148
Organisaation kyberturvallisuuteen liittyvällä kyvykkyydellä tuetaan arkkiteh-tuurikehikon toimenpiteitä. Arkkitehtuurikehikko pitää sisällään myös organi-saation toiminnan jatkuvan parantamisen aihioita.
ISO/IEC 9000-standarin suosittelema PDCA-kehitysmenetelmä on dynaa-minen neljään vaiheeseen jaksotettu kehitystyökalu, joka voidaan soveltaa kehi-tystoimenpiteiden implementoinnissa. Siinä yhdistyvät suunnittelu, toteutus, valvonta ja jatkuva parantaminen. (9001 quality., 2020)
Organisaation toteuttama toiminnan ja tavoitteiden visiointityö antaa mah-dollisuuden tarkastella sen asemoitumista toimintaympäristöönsä. Se on myös osa strategiatyötä. Kyberturvallisuuden tavoitteiden ja kehittämisen perusteet voidaan liittää tähän työhön. Johdon laatima visiointi tulevaisuudestaan ja ase-moitumisestaan siinä luo perustan toiminnan kehittämiseksi. Visiointityön kautta muodostettu näkökulma muutetaan strategisiksi tavoitteiksi, operatiivi-sen tason toimenpiteiksi, ohjeiksi ja toteutuspolitiikaksi. Teknillisellä/taktisella tasolla toteutetaan strategiasta johdettuja käytännön toimenpiteitä. Toimenpitei-den onnistumisen mahdollistavat organisaation kyvykkyystekijät. NIST-organ-isaation (National Institute of Standards and Technology, NIST) ohje “Frame-work for Improving Critical Infrastructure Cybersecurity” huomioi alla olevan näkökulmajaon organisaation toiminnan kehittämisessä. (National Institute of Standards and Technology, 2018)
6.5.1 Strateginen näkökulma
Kansallisen kriittisen infrastruktuurin suojaaminen ja siitä johdettavissa olevat ylätason suoritusvaatimukset antavat perusten kunkin organisaation strategia-työlle. Organisaation kyberturvallisuutta ja luottamusta lisäävät toimenpiteet kytkeytyvät siten myös suojattavaan kokonaisuuteen ja ohjaavat sen omia toi-menpiteitä luottamuksen jatkuvaan kehittämiseen ja ylläpitämiseen osana kriit-tistä infrastruktuuria. Strategiset valinnat liittyvät luontevasti kansalliseen vas-tuuseen, organisaation maineen hallintaan, luottamuksen ylläpitämiseen, pro-sessien toiminnan ja jatkuvuuden varmistamiseen. Johdolta edellytetään konk-reettisia strategisia valintoja sekä valittujen toimenpiteiden suorittamisen tuke-mista ja ohjaatuke-mista läpi koko organisaation. Johdon tärkeimpinä tehtävinä ovat organisaation riskitasojen hyväksyntä, huolehtia toimenpiteiden riittävästä re-sursoinnista sekä tarvittavien kehitystoimenpiteiden läpivienti. Valituista toi-menpiteitä tulee viestittää kattavasti organisaation henkilöstölle ja muille sidos-ryhmille. Kyberturvallisuuden kytkeminen organisaation arvoihin tukee turval-lisuuskulttuurin kehittymistä.
6.5.2 Operatiivinen näkökulma
Operatiivisen tason toimenpiteillä mahdollistetaan strategisten tavoitteiden to-teuttaminen. Organisaation kyberturvallisuuden kehittäminen ja toimintapro-sessien luottamusta lisäävät toimenpiteet edellyttävät kokonaisvaltaista kyber-turvallisuuden hallintaa, joka perustuu prosessiriskien tunnistamiseen, analy-sointiin ja rikien käsittelyyn. Organisaation ylimmän tason tehtävänä on linjata
hyväksyttävät riskitasot. Operatiivisella tasolla toteutetaan riskien pienentämi-seen liittyviä toimenpiteitä muun muassa toimintapolitiikan avulla. Organisaa-tion on siten tärkeää julistaa ja viestittää toimintapolitiikkaa, jolla johto sitoutuu toiminnan kehittämisen edellyttämiin toimenpiteisiin. Kyberturvallisuutta edis-tävien toimintatapojen kehittäminen voidaan yhdistää organisaation yleiseen toimintapolitiikkaan operatiivisella tasolla. Operatiivisen tason konkreettiset käytännön toimenpiteet tulee ohjata tietoturvaratkaisujen varmistamiseen riski-perusteisesti sekä organisaation toiminnan jatkuvuus- ja toipumissuunnitelmien laadintaan. Tavoitteena tulee olla toimintaprosessien tunnistaminen, luokittelu ja niiden käytettävyyden jatkuva seuranta. Operatiivisen kyberturvallisuuden ti-lannetietoisuuden ylläpitäminen tukee toimintaprosessien jatkuvuuden varmis-tamista. Toimintaprosessien häiriötilanteiden varautumiseen liittyvät toiminta- ja palautumissuunnitelmat, joilla voidaan parantaa organisaation resilienssiä häiriötapauksissa.
