1 Esimerkki: Uhkakartoitus
2 Tunnelmaa luovaa lehtisalaattia vuodelta 2003 Vapulta: Operaattori asettaa puheviestipalvelun muutoksen yhteydessä kaikille saman tunnusluvun. Huhtikuun lopulta: Junat pysähtyivät sunnuntaina Turun asemalle. Pääsiäisen ajalta: Tekstiviestihuijaus haittailmoitukset aiheuttivat ruuhkaa poliisin asiakaspalvelun puhelimiin. Huhtikuun puoliväliltä: Varas vei VIRVE-puhelimen ambulanssista. Huhtikuun alulta: Los Angelesin kaupungin virkamies myi lehdistölle hallinnon sisäisiä raportteja mm. tähtien yhteystietoja. Aiemmin alkuvuodelta: Kaupungin terveystieto- ja kirjastojärjestelmä jumivat. Oppilaitoksen opiskelijoiden ja henkilökunnan tiedostoja katosi levyrikossa.
3 Tilannekuvaus Palvelun tarjoajan yksiköt liikkuvat kaikkiin vuorokauden aikoihin ja käyvät asiakkaidensa luona. He tarvitsevat käyttöönsä uutta tekniikkaa langattomia työasemia ja kämmenlaitteita tai älypuhelimia, voidakseen käyttää sähköpostia ja tietoverkkoa myös kentällä ollessaan. Toimistolla sijaitsevassa palvelimessa on talletettuna asiakkaiden henkilöja asiakastiedot tarpeellisin osin sekä palvelukuvaukset hintoineen. Kentälle toimitetaan vain tarvittava tieto.
4 Teknologia valinta Valitkaa työryhmässänne mitä tekniikkaa otatte tarkasteltavaksi. GSM-Data ja älypuhelin GPRS ja kämmentietokone Kannettava tietokone monitoimiverkkokortilla (GSM-Data, GPRS,WLAN) Millaisen tunnistustekniikan. Henkilön sähköinen asiointikortti Salasana-lista Tunnisteen generoiva kortti Mitä toimistoautomaatiota tuette. WWW-palvelin WAP-palvelin Sähköpostiliittymä Kuva Esko Jämsä, Poliisilehti 2002/5
5 Käyttötapauksen kuvaus Kuvatkaa yksinkertainen käyttötapaus, johon liittyviä tietoturvauhkia analysoitte. Käyttäkää asiakkaan liiketoiminnan sanastoa. Kuka/Ketkä Mitä tekevät Miksi Millä laitteilla ja ohjelmilla Milloin yöllä, tavanomaiseen työaikaan, pyhänä
6 Uhkakartoitus, tietovarannosta johtuvat ominaisuudet Mihin tietovarantoon uhka kohdistuu? Millaisen vaaran se aiheuttaa? (Jatkuvuudelle, eheydelle, luotettavuudelle, todennettavuudelle, kiistämättömyydelle) Minkä tekniikan/tuotteen/ toiminnan ja millaista haavoittuvuutta uhka koskee? Kuinka usein tällainen uhka voi aiheuttaa vahingon? Millaiset vaikutukset liiketoiminnalle tällaisella vahingolla on? Millaisin suojakeinoin uhkaa voidaan pienentää?
7 Uhkakartoitus, uhkaajasta johtuvat asiantilat Millaisia erityistaitoja haavoittumisen hyödyntäminen vaatii? Maallikon taidot riittävät Asiaa tunteva Erikoistietämys Onko kohteeseen oltava fyysinen pääsy, jotta haavoittuvuutta voisi hyödyntää? Onko kohteeseen oltava tietoverkkoyhteys? Kuinka paljon haavoittuvuuden hyväksikäyttäminen vaatii Aikaa Erityisiä laitteita/työkaluja Taloudellisia varoja
24 Seuraava tehtävä: Tietoriskikartoitus
25 Vaikutukset liiketoiminnalle Tavoitteena on tunnistaa uhkista aiheutuvat vaikutukset liiketoiminnan kannalta kriittisille tietovarannoille Asiakkaiden/Henkilöstön terveyden/elämän vaarantuminen Organisaation julkikuvan/maineen tahraantuminen Asiakkaiden luottamus organisaatioon Henkilöstön/Toiminnan tuottavuuden vaarantuminen Vaikutukset muille sidosryhmille, jotka käyttävät tietovarantoa Sakot/Korvaukset Lailliset seuraamukset/oikeustoimet Taloudellinen vaikutus organisaatioon Muita seuraumuksia (eettiset vaikutukset, heijasteiset lailliset tai taloudelliset vaikutukset)
27 Riskien profilointi Arvioi selvitettyjen uhkien vaikutus kriittisille tietovarannoille Suunnittele kuinka ja mitä riskejä pyritään pienentämään