Kvantitatiivinen kyberriskien arviointi NIS2:n ja DORA:n näkökulmasta
Hallituksen kokous, jossa “korkea riski” ei enää riittänyt
On tiistaiaamu klo 08.15. Nopeasti kasvavan fintech-yhtiön tietoturvajohtaja seisoo hallitushuoneen ulkopuolella mukanaan kolme versiota samasta kyberriskitarinasta.
Ensimmäinen versio on tuttu: kiristyshaittaohjelmariski on “korkea”, pilvipalvelun käyttökatkoriski on “korkea”, toimittajan vaarantumisriski on “keskitaso” ja etuoikeutettujen käyttöoikeuksien väärinkäytön riski on “korkea”. Se on puolustettavissa, linjassa nykyisen riskirekisterin kanssa ja lähes hyödytön sen päätöksen kannalta, joka hallituksen on tehtävä.
Toinen versio on tekninen tiekartta: ota käyttöön muuttumattomat varmuuskopiot, paranna identiteetin hallintakontrolleja, rahoita häiriönsietokyvyn testaus, vahvista toimittajien seurantaa ja laajenna lokituksen kattavuutta. Se on järkevä, mutta talousjohtaja esittää kysymyksen, joka muuttaa kokouksen suunnan: “Mikä näistä vähentää eniten liiketoimintariskiä yhtä euroa kohden?”
Kolmas versio muuttaa keskustelun.
Maksujen orkestrointialustan 12 tunnin käyttökatkon arvioitu kokonaisvaikutus toimintaan, sopimuksiin ja liikevaihtoon on €620,000. Nykyiseksi vuotuiseksi altistukseksi arvioidaan €186,000. €74,000:n häiriönsietokykypaketti voi pienentää odotetun vuotuisen tappion noin €62,000:een. Jäljelle jäävä altistus ylittää silti riskinsietorajan, koska palvelu tukee kriittistä tai tärkeää toimintoa, asiakkaiden ilmoittamiseen liittyvä altistus on edelleen olennainen ja kolmannen osapuolen riippuvuus on korkea.
Nyt hallitus ei keskustele väreistä. Se keskustelee taloudellisesta altistuksesta, riskinsietokyvystä, sääntelyyn liittyvästä vastuusta ja investointien priorisoinnista.
Tätä on kvantitatiivinen kyberriskien arviointi vuonna 2026. Se ei ole matemaattista teatteria. Se ei teeskentele, että kybertapahtumat voitaisiin ennustaa täydellisellä tarkkuudella. Se on kurinalainen käännös lauseesta “tämä on punainen” muotoon “tämä on uskottava taloudellinen altistus, tämä on luottamustaso, tämä on sääntelyseuraus, tämä on käsittelypäätös ja tämä on todentava auditointijälki”.
Tietoturvajohtajille, vaatimustenmukaisuuspäälliköille, auditoijille ja liiketoiminnan omistajille tästä muutoksesta on käytännössä tulossa pakollinen. ISO/IEC 27001:2022 edellyttää dokumentoitua, johdonmukaista ja vertailukelpoista riskien arviointi- ja käsittelyprosessia. NIS2 siirtää kyberturvallisuusriskin johtoelimen hyväksynnän, valvonnan, koulutuksen ja vastuun piiriin. DORA nostaa ICT-riskien hallinnan, häiriönsietokyvyn testauksen, poikkeamien luokittelun, kolmansien osapuolten riskin ja johdon vastuun keskeisiksi vaatimuksiksi finanssialan toimijoille. NIST CSF 2.0 antaa johdolle hallinnointikielen riskinottohalukkuudelle, priorisoinnille ja valvonnalle. GDPR lisää osoitusvelvollisuuden, kun henkilötiedot ovat mukana.
Ongelma ei ole se, että organisaatioilta puuttuisi riskirekistereitä. Ongelma on se, että monet riskirekisterit eivät pysty selittämään rahaa, prioriteetteja, hallituksen vastuuta tai auditointinäyttöä.