6.5.3 Teknillinen/taktinen näkökulma
Teknillisen/taktisen tason kehittämisen tavoitteiden voi katsoa liittyvän kiinte-ästi käytännön toimenpiteisiin organisaation tietoverkkojen, ICT-järjestelmien ja -laitteiden sekä niiden käytön suojaamiseksi. Lähtökohtana on suojattavien toi-mintaprosessien sekä niiden järjestelmien ja laitteiden tunnistaminen. Tähän liit-tyy myös toimijoiden kyky tunnistaa uhkien ja haavoittuvuuksien kautta muo-dostuvia kyberturvallisuusriskejä järjestelmissä ja laitteissa. Suojaustoimenpi-teitä voidaan kehittää ja toteuttaa toimintaympäristöön soveltuvilla ajantasaisilla ja asianmukaisilla kyberturvallisuustuotteilla ja -palveluilla-. Tyypilliset kyber-turvallisuustuotteet ja -palvelut liittyvät verkon segmentointiin, valvontaan ja tunkeutumisen havainnointiin, salaukseen sekä käytön autentikointiin ja valtuu-tukseen. Taktisen tason toimijoiden kyvykkyyttä voidaan kehittää jatkuvalla koulutuksella ja harjoittelulla sekä ylläpitämällä ohjausmekanismeja, kuten sala-sanakäytäntöjä ja menettelyjä laitteista huolehtimiseen. Teknillisellä/taktisella tasolla korostuvat tietoturvaan liittyvät attribuutit eli tiedon saatavuus (käytettä-vyys), luotettavuus ja eheys.
6.6 Suojautumisen kehittäminen
RR8. Pöyhönen J., Lehto M., Lehto M. (2019). Kyberturvallisuus sairaalajärjestelmissä, toiminnan kehittäminen. University of Jyväskylä, Faculty of Information Technology, research paper, 75/2019.
RR9. Lehto M., Pöyhönen J., Lehto M. (2019). Kyberturvallisuus sosiaali- ja terveyden-huollossa. Loppuvaportti Vol 2. VFH- ja WHC-hankekokonaisuus. Jyväskylä yliopisto, IT-tiedekunta. Jyväskylä yliopisto, Informaatioteknologian tiedekunta.
150
Edellisessä luvussa on todettu, että organisaation johdon tulevaisuuden visiointi ja strategiatyö luo perustan myös kyberturvallisuuden kehittämiselle. Lisäksi lu-vussa on todettu, että visiointityön kautta muodostettu näkökulma muutetaan strategisiksi tavoitteiksi sekä operatiivisen ja teknillisen/taktisen tason toimen-piteiksi. Niiden onnistumiseen liittyvät organisaation kyberturvallisuuden ky-vykkyystekijät eli ihmiset, prosessit ja teknologia.
Esimerkiksi sairaalan osalta kyberturvallisuuden kehittämisen lähtökohdat voidaan muodostaa hyödyntämällä terveydenhuollon kyberturvallisuustyöryh-män (Health Care Industry Cybersecurity, HCIC) määrittelyjä ja suosituksia toi-mintatapojen järjestämiseksi. Nekin liittyvät edellä esitettyihin organisaation ke-hittämisen näkökulmiin, kuten organisaation johtajuuteen ja hallintoon, häiriöti-lanteiden sietokykyyn, henkilöstön osaamiseen sekä tutkimukseen ja tiedonvaih-toon. (Csulak, ym., 2017, 1,2)
ENISA:n näkökulmat kyberturvallisuuden ja tietoturvan kehittämiseen sai-raalaesimerkin osalta ovat muun muassa seuraavia: (ENISA, 2016)
• Strategisella päätöksentekotasolla on huomioitava tietoturvastrate-gioiden ja kustannus-hyötyanalyysien merkitys päätöksissä riittä-vistä kyberturvallisuutta edistäriittä-vistä suojausratkaisuista.
• Operatiivisen tason tehtävänä on luoda toimintapolitiikka, joka huomio eritysesti mobiililaitteiden ja henkilökunnan omien laittei-den (Bring Your Own Device, BYOD) käytöstä aiheutuvat riskit ja muodostaa selkeät periaatteet niiden käytölle.
• Teknisellä/taktisella tasolla tulee tunnistaa käytettävät laitteet ja miten ne liittyvät toisiinsa (tai ovat yhteydessä Internet-verkkoon) sekä määrittää ja toteutetaan turvallisuusperusteet kaikille tärkeim-mille järjesteltärkeim-mille.
