituksessa käytetään tarkistuslistoja, ensimmäinen tehtävä on valita käyttökelpoiset listat. Esimerkiksi pk-yrityksen riskienhallinta -verkkomateriaalin tarjoamat tarkistuslistoilla voi hyvin aloittaa. Oppimateriaalissa on linkkejä myös muihin lähteisiin. Tarkistuslistoihin on koottu tyypillisiä ongelmakohtia ja ne on laadittu uhkakartoituksen tekijän apuvälineeksi, jottei samaa pyörää tarvitse keksiä uudelleen jokaisessa organisaatiossa. Tarkistuslistat toimivat parhaiten, kun niitä käsitellään yhdessä työryhmän kanssa keskustellen. Ne soveltuvat huonosti itsenäisesti täytettäviksi lomakkeiksi, koska kysymykset ovat tulkinnanvaraisia ja koska kysymysten käsittelyn esille nostamat uhat jäävät helposti vain vastaajan tietoisuuteen. Tarkistuslistoissa on usein kysymyksiä, jotka eivät suoraan sovellu uhkakartoituksen kohteeseen. Näitä kysymyksiä ei kannata sokeasti poistaa listoilta, vaan on tärkeää pohtia, onko kysymys tullut tarpeettomaksi esimerkiksi kehityksen seurauksena ja pitääkö kysymys tästä syystä korvata jollakin toisella kysymyksellä. Hyvä esimerkki on seuraavan tarkistuslistan (VAHTI 7/2003) ensimmäinen kysymys: "Toimivatko modeemiyhteydet takaisinsoittoperiaatteella?", joka koskee etäyhteyksien tietoturvaa. Jos yrityksessä ei ole enää modeemiyhteyksiä, on hyvä miettiä, miten perinteiset modeemiyhteydet on toteutettu nykyään ja mitä uhkia uusiin toteutustapoihin liittyy. Esimerkkitilanteeseen sovellettiin oppimateriaalissa olevaa Tietoverkon käytön uhat -listaa seuraavin tuloksin: 1) Fyysisiin laitteisiin kohdistuvat hyökkäykset - ei toimenpiteitä vaativia uhkia. 2) Siirrettävään tietoon kohdistuvat hyökkäykset - käsiteltiin haavoittuvuusanalyysin yhteydessä 3) Tietojärjestelmään kohdistuvat hyökkäykset a) porttiskannaus tai tietojärjestelmään tunkeutuminen - Verkosta käsin sallitaan vain salasanasuojatun www-lomakkeen käyttö ja palvelimen turvallisuus on riittävällä tasolla. Palvelimen riskikartoitus olisi syytä toteuttaa erikseen. - Uhka: Tunkeutuja väärinkäyttää www-lomaketta. Suojautuminen: Lomaketta käsittelevän skriptin turvallisuus tulee tarkistaa ja korjata tarvittaessa. b) Palvelunesto - ei torjuttavissa. Ei ole todennäköinen. Toteutuessaan estää käytön. c) Haittaohjelmat - Uhka: työasemassa oleva haittaohjelma väärinkäyttää www-lomaketta. 4) Kirjailijaan kohdistuvat hyökkäykset - ei toimenpiteitä vaativia uhkia.

5 5/8 4.3 POA - Potentiaalisten ongelmien analyysi Esimerkkitilanteen haavoittuvuusanalyysin tulosten johdosta salasanojen turvallisuus päätettiin ottaa tarkempaan tarkasteluun ja uhkien tunnistusmenetelmäksi valittiin POA. Esimerkki: POA Potentiaalisten ongelmien analyysi Riskikartoituksen kohde: Salasanoihin liittyvät riskit Ensimmäisen aivoriihi-istunnon tuloksena erilaisia uhkalistoja: Kokemuksia Ei vaihdeta Huonoja salasanoja Saa puhelimessa Kerrotaan kaverille Käytetään samaa kaikissa järjestelmissä Käyttäjän ongelmat Paperi pöydällä Sähköpostilla Puhelimella Tirkistelemällä Paperi näppäimistön alla Käyttäjä ei viitsi valita hyviä salasanoja Käyttäjä ei vaihda salasanaa Liikaa muistettavia salasanoja Verkon ongelmat Salakuuntelu Välimieshyökkäys Palvelimeksi naamioituminen Reititysvirhe DNS-huijays Virus Mato Haavoittuvuus Palvelin hakkeroidaan Takaportti Troijalainen Keylogger Istuntojen aikana uhkalistoja jatkojalostetaan, jolloin lopputuloksena on esimerkiksi kaksi listaa: 1. Todennäköiset uhat ja 2. Epätodennäköiset uhat Uhkapuu sopii usein POA:n tulosten esittämiseen: Salasanan uhat Käyttäjältä Työasemasta virus Huijaus Huolimattomuus Verkosta Salakuuntelu Palvelimelta Arvaus välimies Hakkerointi POA ei tuottanut tulokseksi uusia suojautumista edellyttäviä uhkia esimerkin tilanteeseen.