Clarysecin lähestymistapa sulkee tämän aukon yhdistämällä Zenith Blueprint: auditoijan 30-vaiheinen tiekartta Zenith Blueprint, Clarysecin politiikat ja Zenith Controls: vaatimustenmukaisuuden ristiinkartoitusopas Zenith Controls yhdeksi käytännölliseksi näyttömalliksi: kvantifioi olennaiset asiat, kartoita ne kontrolleihin, osoita kuka hyväksyi ne ja todenna, että käsittely toimi.
Miksi laadulliset riskirekisterit eivät enää riitä
Laadullinen riskien arviointi on edelleen tärkeää. Selkeä todennäköisyys- ja vaikutusmatriisi auttaa tiimejä priorisoimaan, kun tietoa on puutteellisesti, erityisesti laajassa ISMS:n soveltamisalassa. Ongelma alkaa, kun organisaatio jää tähän.
Hallitus voi ymmärtää, että riski on “korkea”, mutta sen on vaikea vertailla kolmea “korkeaa” riskiä, jotka kilpailevat samasta budjetista. Onko tärkein prioriteetti kiristyshaittaohjelmaskenaario, pilvipalvelun käyttökatko, toimittajakeskittymäriski vai etuoikeutettujen käyttöoikeuksien heikkous? Vastaus riippuu taloudellisesta altistuksesta, sääntelyn vakavuudesta, asiakasvaikutuksesta, sopimusvelvoitteista, palvelun kriittisyydestä ja käsittelyn jälkeisestä jäännösriskistä.
Siksi kvantitatiivinen kyberriskien arviointi toimii parhaiten hybridimallina. Älä kvantifioi jokaista vähäistä asiaa. Käytä laadullista pisteytystä koko rekisterissä ja lisää taloudellinen analyysi niille riskeille, jotka edellyttävät johdon päätöksiä, investointihyväksyntää, sopimustoimia, riskin siirtoa tai hallituksen valvontaa.
Clarysecin Enterprise Riskienhallintapolitiikka Riskienhallintapolitiikka tukee tätä nimenomaisesti. Kohdassa “Politiikan toteutusvaatimukset”, lausekkeessa 6.2.3, todetaan:
“Sekä laadullisia että kvantitatiivisia menetelmiä voidaan soveltaa riskiluokan ja käytettävissä olevan tiedon mukaan.”
Tämä lauseke on tärkeä, koska se estää yleisen epäonnistumisen: näennäistarkkuuden. Kypsät organisaatiot eivät pakota taloudellista mallinnusta jokaiseen pieneen riskiin. Ne soveltavat sitä siellä, missä päätös sitä edellyttää.
Pk-yrityksissä perusta voi pysyä yksinkertaisena. Clarysecin SME Riskienhallintapolitiikka Riskienhallintapolitiikka - SME, kohdassa “Hallinnointivaatimukset”, lausekkeessa 5.1.2, todetaan:
“Jokaisen riskimerkinnän tulee sisältää: kuvaus, todennäköisyys, vaikutus, pisteytys, omistaja ja riskienkäsittelysuunnitelma.”
Parannus ei ole tämän rakenteen korvaaminen. Parannus on tärkeimpien merkintöjen rikastaminen taloudellisilla arvioilla, erityisesti silloin, kun kyse on käyttökatkoista, säännellyistä palveluista, henkilötiedoista, pilviriippuvuudesta, ICT-ulkoistuksesta tai kriittisistä asiakassitoumuksista.
Hallinnointimuutos: kyberriskistä on tullut hallituksen käsiteltävä näyttöaineisto
Kyberriskin kvantifiointi ei ole vain talousharjoitus. Se on hallinnointinäyttöä.