• Kaikilla päätöksentekotasoilla roolit ja vastuut sekä säännöllinen koulutus ja tietoisuuden lisääminen ovat keskeisiä tekijöitä proak-tiivisen lähestymistavan aikaansaamiseksi tietoturvaan.
Organisaation ICT-järjestelmistä, -laitteista ja niiden käytöstä muodostuvat ko-konaisuudet edustavat systeemiajatuksen mukaan sen osajärjestelmiä ja organi-saatiokokonaisuus on kriittisen infrastruktuurin osajärjestelmä. Systeemitason näkökulmasta tarkasteltuna on tärkeää, että kaikilla järjestelmätasoilla ovat riit-tävät kyberturvallisuusvalmiudet ja, että niissä sovelletaan parhaita käytänteitä organisaation koosta tai sijainnista riippumatta. Seuraavassa alaluvuissa esite-tään organisaation kehittämiseen toimenpiteitä sekä referoidaan alueella tehtyjä tutkimustuloksia, joilla edistetään väitöstutkimuksessa haasteellisiksi tilanteiksi tunnistettujen kohtien kyberturvallisuutta.
6.6.1 Systeemitason suojauksen kehittäminen
Kriittisen infrastruktuuriin lukeutuvat sekä julkiset että yksityiset organisaatiot, joilla on rooli infrastruktuurin palvelujen turvaamisessa. Kukin toimija suorittaa toimintoja, joita tukee laaja teknologia-alue, kuten tietoverkot ja tietotekniikka
(ICT), teollisuuden ohjausjärjestelmät (ICS), kyberfyysiset järjestelmät (CPS) sekä verkkoon kytketyt laitteet yleisemmin, mukaan lukien esineiden internet (IoT).
Tämä riippuvuus tekniikasta ja verkottuneista yhteyksistä on muuttanut ja li-sääntynyt potentiaalisia riskejä koko infrastruktuurin toiminnalle. Organisaatioi-den näkökulmista voidaan tunnistaa alla olevia kehittämistavoitteita päätöksen-tekotasoittain.
Strateginen taso
Strategisella tasolla organisaatio tunnistaa liiketoiminnan tavoitteet ja painopis-teet. Tämän tiedon avulla organisaation on mahdollista tehdä niihin liittyvät ky-berturvallisuuden kehityksen toteutusta koskevat keskeisimmät päätökset sekä määrittää toimintaprosessien ja niiden järjestelmien suojaustasot liiketoiminnan riskejä vastaaviksi. Ylätason riskimäärittelyt voidaan liittää osaksi organisaation toiminnan kokonaisriskejä. Samalla varataan kehitystyön resurssit, joilla tuetaan valittua toimintalinjaa tai prosessia. Resurssikehystä mukauttamalla voidaan luoda painopisteitä kehitystoimenpiteille, joilla voidaan tukea eri liiketoiminnan tarpeita riippuen niihin liittyvästä riskinkantokyvystä. Strategisen tason päätök-set muodostavat perustan muiden tasojen kehitystoimenpiteille.
Operatiivinen taso
Operatiivisen tason kyberturvallisuuteen liittyy riskien tunnistaminen liiketoi-mintaprosesseissa ja toimintaverkostoissa. Suojautumista voidaan kehittää tun-nistamalla ja arvioimalla prosesseihin vaikuttavia tuotteita ja palveluja, jotka voi-vat sisältää mahdollisesti haitallisia toimintoja. Ne voivoi-vat sisältää jo lähtökohdis-taan virheellisiä toimintoja tai niissä voi esiintyä suunnitteluvirheitä, ja siten ne voivat aiheuttaa riskejä koko toimintaketjussa. Toimintaketjujen riskien hallintaa voidaan kehittää määrittämällä ketjujen sidosryhmille kyberturvallisuusvaati-muksia. Vaatimusten käyttöönotto voidaan vahvistaa sopimuksilla, jotka voivat pitää sisällään menettelyt vaatimusten varmentamisesta, validoinnista ja seu-rauksista. Operatiivisella tasolla kehitetään erityisesti kyberturvallisuuden ky-vykkyyksistä prosesseja.
