Uhkien mallinnus kannattaa

Uhkamallinnus on pätevä työkalu, jota voidaan käyttää riskienhallinnan apuna erilaisten uhkien tunnistamiseen. Tämä käy ilmi Jyväskylän ammattikorkeakoulun kyberturvallisuuden koulutusohjelman opinnäytetyöstä, jonka Juuso Selin teki osana ylempää AMK-tutkintoaan. Opinnäytetyössään Selin tutki ja vertaili olemassa olevia uhkamallinnusmenetelmiä ja -tapoja. Työ palkittiin 7.11.2019 Tietoturva ry:n Vuoden parhaana tietoturva-aiheisena opinnäytetyönä ylempien korkeakoulututkintojen sarjassa.

Digitaalisessa maailmassa paitsi liiketoiminta, myös julkiset palvelut nojaavat yhä useammin tietoverkkoihin ja -järjestelmiin, joissa käsitellään, siirretään ja säilötään tietoa, jonka vuotaminen ulkopuolisille tahoille voi aiheuttaa mielipahaa, taloudellista vahinkoa ja vakavimmillaan jopa uhata yhteiskunnan toimintoja tai yksittäisen kansalaisen terveyttä. Järjestelmät ovat haavoittuvia erilaisille arkaluontoisen tiedon saatavuuteen, luottamuksellisuuteen ja eheyteen liittyville uhkille, joiden määrä, monimutkaisuus ja haittavaikutus kasvavat samalla kun järjestelmiin luodaan uusia, liiketoiminnan edellyttämiä ominaisuuksia, jotka altistavat järjestelmän jälleen uusille hyökkäyksille. Ohjelmistot ja tietoliikenne ovat entistä kiinteämpi osa uusissa tuotteissa ja palveluissa. Älytoiminnot lisääntyvät myös perinteisesti yksinkertaisina pidetyissä tuotteissa, eikä valmistajilla välttämättä ole ennestään kokemusta näiden uusien ominaisuuksien mukanaan tuomista riskeistä.

Uhkamallinnuksen hyödyt

Vaikka uhkamallinnus liitetään usein ohjelmistokehityksen työvaiheeksi, tulisi sen kuitenkin olla osa kokonaisvaltaista riskienhallintaa, sillä suojautuminen erilaisia uusia uhkia vastaan edellyttää, että organisaatio kykenee tunnistamaan uhkat etukäteen. Uhkien tunnistaminen mahdollisimman aikaisessa vaiheessa vähentää kalliiden muutostöiden tarvetta tuotteen, ohjelmiston tai palvelun arkkitehtuurissa sekä helpottaa ongelmien korjaamista. Uhkamallinnuksen käyttö organisaatiossa tarjoaa erilaisia hyötyjä eri organisaatiotasoille. Järjestelmätasolla systemaattinen uhkamallinnus motivoi ja kouluttaa kehittäjiä ja ylläpitäjiä toteuttamaan turvallisempia tuotteita ja järjestelmiä. Liiketoimintatasolla organisaation arkkitehtuurien ja prosessien kriisinkestävyyttä voidaan parantaa etukäteen uhkamallinnuksesta saatujen tietojen perusteella. Uhkien ja kokemusten jakaminen parantaa organisaatioiden ja viranomaisten välistä yhteistyötä ja auttaa myös organisaatioiden välisten toipumisharjoitusten suunnittelussa.

Erilaisia lähestymistapoja

Uhkamallinnus on siis riskienhallinnan työkalu erilaisten uhkien tunnistamiseen. Selin käyttää opinnäytetyössään neljää eri lähestymistapaa uhkamallinnusmenetelmien jaotteluun. Ensimmäisessä lähestymistavassa tunnistetaan organisaation tärkein omaisuus ja siihen liittyvät mahdolliset ongelmat, uhkat ja vaikutukset (asset- and impact-centric), toisessa tavassa tunnistetaan mahdolliset hyökkääjät ja niiden aiheuttamat uhkat sekä hyökkääjiin liittyvät ominaisuudet kuten tietotaito, motivaatio, resurssit, kyvykkyys sekä niiden väliset suhteet (attack/attacker- and threat-centric). Kolmas lähestymistapa pyrkii tunnistamaan mahdolliset haavoittuvuudet järjestelmien ja ohjelmistojen suunnittelu- ja kehitystyössä eli sen, miten järjestelmä tai ohjelma toimii ja miten sitä voidaan käyttää väärin joko vahingossa tai tahallaan (software- and system-centric). Neljäs lähestymistapa keskittyy organisaatiolle tärkeän tiedon ja erilaisten tietotyyppien tunnistamiseen sekä siihen, missä tietoa säilytetään, siirretään ja prosessoidaan (data-centric).

Paljon vaihtoehtoja

Selin tarkasteli kirjallisuuskatsauksen avulla 18 olemassa olevaa uhkamallinnusmenetelmää ja -viitekehystä sekä arvioi niiden soveltuvuutta eri tarpeisiin. Tarkoituksena oli selvittää, onko olemassa yhtä riittävän laajaa ja monipuolista uhkamallinnusmenetelmää, joka kattaisi erilaiset tarpeet. Kirjallisuuskatsauksen tuloksena syntyneen johtopäätöksen mukaan yksikään tutkittu menetelmä ei suoraan sovellu kaikkiin mahdollisiin käyttötapauksiin, sillä jokainen menetelmä on kehitetty alun perin vastaamaan tiettyä tarvetta. Vaikka monet tutkituista menetelmästä on tarkoitettu lähtökohtaisesti ohjelmistokehityksen tarpeisiin, menetelmiä on mahdollista muokata omiin tarpeisiin sopiviksi ja niitä voi yhdistellä, jolloin uhkamallinnukseen saadaan kattavampi läpileikkaus mahdollisista uhkista ja hyökkääjistä. Onnistunut menetelmien yhdisteleminen edellyttää kuitenkin ymmärrystä eri tekniikoista ja niiden vahvuuksista ja heikkouksista.

Keskeiset termit ja niiden väliset suhteet. Kuva Juuso Selin

Kirjallisuuskatsauksen johtopäätökset vahvistettiin tapaustutkimuksella, johon sisältyi 12 eri alojen asiantuntijan haastattelut. Haastattelut sisälsivät kysymyksiä erääseen järjestelmään liittyvistä uhkista, hyökkääjistä sekä haavoittuvuuksista. Tapaustutkimuksessa havaittiin, että uhkamallinnus auttaa löytämään myös sellaisia uhkia, joita ei muuten välttämättä löydetä. Näin ollen uhkamallinnusta voidaan tulosten perusteella pitää hyvänä ja tarpeellisena riskienhallinnan työkaluna. Selin antaa työn aikana esille nousseita hyviä käytänteitä sekä listaa eri menetelmien hyviä ja huonoja puolia. Yksi työn tavoitteista olikin tarjota yleisiä ohjeita, joiden avulla uhkamallinnuksen voi ottaa organisaatiossa käyttöön sekä viitoittaa lähteitä, joista kiinnostuneet saavat lisätietoa.

Opinnäytetyö on saatavissa verkossa Theseus-palvelussa (http://urn.fi/URN:NBN:fi:amk-2019060615264). Työ palkittiin 7.11.2019 Tietoturva ry:n Vuoden parhaana tietoturva-aiheisena opinnäytetyönä ylempien korkeakoulututkintojen sarjassa.

Teksti: Juuso Selin