ISO/IEC 27001:2022:n mukaan organisaation on määritettävä toimintaympäristö, sidosryhmät, lakisääteiset ja sopimusperusteiset vaatimukset, soveltamisala, rajapinnat ja riippuvuudet. Sen on määriteltävä tietoturvariskien arviointiprosessi, joka tuottaa johdonmukaisia, päteviä ja vertailukelpoisia tuloksia. Sen on tunnistettava luottamuksellisuuteen, eheyteen ja saatavuuteen kohdistuvat riskit, nimettävä riskinomistajat, arvioitava seuraukset ja todennäköisyys, määritettävä riskitasot ja priorisoitava riskit. Tämän jälkeen sen on valittava käsittelyvaihtoehdot, määritettävä kontrollit, verrattava niitä liite A:han, laadittava soveltuvuuslausunto, hankittava riskinomistajan hyväksyntä ja säilytettävä dokumentoidut tiedot.
Tämä tarkoittaa, että riskirekisteri ei ole tietoturvatiimin yksityinen laskentataulukko. Se on ISMS-tallenne, joka yhdistää johdon, kontrollien valinnan, käsittelyn vastuun ja johdon katselmoinnin.
NIS2 nostaa odotuksia edelleen. Keskeisten ja tärkeiden toimijoiden johtoelinten on hyväksyttävä kyberturvallisuuden riskienhallintatoimenpiteet, valvottava niiden toteutusta ja saatava koulutusta, jotta ne ymmärtävät riskit ja pystyvät arvioimaan kyberturvallisuuskäytäntöjä. NIS2 Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä ottaen huomioon tekniikan tason, toteutuskustannukset, riskialtistuksen, toimijan koon, todennäköisyyden, vakavuuden sekä yhteiskunnallisen ja taloudellisen vaikutuksen.
Ilmaus “yhteiskunnallinen ja taloudellinen vaikutus” on kohta, jossa kyberriskin taloudellisesta kvantifioinnista tulee vaikuttavaa. Pilvipalveluja, datakeskuksia, DNS-palveluja, luottamuspalveluja, hallinnoituja palveluja, hallinnoituja tietoturvapalveluja, digitaalista infrastruktuuria, verkkomarkkinapaikkoja tai muita soveltamisalaan kuuluvia sektoreita tukeva palveluntarjoaja voi joutua osoittamaan paitsi, että kontrollit ovat olemassa, myös miksi ne ovat oikeassa suhteessa altistukseen.
Finanssialan toimijoihin DORA:a sovelletaan 17. tammikuuta 2025 alkaen, ja siitä tulee sektorikohtainen digitaalisen operatiivisen häiriönsietokyvyn sääntelykehys. Se kattaa ICT-riskien hallinnan, merkittävien ICT:hen liittyvien poikkeamien raportoinnin, digitaalisen operatiivisen häiriönsietokyvyn testauksen, kyberuhkatietojen jakamisen, ICT-palveluihin liittyvän kolmansien osapuolten riskin sekä kriittisten ICT-palveluja tarjoavien kolmansien osapuolten valvonnan. Finanssialan toimijoille, jotka on myös tunnistettu NIS2:n kansallisen täytäntöönpanon perusteella, DORA toimii sektorikohtaisena unionin säädöksenä asiaankuuluvissa ICT-riskien hallintaa ja poikkeamaraportointia koskevissa asioissa.
Käytännössä fintech-yhtiö ei tarvitse viittä toisistaan irrallista riskiviitekehystä. Se tarvitsee yhden integroidun riskimallin, joka osoittaa, mitä sääntelykehystä sovelletaan, mitä riippuvuuksia on olemassa, millainen taloudellinen altistus on uskottava ja miten johto hyväksyi ja seurasi käsittelyä.