Teknillinen/taktinen taso
Organisaation määriteltyä kyberturvallisuuden kehittämisohjelman soveltamis-kohteet liiketoiminnastaan tai toimintaprosesseistaan, organisaatio voi tunnistaa niihin liittyvät tietoverkot, ICT-järjestelmät laitteineen ja muun tietoteknisen omaisuuden sekä määrittää niihin kohdistuvat kehittämisvaatimukset. Kehitys-toimenpiteissä on oleellista tunnistaan näihin järjestelmiin ja laitteisiin sekä muu-hun omaisuuteen kohdistuvat uhkat ja haavoittuvuudet. Teknillisen/taktisen ta-son suojaustoimenpiteiden kehittämistarpeet painottuvan laiteiden ja järjestel-mien käytännön tason teknilliseen suojaamiseen ja sen kehittämiseen uusilla tek-nisillä ratkaisuilla. Kehitystoimenpiteet kohdistuvat kyberturvallisuuden teknil-liseen kyvykkyyteen. Järjestelmien ja laitteiden käytön turvaamiseen liittyvät henkilöstön kyvykkyydet ja niiden kehittäminen. Turvallisen toiminnan ohjaus-mekanismit, kuten salasanakäytännöt, autentikoidut käyttäjät ja laitteista huo-lehtiminen, yhdessä toimintakulttuurin kehittämisen ja toiminnan arvopohjan huomioimisen kanssa ovat keskeisiä tekijöitä toimintaprosessien käytettävyys-vaateiden sekä tiedon luotettavuus- ja tiedon eheyskäytettävyys-vaateiden osilta.
152
Tällä hetkellä on jo useita kyberturvallisuusratkaisuja ja -työkaluja tarjolla organisaatioiden tarpeisiin. Perinteisesti ne liittyvät hallinnollisten ICT-järjestel-mien ja -laitteiden suojaukseen. Teollisuusautomaatiojärjestelmät ovat oleellinen osa useiden organisaatioiden toimintaprosesseja. Niihin liittyviä kyberturvalli-suuden hallinnollisia ja teknillisiä ratkaisuja on kehitetty KYBER-TEO-tutkimus-hankkeessa, joita voidaan soveltaa myös tämän väitöstyön osalta. Hankkeen vuoden 2015 raportista on poimittu tähän yhteyteen oheiset kehitystarpeet:
(Huoltovarmuuskeskus, 2015)
1. Verkkohyökkäysriskien hallintaan liittyvät automaatioverkon moni-torointijärjestelyt muun muassa seuraavasti:
• Automaatioverkkoon kytkettäväksi suunniteltu palomuuri,
• automaation järjestelmälokien analyysi ja raportointi,
• automaatioverkkoon tunkeutumisen ilmaisusysteemi (Intrusion Detection System, IDS),
• verkko/laitekirjautumisten tunnistus,
• verkkoliikenteen tietovuoseuranta ja yllättävien poikkeavuuksien tunnistus ja
• hälytysten raportointi.
2. Valvomo-ohjelmistoriskin hallintaan liittyvä automaation tietotur-vatestaus mm. seuraavasti:
• verkkoskannerit,
• tietoturva-aukkojen testausväline ”fuzzer” ja
• penetraatiotestauksen työkalut.
3. Kyberturvallisten teknillisten ratkaisujen lisäksi KYBER-TEO rapor-tissa on mainittu tuotantoon liittyviä hallinnollisia toimenpiteitä seu-raavasti:
• Yhtenäinen tietoturvapolitiikka,
• käytännön ohjeet tietoturvan ylläpitämiseen,
• automaatioverkossa sallitut etäyhteyskäytännöt, tekniikat ja yh-teyspisteet,
• automaatio- ja verkkojärjestelmien kyberturvallisuustarkastukset ja kartoitukset,
• työlupien hallinta huoltotöissä ja
• muutoshallinta kaikkien automaatiojärjestelmien ja -verkkojen ase-tusten/kokoonpanojen osilta.
ENISA:n suosittelemia tärkeimpiä suojaustoimenpiteitä ovat: (ENISA, 2016, 53)
• Verkon segmentointi (älykkäät palomuurit),
• verkon valvonta ja tunkeutumisen havaitseminen,
• vankka salaus,
• kulunvalvonta sekä
• käytön autentikointi ja valtuutus.
Organisaatioiden tietoverkkojen-, -järjestelmien ja -laitteiden sekä tietosisältöjen (datan) suojaamisen peruslähtökohta on perinteisten ajantasaisten ja tarkoituk-senmukaisten suojaustekniikoiden ja -palvelujen käyttö. Tällöin mahdollistetaan tiedon käytettävyyden (saatavuuden), luotettavuuden ja eheyden varmistami-nen tavanomaisia uhkia vastaan. Haasteeksi jäävät muun muassa ATP-hyök-käykset, joita on vaikea tunnistaa perinteisten tietoturvallisuuden edellyttämin keinoin.