6 6/8 5. Riskien arviointi Taulukkoon (liite 1) on koottu uhkakartoituksen tulokset ja uhat on arvioitu runoilijan ja kartoittajan yhteistyönä. Aluksi on tehty karkean tason karsintaa lajittelemalla epätodennäköiset uhat seurattavien uhkien listaan (näitä ei ole erikseen kirjattu näkyviin taulukkoon). Karsintaa voidaan tehdä myös muilla perusteilla; esimerkiksi uhat, joiden torjunta tiedetään lähes mahdottomaksi, voidaan myös erottaa omaksi listaksi. Karsinnan tavoitteena on, että jatkokäsittelyyn tulevat vain suojauksen kannalta tärkeät uhat. Kaikki tunnistetut uhat on kuitenkin syytä kirjata ylös. 6. Suojauksen suunnittelu Taulukkoon (liite 1) on lisätty suojaustoimenpiteet. Esimerkin tilanne oli sen verran yksinkertainen, ettei ollut tarvetta selvittää vaihtoehtoisia suojakeinoja. Jos valinta tehdään erilaisten vaihtoehtojen välillä, voidaan käyttää valintaperusteiden kirjaamiseen esimerkiksi liitteen 2 taulukkoa. Tulevaisuudessa, jos tulee tarpeelliseksi turvata runojen syöttöprosessin eheyden ja luottamuksellisuuden turvaaminen, voidaan toteuttaa myös salakirjoittamalla (TLS) yhteys www-palvelimeen. 7. Suojauksen toteutus ja riittävyyden seuranta Runoilija ohjeistaa itsensä huolehtimaan salasanojen turvallisuudesta ja seuraa uhkakehitystä. Suositellaan, että runoilija noin vuoden kulutta suorittaa tämän riskikartoituksen uudelleen. Lisäksi suositellaan, että runoilija toteuttaa tarkemman riskikartoituksen myös palvelimen ja www-lomakkeita käsittelevän sovelluksen osalta.

7 7/8 Liite 1: Uhkakartoituksen tulokset Numero Uhan nimi Uhan tarkennus Määrittele Kirjoita lyhyt Ohje: uhalle sanallinen kuvaava nimi kuvaus - vaikkapa esimerkin avulla 1 2 Salasana selvitetään Runo muuttuu toiseksi Ulkopuolinen selvittää salasanan ja syöttää esim. ylimääräisiä runoja esim. välimieshyökkäys Uhan toteutumisen todennäköisyys korkea / keskimääräinen/ alhainen Uhan toteutumisen seurausvaikutus vähäinen/ vakava/ erittäin vakava Riskin suuruus merkityksetön/ vähäinen/ kohtalainen/ merkittävä/ sietämätön keskimääräinen vakava kohtalainen (jos olisi vähäinen, ei salasanaa tarvittaisi lainkaan) Suojauksen tarve ei tarvetta/ ei välttämätöntä/ pienennettävä/ pien. nopeasti/ poistettava välittömästi pienennettävä alhainen vakava vähäinen ei välttämättä tarvetta Valittu Varautuminen, jos suojauskeino suojaus ei toimi Kuvaa valittu suojausratkaisu tai perustele, miksei suojausta voida toteuttaa (esim. kallis tms.) Runoilijalle Vaihdetaan salasana. laaditaan ohjeet salasanojen turvallisesta valinnasta ja hallinnasta - Seurataan Runo varastetaan Runoa ei voi kirjoittaa wwwpalvelimen uhat Muut uhat esim. haittaohjelma Ei löydy sopivaa yhteyttä alhainen erittäin vakava, jos joku toinen julkaisee runon omissa nimissään kohtalainen pienennettävä Runoilija ottaa tietoisen riskin käyttäessään tietoturvatasoltaan epämääräisiä laitteita keskimääräinen vakava kohtalainen pienennettävä Runoilija kantaa mukanaan muistikirjaa tulee tarkistaa Tehdään uhkakartoitus Lista muista tunnistetuista uhista - Seurataan Runoilija siirtyy käyttämään omaan kannettavaa, jos riskin todennäköisyys kasvaa esim. runoilijan maineen lisääntyessä

8 8/8 Liite 2: Suojausvaihtoehtojen arviointi Uhka mielellään uhan nimi Uhan toteutumisen kustannukset erityisesti mikäli suojaratkaisut ovat kalliita Vaihtoehtoiset suojaustavat Suoja-keino vaikutus Kustannus Ratkaisun kuvaus poistuu/ tod.näk. tai seuraus pienenee/ varaudutaan Valinta (perusteluineen)