GDPR lisää vielä yhden kerroksen. Jos henkilötiedot ovat mukana, kybertapahtumasta voi tulla henkilötietojen tietoturvaloukkaus eikä pelkkä operatiivinen poikkeama. Riskimallin tulisi tunnistaa käsittelyn konteksti, rekisterinpitäjän tai henkilötietojen käsittelijän rooli, tietoluokat, tarvittaessa erityisiin henkilötietoryhmiin kuuluvat tiedot, turvatoimet, loukkauksen arviointilogiikka ja ilmoitusvaikutukset.
Lämpökartasta euroihin: käytännöllinen hybridimalli
Oikea kysymys ei ole “pitäisikö laadullinen riskien arviointi korvata?” Oikea kysymys on “mitkä riskit ansaitsevat taloudellisen kvantifioinnin?”
Zenith Blueprint, riskienhallintavaiheen vaihe 12, “Riskienarviointimenetelmät: laadullinen ja kvantitatiivinen”, antaa käytännönläheisen vastauksen:
“Kvantitatiivinen riskien arviointi pyrkii arvioimaan riskiä numeerisesti (esim. odotettu vuotuinen tappio valuuttamääräisenä). Tämä sisältää usein:
✓ Historiallisten poikkeamatietojen keräämisen (esim. kuinka usein loukkaus tapahtuu ja mikä on sen keskimääräinen kustannus). ✓ Mallien, kuten vuotuisen odotetun tappion (ALE = yksittäisen vahingon vaikutus × vuotuinen tapahtumatiheys), tai FAIRin (Factor Analysis of Information Risk) kaltaisten viitekehysten käyttämisen monimutkaisempaan analyysiin.”
Sama vaihe varoittaa, että puhdas kvantitatiivinen analyysi voi olla pk-yrityksille vaikeaa, koska historiallista tietoa voi olla rajallisesti ja prosessi voi vaatia paljon resursseja. Käytännön vastaus on kevyt kvantitatiivinen analyysi merkittävimmille riskeille.
| Elementti | Käytännön merkitys | Esimerkki |
|---|---|---|
| Yksittäisen vahingon vaikutus | Arvioitu vaikutus, jos skenaario toteutuu kerran | €620,000 maksualustan 12 tunnin käyttökatkosta |
| Vuotuinen tapahtumatiheys | Arvioitu vuosittainen esiintymistiheys | 0.3, eli suunnilleen kerran 3,3 vuodessa |
| Vuotuinen odotettu tappio | Yksittäisen vahingon vaikutus kerrottuna vuotuisella tapahtumatiheydellä | €186,000 odotettu vuotuinen altistus |
| Käsittelykustannus | Kontrollipaketin kustannus | €74,000 vikasiirtoratkaisuihin, seurantaan ja testaukseen |
| Jäännöksenä jäävä vuotuinen odotettu tappio | Arvioitu vuotuinen altistus käsittelyn jälkeen | €62,000 |
| Päätös | Käsittele, siirrä, vältä tai hyväksy | Käsittele ja katselmoi jäännösriski johdon katselmoinnissa |
Lukujen ei tarvitse olla täydellisiä. Ne on pystyttävä selittämään. Vaikutusoletuksiin voi sisältyä liikevaihdon menetys, SLA-hyvitykset, asiakaskorvaukset, tietoturvapoikkeamiin reagointi, oikeudellinen neuvonta, forensinen tuki, ylityöt, asiakastuki, viranomaisilmoituksiin liittyvä työ, asiakaspoistuma ja mainevaikutus. Taajuusoletukset voivat perustua sisäisiin poikkeamiin, toimittajien käyttökatkoraportteihin, uhkatiedusteluun, sektorikokemukseen, haavoittuvuuksien altistukseen, auditointihavaintoihin ja kontrollien kypsyystasoon.