Teknologisen kehityksen ja tulevaisuudessa erityisesti Teollisuus 4.0:n tar-joaman organisaation digitaalisen toimintaympäristön kyseessä ollen on odotet-tavissa, että organisaation ICT-infrastruktuurista muodostuu aiempaa laajempi laitteiden, ohjelmistojen ja ihmisten yhteenliittymä. Toimintaympäristön raken-teen voi katsoa teknillisesti monimutkaistuvan ja toiminallisesti kehittyvän yhä kompleksisempaan suuntaan. Perinteiset organisaation ICT-infrastruktuurin sy-vyyssuuntaisiin vyöhykkeisiin suojauskehiin (Suomen Automaatioseura ry., 2010, 69-70) perustuvat turvallisuusratkaisut eivät vastaakaan enää riittävästi ke-hittyviin uhkiin. Teknologisen kehityksen myötä organisaatioon kohdistuvat hyökkäysmahdollisuudet lisääntyvät ja uhkakuvat monipuolistuvat. Ne tulevat laajalta alueelta sekä organisaation sisäpuolelta ja ulkopuolelta. Kehityskulku asettaa uusia vaatimuksia järjestelmien perinteisen syvyyssuuntaisen vyöhyke-suojausstrategian kehittämiseen. Tarvitaan uusia tekniikoita suojauksen kehittä-miseen.
6.6.2 Uusien tekniikoiden soveltaminen suojaukseen
Organisaation ICT-infrastruktuurin vyöhykesuojaukseen integroiduilla uuden teknologian ratkaisuilla voidaan parantaa kyberturvallisuutta kehittämällä sekä suojaustasoa että näkyvyyttä järjestelmätasoilla. Tekoälyn kyvykkyyttä voidaan hyödyntää erityisesti henkilöstöä avustavana toimintana tapahtumien analyy-seissä ja havaintojen läpikäynnissä. Tekoäly kykenee käsittelemään lähes reaali-aikaisesti laajoja tietomääriä rakenteellisista tietolähteistä ja rakenteettomista tie-tolähteistä, kuten erilaista teksteistä ja kuva-aineistoista. Kyberturvallisuutta kä-sitteleviä artikkeleita ja raportteja julkaistaan suuria määriä päivittäin, jolloin nii-den käsittelyssä ja hyödyntämisessä voidaan käyttää tekoälyä. Sen kehittyminen avaa myös mahdollisuuksia kyberturvallisuuden menettelyjen automatisointiin.
Perinteiset ja joissain tapauksissa ”fragmentoituneet” suojausratkaisut haastetaan tämän päivän kehittyneillä kyberhyökkäysmenetelmillä, joissa hyö-dynnetään organisaation sisäisiä ja ulkoisia hyökkäysrajapintoja. Kyberturvalli-suuden kehittämiseksi organisaatioiden tuleekin lähestyä turvallisuutta kuten immuunijärjestelmää. Tällöin turvallisuusratkaisujen tavoitteena on integroida ne toiminnalliseksi kehykseksi, joka koostuu käyttöön saatavista tärkeimmistä ja ajantasaisimmista toiminnallisuuksista. Integroitu toimintamalli voi hakea ky-berturvallisuuteen liittyviä tietoja organisaation ICT-ympäristöstä (esim. lokitie-toja, tietovirlokitie-toja, häiriötietoja ja - tapahtumia, turvapoikkeamia) sekä tietoja or-ganisaation ulkopuolelta (esim. blogeja, tutkimustietoja ja verkkosivustoja). In-tegroidussa kyberturvallisuusratkaisussa analytiikka muodostaa ytimen, minkä avulla voidaan parantaa näkyvyyttä kybertoimintaympäristöön. (Falco, 2016)
154
Integroidun kyberturvallisuuskonseptin tavoitteina voidaan pitää ajatusta, jossa teknillisillä ratkaisuilla luodaan vyöhykkeisiä suojauskehiä täydentävä käyttöä, tietoverkkoa, -järjestelmiä ja laitteita koskeva suojauskokonaisuus. Sii-hen voidaan integroida muun muassa päätelaitteiden hallintaa ja käytön turval-lisuusmenettelyjä, datavirtojen aktiivista monitorointia, poikkeamien havainto-kyvykkyyttä ja erilaisten hyökkäysvektoreiden torjuntamenetelmiä (Falco, 2016).
Uusimpia teknillisiä ratkaisuja hyödyntävän integroidun järjestelmän ke-hittäminen edellyttää kyvykkyyttä hahmottaa niiden soveltamista organisaation toimintaympäristöön sekä tunnistaa toimintaa liittyviä haavoittuvuuksia ja nii-hin kohdistuvia perinteisiä ja uusia hyökkäysmuotoja. Systeemiajatukseen liitet-tynä integroiduissa kyberturvallisuusratkaisuissa voidaan luoda kokonaisuus tai alusta, joka tarjoaa laajan kohdennetun ekosysteemin erilaisia turvallisuusratkai-suja. Alustaratkaisut antavat mahdollisuuden tehokkaaseen asiantuntijoiden ja uuden tekniikan väliseen yhteistyön sekä turvaprosessien ja -tekniikan kehittä-miseen, jolloin henkilöstön, prosessien ja tekniikan kyberturvallisuuden kyvyk-kyydet kehittyvät. Seuraavaksi uusien tekniikoiden soveltamista ja kehittämistä on hahmoteltu organisaation systeemitason suojaukseen tutkimuksen viiteke-hystasolla.
