Kyberriskien hallinta

Kyberriskien hallinta

Kyberriskien hallinta

Olemme yhdessä energia-alan yrityksen kanssa kehittäneet erityisesti teollisuusyrityksille soveltuvan kyberriskien hallintamallin, joka voidaan räätälöidä ja ottaa käyttöön eri teollisuussektoreilla toimivien yritysten liiketoiminnassa ja tuotannossa.

Kyberriskien hallinta alkaa yritysjohdon päätöksellä

Kyberriskien hallinta ei voi toteutua ilman, että yritysjohto tekee päätöksen kyberriskien ottamisesta hallintaan. Yrityksen johtoryhmän on valittava ja päätettävä käytännöllinen lähestymistapa, jolla tuotannon kyberturvallisuuteen liittyvät riskit saadaan hallintaan.

Hallintatoimien tulee olla kattavia ja suunnitelmallisia. Ensin voidaan arvioida muutamien tärkeimpien tuotantoyksiköiden kyberriskit ja pohtia niiden tarvittavia suojaustoimia systemaattisen menettelyn avulla. Joitakin parannustoimenpiteitä voidaan yleensä ottaa käyttöön hyvin nopeallakin aikataululla, mutta työläämmät voivat vaatia erillisiä kehityshankkeita.

Kyberriskien hallintamalli

Kyberriskien hallitsemiseksi tarvitaan hallintamalli, jossa oleellista on johtoryhmätasoinen turvallisuustyön johtaminen. Valittujen tuotantoyksiköiden kyberturvallisuuden nykytila selvitetään ensin esim. yleiskartoituksen avulla.

Mikäli näköpiirissä on uusia tuotantoyksiköiden hankintoja, merkittäviä automaatiojärjestelmien uusintoja tai muita merkittäviä muutostöitä, kannattaa näihin muutostarpeisiin liittyvät kyberturvallisuustekijät selvittää perusteellisesti etukäteen.

Mikäli kyberturvallisuuden kehittäminen tällä tavoin tuntuu toimivalta ja turvalliselta, niin yritykselle räätälöidyn riskienhallintamallin mukaiset menettelytavat voidaan jatkossa ottaa käyttöön muissakin liiketoiminnoissa ja tuotantoyksiköissä.

Uhkatyöpajat

Valittujen tuotantoyksiköiden tai liiketoiminta-alueiden kyberuhat arvioidaan erillisissä uhkatyöpajoissa. Uhkatyöpajoissa tunnistetaan yleensä tärkeimmät uhkaskenaariot ja analysoidaan ne eri näkökulmista. Tarvittaessa määritellään myös kohteen kyberuhkaprofiili, joka kartoittaa kyseistä kohdetta uhkaavat tekijät.

Riskianalyysityöpajat

Kun kyberuhat on saatu tunnistettua ja analysoitua, käynnistetään varsinaiset riskityöpajat, joissa (kohteen) kyberriskejä analysoidaan ja hallitaan kokonaisvaltaisesti.

Riskityöpajoissa päätavoitteena on analysoida kohdeyksikön kyberturvallisuusriskejä, hallita kyseisiä riskejä, sekä päättää suojauskäytännöistä tarvittaville osa-alueille.

Siirry PALVELUTUOTTEET-sivulle

Kyberriskien hallinnan toimenpiteitä

Kyberriskien analysointiin ja hallintaan sisältyy useita varsin välttämättömiä toimenpiteitä:

  • Todennäköisyysarvot: Määritellään uhkien/riskien todennäköisyysasteikko.
  • Vaikutuskriteeristö: Kuvataan uhkien/riskien vaikutuskriteerit ja -asteikot.
  • Hyväksyttävä riskitaso: Kuvataan miten riskitaso lasketaan ja määritellään hyväksyttävä riskitaso.
  • Hallintatoimenpiteet: Määritellään pääasialliset riskien hallintatoimenpiteet.
  • Uhkaprofiili: Määritellään ja analysoidaan tärkeimmät ”kyberhyökkääjät”.
  • Riskianalyysi: Analysoidaan kohteen tärkeimmät hyökkäysskenaariot.
  • Riskirekisteri: Hallinnoidaan kohteen tärkeimpiä kyberuhkia ja -riskejä.

Referenssit

Kyberriskien hallintaa olemme kuvanneet mm. Suomen Automaatioseuran uudessa Automaation tietoturva – Kriittisen tuotannon turvaaminen -kirjassa.

Lisäksi olemme toteuttaneet toimeksiantoina useita kyberriskien analysointi- ja hallintaprojekteja teollisuusyrityksille, jotka sisälsivät kyberuhkien yleiskartoituksia, räätälöityjä uhka-analyysejä ja kyberriskirekisterin käyttöönottoja!

Siirry Etusivulle