Zenith Blueprint, riskienhallintavaiheen vaihe 10, “Riskikriteerien ja vaikutusmatriisin määrittäminen”, selittää, miksi malli on kalibroitava:
“Vaikutusta määritettäessä tasot kannattaa suhteuttaa omaan liiketoiminnan mittakaavaan. Esimerkiksi ‘merkittävä taloudellinen vaikutus = tappio > $100k’ (mukauta omaan kontekstiisi). Huomioi myös sääntelyvaikutus: esimerkiksi henkilötietojen tietoturvaloukkaus voi automaattisesti olla ‘merkittävä’ tai ‘vakava’ GDPR-sakkojen ja ilmoitusvaatimusten vuoksi, vaikka suora taloudellinen tappio olisi epäselvä.”
Tämä on silta laadullisen ja kvantitatiivisen riskin välillä. “Merkittävä” muuttuu merkitykselliseksi vasta, kun organisaatio määrittelee, mitä merkittävä tarkoittaa taloudellisesti, operatiivisesti, oikeudellisesti ja asiakkaan näkökulmasta.
Esimerkkitapaus: toimittajan pilvipalvelun käyttökatkoriskin kvantifiointi
Kuvitellaan SaaS-palveluntarjoaja, joka palvelee finanssialan asiakkaita. Se on riippuvainen pilvipalveluntarjoajasta, hallinnoidusta tietokanta-alustasta, maksuvälityspalvelusta ja asiakasviestintäpalvelusta. Tiimi valitsee kvantitatiiviseen analyysiin yhden skenaarion:
“Hallinnoidun tietokanta-alustan pitkittynyt käyttökatko aiheuttaa asiakkaille näkyvän palveluhäiriön ja viivästyttää tapahtumien käsittelyä.”
Vaihe 1: määritä riskiskenaario ja omistaja
SME Riskienhallintapolitiikka edellyttää kuvausta, todennäköisyyttä, vaikutusta, pisteytystä, omistajaa ja riskienkäsittelysuunnitelmaa. Enterprise Riskienhallintapolitiikka, kohdassa “Hallinnointivaatimukset”, lausekkeessa 5.2.2, lisää, että rekisteri:
“Sisältää riskinomistajat, vaikutus- ja todennäköisyyspisteet, riskienkäsittelysuunnitelmat, määräajat ja kontrolliviitteet”
Omistaja ei ole “IT”. Vastuunalainen omistaja on palveluomistaja, jota tukevat tietoturvajohtaja, CTO, vaatimustenmukaisuuspäällikkö, toimittajahallinnasta vastaava henkilö ja taloushallinto.
Vaihe 2: arvioi taloudellinen altistus
Tiimi arvioi:
- €35,000 tunnissa menetettynä tapahtumaliikevaihtona ja SLA-hyvityksinä
- €8,000 tunnissa tukena, eskalointina ja poikkeamien käsittelykustannuksina
- €60,000 asiakkaiden korjaavina toimenpiteinä ja viestintäkustannuksina
- €120,000 mahdollisena asiakaspoistumana tai kaupallisena vaikutuksena
- 10 tuntia uskottavana vakavana käyttökatkona toimittajahistorian ja arkkitehtuurikatselmoinnin perusteella
Yksittäisen vahingon vaikutus on:
10 × (€35,000 + €8,000) + €60,000 + €120,000 = €610,000
Nykyiseksi todennäköisyydeksi arvioidaan 0.25 vuodessa. Vuotuinen odotettu tappio on:
€610,000 × 0.25 = €152,500
Ehdotettu käsittelypaketti sisältää monialueisen vikasiirtosuunnittelun, testatun varmuuskopioiden palautuksen, toimittajan SLA-katselmoinnin, synteettisen valvonnan, pöytäharjoituksen ja exit-suunnitelman päivityksen. Ensimmäisen vuoden kustannus on €82,000 ja toistuva kustannus €34,000.