Kyberrakenteen kognitiiviselle kerrokselle liittyvät organisaation johdon toimenpiteet, kuten strategiapäätökset, julistetut toimintapolitiikat ja toiminnan riskitasojen hyväksynnät. Operatiivisen tason kyberturvallisuuden toimenpiteet kohdistuvat erityisesti toimintaprosessien jatkuvuuden hallintaan. Tällöin niitä ovat muun muassa toimintaprosessien riskien seuranta, verkottumiseen liittyvät kyberturvallisuustoimenpiteet ja erillisten yhteistyöfoorumien ylläpito. Lisäksi kerroksen ominaisuuksia ovat organisaation yleinen toimintakulttuuri, arvo-pohja ja henkilöstön kyvykkyys sekä toimenpiteinä niiden edistäminen. Ajatuk-sen on, että tekoälyratkaisuja voidaan käyttää laitteiden käytön avustamiseen ja toimintaympäristön seurantaan sekä käyttöoikeuksien hallintaan laajasti eri lait-teissa ja järjestelmissä. Lisäksi organisaation tietovirroille ja datan käsittelyyn tar-vitaan luotettavia menettelyjä sekä sisäisessä toiminnassa että verkottuneessa toiminnassa yhteistyötä tekevien osapuolten väleille. Lohkoketjutekniikka mah-dollistaa kattavan suojan tietosisällöille tietovirroissa ja monenvälisissä sopi-muksissa.
Palvelukerros pitää sisällään organisaation tarvitseman yhteyden Internet-verkkoon ja sen palveluihin. Tekoälyratkaisuja voidaan kehittää verkkoliiken-teen valvontaan ja seulontaan sekä käyttöön hyväksyttyjen sovellusten tunnista-miseen ja poikkeavan toiminnan ilmaisetunnista-miseen Toimenpiteet parantavat myös tilannekuvaa ja -tietoisuutta verkkokäytön osalta.
Kyberrakenteen semanttinen kerros pitää sisällään organisaation tietova-rannon, datan, jota muodostetaan rakenteen eri kerroksilla, kootaan ja käsitellään organisaatiokohtaisesti tarkoituksenmukaisella tavalla. Teknologian kehittymi-sen myötä sekä datamäärä että kehittymi-sen käyttötarve lisääntyvät. Datan saatavuus (käytettävyys), luotettavuus ja eheys korostuvat. Tekoälyratkaisut kykenevät kä-sittelemään rakenteetonta ja rakenteellista dataa sekä relaatiotietokantoja ja muita tietovarantoja erilaisine tietokantoineen. Onkin nähtävissä, että tekoälyä
voidaan kehittää organisaation datan tietoturva-analyysien tekemiseen. Tavoit-teena voidaan pitää myös tekoälyn soveltamista dataa tuottavien sovellusten seurantaan, johon voisi liittyä datan riskiluokittelu, käsittelyn tunnistaminen, poikkeavuuksien havainnointi, uhkien tunnistaminen ja tietomurtojen pysäyttä-minen. Lohkoketjutekniikkaa voidaan kehittää datan suojaamista. Toimenpiteet parantavat myös tilannekuvaa ja -tietoisuutta tietovarantojen osalta.
Kyberrakenteen syntaktinen kerros pitää sisällään organisaation ICT- ja au-tomaatiojärjestelmät ja niiden laitteiden toiminta-, ohjaus- ja hallintaohjelmat, niiden lankayhteydet ja langattomat yhteydet sekä tiedonsiirtoverkkojen sano-marakenteet. Tekoälyn osalta tavoitteena voidaan pitää sen avustuksella muo-dostettavaa ja kerroksen rakenteen sisältämiin erilaisiin digitaalisignaaleihin pe-rustuvan diagnostiikan hyödyntämistä kyberhyökkäysten havainnoinnissa.
