17 December 2018

Riskianalüüsil põhinev turvalisus

Hetkel on RIA poolt tugev plaan muuta kogu info- ja küberturve riskihinnangutel põhinevaks. Seega jätkame sealt, kus pooleli jäime: a) Küberturvalisuse seadus ja b) ISKE.

Riskianalüüsi metoodika väga lühidalt kirja panduna oleks selline:

  1. Kirjelda riskianalüüsi aluseks olev objekt (IT-seadmed, varad, protsessid vms);
  2. Pane kirja sellele objektile võimalikult mõjuvad ohud;
  3. Pane kirja selle objekti ohtudele vastavad nõrkused;
  4. Hinda iga ohu realiseerumise tõenäosust;
  5. Hinda iga ohu realiseerumise mõju;
  6. Funktsioon tõenäosusest ja mõjust annab võimaliku riski suuruse (funktsioon võib olla korrutis või summa või midagi muud, näiteks vastavustabel).
Sealt edasi tuleks juba hakata nende riskidega tegelema. Võimalikke tegutsemismeetodeid on neli:
  1. Riski ei võeta (vastavaid seadmeid ei soetata, protsesse ei juurutata jne);
  2. Risk jagatakse (kindlustus, leppetrahvid vms);
  3. Võetakse kasutusele turvameetmed;
  4. Risk aktsepteeritakse.
Küberturvalisuse seadus näeb ette, et iga teenuse pakkuja või KOV või arstiteenuse pakkuja peaks tegema riskianalüüsi. Vastava metoodika on Ettevõtlus- ja tehnoloogiaminister kehtestanud oma määrusega

Iseenesest on lahendus olemas aga mis selle juures on nõrgad kohad? Eestis ei ole just väga palju inimesi, kes igapäevaselt riskihaldusega tegelevad. Kehvemal juhul juhtub nii, et mõni direktor või vallavanem viskab selle oma töökeskkonna voliniku lauale ja laseb tollel riskianalüüsi valmis teha. Loogika on siin lihtne - töökeskkonna volinik teeb töökeskkonna riskianalüüse, asi siis veel üks riskianalüüs valmis teha.

Kui nüüd loota, et riskianalüüsi võetakse tõsiselt, siis satume järgmiste probleemide otsa:
  1. Kuskohast võtta võimalike ohtude loend? Kui hakata ise välja mõtlema, siis võib mõni oht lihtsalt teadmatusest või mis iganes muul põhjusel ununeda.
  2. Kuskohast võtta nõrkuste loend? Hetkel on ISKE mitterakendamise põhjenduseks toodud selle keerukus. Isiklikult minu arvates on tegelikult eksisteerivate nõrkuste hindamine veelgi keerulisem.
  3. Kuskohast võtta realiseerumise tõenäosus? USA-s, Brittidel, Kanadas ja veel mõnes kohas on olemas vastavad tabelid aga Eestis on nendega natuke keeruline hakkama saada - seal pole kõiki ohte (n. ID-kaardiga seonduvad) ja samuti kipuvad riski tasemed olema riigiti üsna spetsiifilised. 
Kõige lihtsam lahendus oleks, kui RIA hakkab avaldama vastavaid loendeid ning riski realiseerumis statistikat. Samas ei muudaks see lõppkokkuvõttes kogu süsteemi haldust või rakendamist lihtsamaks. Lisaks pole küberintsidentide registrist lubatud statistikat välja anda, vähemalt ei ole küberturvalisuse seaduses selle kohta midagi öeldud ning registri põhimäärus on jätkuvalt kehtestamata...

Üldiselt arvaks ma hetkel nii, et kui hetkel peaks hakkama riskipõhiselt lähenema (küberturvalisuse seadus seda võimaldab), siis ülima tõenäosusega hinnatakse riskid nii alla kui võimalik, peaasi et mingeid lisategevusi ei peaks tegema. 

Vaatame, kuidas edasi hakkab minema :) 
Posted by at No comments:
Subscribe to: Posts (Atom)