Käsittelyn jälkeen jäännöstodennäköisyydeksi arvioidaan 0.10 vuodessa ja jäännöksenä jääväksi yksittäisen vahingon vaikutukseksi €350,000 nopeamman palautuksen vuoksi. Jäännös-ALE on:
€350,000 × 0.10 = €35,000
Ensimmäisen vuoden odotetun vuotuisen altistuksen vähennys on noin €117,500 ennen sääntelyyn liittyvän häiriönsietokyvyn, asiakkaiden luottamuksen ja sopimushyötyjen huomioimista.
Vaihe 3: valitse käsittely ja dokumentoi perustelu
Riskien käsittely ei aina ole pelkkää lieventämistä. Clarysecin SME Riskienhallintapolitiikka, kohdassa “Politiikan toteutusvaatimukset”, lausekkeessa 6.1.3, toteaa:
“Siirto: Käytä sopimuksia, palvelutasosopimuksia tai vakuutuksia riskin siirtämiseksi ulkoisesti.”
Tässä skenaariossa organisaatio valitsee yhdistetyn käsittelyn: vähentäminen teknisen häiriönsietokyvyn avulla, osittainen siirto SLA:n ja sopimusperusteisten oikeussuojakeinojen kautta sekä jäännösriskin hyväksyminen johdon hyväksynnällä.
Vaihe 4: kartoita käsittely soveltuvuuslausuntoon
Enterprise Riskienhallintapolitiikka, kohdassa “Soveltuvuuslausunnon (SoA) yhdenmukaistaminen”, lausekkeessa 6.5.1, toteaa:
“Riskienkäsittelyprosessista johtuvien kontrollipäätösten tulee näkyä SoA:ssa.”
Tässä taloudellisesta mallista tulee auditointivalmista näyttöä. Toimittajan käyttökatkoskenaario linkittyy ISO/IEC 27001:2022 liite A:n toimittaja-, pilvi-, jatkuvuus-, poikkeama- ja häiriökontrolleihin. Se linkittyy myös NIS2:n toimitusketjun tietoturvaan ja liiketoiminnan jatkuvuuteen, DORA:n ICT-palveluihin liittyvään kolmansien osapuolten riskiin ja häiriönsietokyvyn testaukseen, GDPR:n turvallisuuteen ja loukkausarviointiin, jos henkilötietoihin kohdistuu vaikutuksia, sekä NIST CSF:n hallinnointi-, toimitusketju-, reagointi- ja palautumistuloksiin.
Zenith Blueprint, riskienhallintavaiheen vaihe 13, “Riskienkäsittelyn suunnittelu ja soveltuvuuslausunto”, selittää jäljitettävyyden:
“SoA on käytännössä siltadokumentti: se linkittää riskien arvioinnin ja käsittelyn käytössä oleviin kontrolleihin. Sen täyttäminen auttaa myös tarkistamaan, onko jokin kontrolli jäänyt huomaamatta.”
Vahva SoA-perustelu voisi olla: “Sovellettava, koska hallinnoidun tietokannan käyttökatko vaikuttaa kriittiseen asiakaspalveluun, ICT-palveluihin liittyvään kolmannen osapuolen riippuvuuteen, asiakkaisiin kohdistuviin sopimusvelvoitteisiin, jatkuvuussitoumuksiin ja mahdolliseen henkilötietojen saatavuuteen. Kontrollit valitaan kvantifioidun €152,500:n vuotuisen altistuksen vähentämiseksi ja johdon hyväksymän jäännösriskin tukemiseksi.”
Vaihe 5: eskaloi kynnysarvojen perusteella
Enterprise Riskienhallintapolitiikka, kohdassa “Hallinnointivaatimukset”, lauseke 5.6, edellyttää:
“Riskivaltuusmatriisin tulee määrittää selkeästi eskalointikynnykset ylimmälle johdolle tai hallitukselle.”