Diagnostiikkaa voidaan hyödyntää myös langattomiin yhteyksiin pohjautuvien laitteiden vianilmaisussa ja yhteyksien käytön mallinnukseen perustuvassa vian-havaitsemisjärjestelmässä. Toiminta liittyy erityisesti prosessien kunnonvalvon-taan ja niiden datan käytettävyyden seurankunnonvalvon-taan, mutta sitä voidaan hyödyntää myös kyberturvallisuuden menettelynä. Virtualisointitekniikan kehittyminen osaksi kyberturvallisuuden menettelyjä on käynnissä. Kehityksen myötä raken-teen tällä kerroksella sen avulla voidaan hyökkäyksiltä suojautua tai puolustau-tua palvelinten käyttöjärjestelmätasolla. Virpuolustau-tualisointi mahdollistaa useiden käyttöjärjestelmien ja sovellusten toiminnan yhdellä fyysisellä palvelimella ja ne ovat teknillisesti eristetty toisistaan. Toimintaa ohjaava tekniikka ja sen ”hyper-visor” (tai Virtual Machine Monitor, VMM) voidaan ohjelmoida tarttumaan poikkeaviin tapahtumiin. Toimenpiteet parantavat myös prosessien toiminnan tilannekuvaa ja -tietoisuutta.
Kyberrakenteen fyysinen kerros pitää sisällään organisaation teknillisen lai-tetason. Niitä ovat kaikki käyttölaitteet, palvelinkokonaisuudet, ohjaus-, säätö- ja toimilaitteet, verkkolaitteet sekä fyysiset kaapeloinnit ja langattomien yhteyksien laitteet. RFID-tekniikkaa (Radio Frequency Identification, RFID) hyödyntämällä kehitetään erityisesti liikuteltavien laitteiden seurantaa ja paikantamista. Laiteti-loja voidaan suojata kehittyneillä kulunvalvontaratkaisuilla. Toimenpiteet pa-rantavat myös laitetason ja niiden sisältämien tietovarantojen paikkatiedon tilan-nekuvaa ja -tietoisuutta.
Oheisessa kuviossa 18 on yhdistetty organisaation kyberrakenteen eri ker-roksille terveydenhuoltoon viime vuosina kohdistuneita hyökkäysmalleja väi-töstyön viitetutkimuksen tausta-aineistosta ja liitetty niihin uuden teknologian mahdollistavia suojausratkaisuja (RR8, RR9). Kuvio toimii yleistettävänä esi-merkkinä organisaation uhkien ja niiltä suojautumisen kehittämisestä uusia tek-nillisiä ratkaisuja hyödyntämällä tavoiteltaessa rakenteeseen integroitua suo-jausmenettelyä.
156
KUVIO 18 Sairaalajärjestelmien uhkakuvat ja uudet suojausratkaisut.
6.7 Riskien hallinta
Kyberturvallisuudessa uhka, haavoittuvuus ja riski muodostavat toisiinsa liitty-vän kokonaisuuden. Organisaatiot kartoittaessaan riskejään, voivat arvioida ja luokitella niitä suhteessa mahdolliseen liiketoiminnan tai muun toimintaprosessin menetykseen tai vahingoittumiseen, kun hyökkääjä hyödyntää haavoittuvuutta eli uhka realisoituu. Riskit liittyvät muun muassa taloudellisiin tappioihin liiketoi-minnan häiriötilanteissa, yksityisyyden menetyksiin, maineeseen ja mahdollisiin oikeudellisiin seuraamuksiin ja voivat jopa sisältää ihmishenkien menetyksiä. Li-säksi järjestelmän toiminnan palauttaminen aiheuttaa merkittäviä kustannuksia.
Organisaation toiminnan ja järjestelmien kompleksisuus tekee mahdottomaksi eli-minoida täysin kaikkia haavoittuvuuksia eikä myöskään voida kattavasti havaita ja jäljittää tunkeutumisia systeemin sisälle. Organisaatioiden verkottuminen lisää toimintaprosessien tehokkuutta ja suorituskykyä, mutta samalla siihen liittyy kas-vavia haasteita kyberturvallisuuden osalta. (Lehto, 2019, 20)
Organisaation kyberturvallisuuteen liittyvien riskien hallintaprosessi on yksi sen turvallisuusajattelun peruskomponenteista. Prosessin toimenpiteitä käytetään organisaation toiminnallisten riskien tunnistamiseen, arviointiin ja priorisointiin huomioiden organisaation järjestelmät, henkilöstö, sidosryhmät ja yhteiskunnalliset velvoitteen. Riskiarviointien tarkoituksena on tunnistaa ja kar-toittaa päätöksentekijöille riskit seuraavasti: Organisaatioille aiheutuvat merkit-tävät uhat, toimintaverkoston välityksellä uhkaavat toimet omaan ja muihin ganisaatioihin nähden, sisäiset haavoittuvuudet organisaation ulkopuolelle ja or-ganisaatioiden keskinäisvaikutuksiin. Lisäksi toimenpiteisiin kuluvat riskien to-teutumisen todennäköisyyksien ja niistä aiheutuvien vahinkojen arvioinnit. Lop-putuloksena tulee olla riskien määrittämisen kuvaus. Tyypillisesti se esitetään riskien haitta-asteena ja tapahtumatodennäköisyytenä, josta lopullinen luokit-telu esitetään näiden matemaattisena tulona. (National Institute of Standards and Technology, 2012, 1).