€152,500:n vuotuinen altistus voi ylittää paikallisen johdon riskinsietorajan. Pienempiarvoinenkin riski voi silti edellyttää eskalointia, jos se vaikuttaa kriittiseen tai tärkeään toimintoon, laukaisee DORA-odotuksia, koskee henkilötietoja, uhkaa asiakassitoumuksia tai luo NIS2:n mukaisen johtoelimen vastuun.
Vaatimustenmukaisuuden ristiinkartoitus: yksi kvantifioitu riski, monta velvoitetta
Kvantifioitua kyberriskiä ei pidä kopioida viiteen erilliseen vaatimustenmukaisuuden laskentataulukkoon. Siitä tulisi muodostaa yksi riskiobjekti, jolla on useita vaatimustenmukaisuusnäkymiä.
| Vaatimustenmukaisuusnäkökulma | Mitä kvantifioidun riskin on osoitettava | Näyttöaineisto |
|---|---|---|
| ISO/IEC 27001:2022 | Riskikriteerit, omistaja, todennäköisyys, seuraus, käsittely, jäännösriskin hyväksyntä, SoA-kartoitus ja operatiivinen näyttö | Riskirekisteri, riskienkäsittelysuunnitelma, SoA, johdon katselmointi, auditointitallenteet |
| NIS2 | Asianmukaiset ja oikeasuhteiset toimenpiteet, johtoelimen hyväksyntä ja valvonta, poikkeama- ja jatkuvuusnäkökohdat, toimitusketjutoimenpiteet | Hallitusmateriaalit, koulutussuoritustiedot, riskienkäsittelyn hyväksynnät, poikkeamatyönkulku |
| DORA | ICT-riskien hallinnointi, kriittiset tai tärkeät toiminnot, ICT-palveluihin liittyvät kolmansien osapuolten riippuvuudet, testaus, poikkeamien luokittelu ja häiriönsietokyvyn strategia | ICT-riskien viitekehys, tietorekisteri, testitulokset, poikkeamien luokittelu, exit-suunnitelma |
| GDPR | Henkilötietojen soveltamisala, turvatoimet, loukkausvaikutukset, rekisterinpitäjän tai henkilötietojen käsittelijän osoitusvelvollisuus, lainmukaisen käsittelyn konteksti | RoPA-yhteys, tarvittaessa DPIA, loukkausarviointi, tietoturvanäyttö |
| NIST CSF 2.0 | Riskinottohalukkuus, vakioitu priorisointi, hallinnointi, toimittajariski, havaitsemis-, reagointi- ja palautumistulokset | Nykyinen profiili ja tavoiteprofiili, toimintasuunnitelma, POA&M, toimittajariskitallenteet |
| COBIT 2019 | Hallinnointitavoitteet, suorituskyvyn seuranta, riskien optimointi, resurssipäätökset ja varmistaminen | Hallinnointiraportointi, kontrollien suorituskykymittarit, varmistusraportit |
NIS2 Article 21 on erityisen merkityksellinen, koska se sisältää riskianalyysin, tietoturvapolitiikat, poikkeamien käsittelyn, liiketoiminnan jatkuvuuden, varmuuskopioinnin, katastrofipalautuksen, kriisinhallinnan, toimitusketjun tietoturvan, turvallisen kehittämisen, haavoittuvuuksien käsittelyn, vaikuttavuuden arvioinnin, kyberhygienian, koulutuksen, kryptografian, HR-turvallisuuden, pääsynhallinnan, omaisuudenhallinnan ja todennuksen.
DORA luo finanssialan toimijoille samankaltaisen kurinalaisuuden, mutta sektorikohtaisella painotuksella. Se edellyttää ICT-riskejä koskevaa sisäistä hallinnointi- ja kontrolliviitekehystä, josta johtoelin on viime kädessä vastuussa. Se odottaa ICT-politiikkojen, roolien, digitaalisen operatiivisen häiriönsietokyvyn strategian, ICT-riskinsietokyvyn, jatkuvuus- ja reagointisuunnitelmien, auditointisuunnitelmien, budjettien, koulutuksen, ICT-palveluihin liittyvien kolmansien osapuolten politiikkojen ja raportointikanavien hyväksyntää ja valvontaa.