NIST 800-39 kyberturvallisuuden riskien käsittelyohje suosittaa riskiarvi-ointien suorittamista organisaation kaikille kolmelle hierarkiatasolle, jotka ohje on nimennyt seuraavasti: Organisaatiotaso, liiketoimintaprosessitaso ja tietojär-jestelmätaso (National Institute of Standards and Technology, 2011). Tämä ris-kienhallinnan hierarkia tarjoaa riskinäkökulmia organisaation strategiselle, ope-ratiiviselle ja taktiselle päätöksentekotasolle. Standardissa todetaan, että perin-teiset riskinarvioinnit keskittyvät yleensä tietojärjestelmän tasolle, ja sen seu-rauksena yleensä jää sivuun merkittäviä riskitekijöitä, jotka voidaan arvioida tar-koituksenmukaisemmin organisaatio- ja liiketoimintaprosessitasoilla. Riskiarvi-ointien tulee tukea organisaation päätöksentekoa sen kaikilla päätöksentekota-soilla. Esimerkiksi organisaatiotason riskinarvioinnit voivat antaa hyödyllisiä tie-toja sen liiketoimintojen jatkuvuuden osilta, taloudellisten riskien osilta, toimin-nan vaatimustenmukaisuuden ja sääntelyn riskeistä, maineriskeistä ja hankinta-riski laajoissa hankkeissa sekä toimitusketjun- ja kumppanuusriskeistä. Liiketoi-mintatason riskinarvioinnit liittyvät organisaation operatiiviseen toimintaan.
Riskinarvioinnit voi vaikuttaa esimerkiksi tietoturva-arkkitehtuurin suunnittelu-päätöksiin, toimittajien, palvelujen ja urakoitsijoiden valintaan, liiketoiminnan kehittämisprosesseihin ja tietoturvapolitiikkojen valintaan. Tietojärjestelmäta-solla riskiarviot voivat vaikuttaa esimerkiksi suunnittelupäätöksiin, jotka kos-keva erilaisia tietoturvaan liittyviä valintoja, räätälöintejä ja turvatarkastuksia.
Päätökset voivat liittyä erityisesti tietotekniikkatuotteisiin tai niiden valvonta-vaatimuksiin, tietojärjestelmien käytön valtuutuksiin ja ylläpidon järjestelyihin.
Tietojärjestelmätasolta riskinarvioinnit voivat tuottaa tietoa tietojärjestelmiin liit-tyvistä kustannus-, aikataulu- ja suoritusriskeistä. Tälle päätöksentekotasolle tie-toa tuottavat tietoturva-asiantuntijat, tietojärjestelmien omistajat, tulojen ja me-nojen hyväksyjät. (National Institute of Standards and Technology, 2012, 17-18).
ISO/IEC 27005-satandardi käsittelee organisaation tietoturvallisuusriskien hallintaa (Liite 2). Se tukee standardin ISO/IEC 27001 mukaisia tietoturvallisuu-den hallintajärjestelmän vaatimuksia, mutta se ei pidä sisällään mitään tiettyä riskien tunnistamisen menettelytapaa. Organisaatio itse määrittelee siihen liitty-vät toimintatapansa. Toimintatavan valintaan vaikuttavat esimerkiksi hallinta-järjestelmän kattavuusvaatimukset, arviointiympäristö ja toimiala. Standardin menettelyjä voidaan soveltaa kaiken tyyppisissä organisaatioissa. (Suomen Stan-dardisoimisliitto SFS ry., 2012)
Ohjeen ISO/IEC 27005 mukaiset riskeihin liittyvä tietoturvallisuuden hal-lintaprosessi koostuu seuraavista vaiheista: (Suomen Standardisoimisliitto SFS ry., 2012)
• Arviointiympäristön määrittämisestä,
• riskien arvioinnista,
• riskien käsittelystä,
• riskin hyväksynnästä,
• riskeistä viestimisestä sekä
• riskien tarkkailusta ja katselmoinnista.
158
Ohjeen ISO/IEC 27005 riskien iteratiivinen toimintamalli auttaa saavuttamaan tasapainon siten, että turvamekanismien tunnistaminen suoritetaan tehokkaasti ja samalla varmistetaan erityisesti merkittävimpien riskien tunnistaminen.
Ohjeen ISO/IEC 27005 riskien iteratiivinen toimintamalli auttaa saavuttamaan tasapainon siten, että turvamekanismien tunnistaminen suoritetaan tehokkaasti ja samalla varmistetaan erityisesti merkittävimpien riskien tunnistaminen.