DORA antaa kvantitatiiviselle riskien arvioinnille myös suoran operatiivisen laukaisupisteen: poikkeamien luokittelun. Merkittävät ICT:hen liittyvät poikkeamat on luokiteltava kriteereillä, kuten vaikutuksen kohteena olevat asiakkaat, vastapuolet ja tapahtumat, kesto, käyttökatko, maantieteellinen levinneisyys, saatavuuteen, aitouteen, eheyteen tai luottamuksellisuuteen vaikuttavat tietohäviöt, vaikutuksen kohteena olevien palvelujen kriittisyys ja taloudellinen vaikutus. Jos riskimalli arvioi jo käyttökatkon, asiakasvaikutuksen, tietovaikutuksen ja taloudellisen tappion, se tukee poikkeamien luokittelua todellisen tapahtuman sattuessa.
Kontrollikartoitus, joka tekee hallituksen vastuusta auditoitavaa
Zenith Controls -oppaassa Clarysec kartoittaa ISO/IEC 27002:2022 -kontrollin 5.4, “Johdon vastuut”, tietoturvan vastuun hallinnointikiinnekohdaksi. Opas käsittelee sitä ennaltaehkäisevänä kontrollina, joka tukee luottamuksellisuutta, eheyttä ja saatavuutta, on linjassa “Identify”-kyberturvallisuuskäsitteen kanssa ja jossa hallinnointi on operatiivinen kyvykkyys sekä hallinnointi ja ekosysteemi ovat tietoturva-alueita.
Tällä on merkitystä, koska taloudellinen kyberaltistus kuuluu johdon päätöksentekoon. Zenith Controls linkittää ISO/IEC 27002:2022 -kontrollin 5.4 useisiin tukeviin kontrolleihin:
| ISO/IEC 27002:2022 -kontrollisuhde | Miksi se on tärkeä kvantifioidulle riskille |
|---|---|
| 5.2 Tietoturvaroolit ja -vastuut | Riskinomistajat, kontrollien omistajat ja eskalointivaltuudet on määriteltävä |
| 5.1 Tietoturvapolitiikat | Kvantifioitujen riskien päätösten on oltava linjassa hyväksyttyjen politiikkasitoumusten kanssa |
| 5.35 Tietoturvan riippumaton katselmointi | Riippumaton katselmointi antaa johdolle objektiivista varmistusta riskien käsittelystä |
| 5.36 Tietoturvapolitiikkojen, -sääntöjen ja -standardien noudattaminen | Vaatimustenmukaisuuden seuranta osoittaa, toimivatko käsittelyt tarkoitetulla tavalla |
| 5.8 Tietoturva projektinhallinnassa | Uusissa tuotteissa ja muutoksissa on huomioitava kyberriski ja taloudellinen altistus varhaisessa vaiheessa |
Zenith Controls kartoittaa johdon vastuut myös ISO/IEC 27001:2022 -lausekkeisiin 5.1, 5.2 ja 9.3, yhdistäen johtajuuden, politiikan ja johdon katselmoinnin. Lisäksi se kartoittaa ne ISO/IEC 27014:2020 -lausekkeisiin 6 ja 7, jotka keskittyvät tietoturvan arvioinnin, ohjauksen, seurannan ja viestinnän hallinnointiviitekehyksiin ja prosesseihin.
Näyttöketju on suoraviivainen:
- Johto määrittää riskinottohalukkuuden, riskinsietokyvyn ja eskalointikynnykset.
- Riskinomistajat kvantifioivat merkittävimmät kyberriskit.
- Kontrollit valitaan ja heijastetaan SoA:han.
- Käsittelytoimet toteutetaan ja niitä seurataan.
- Riippumaton katselmointi ja vaatimustenmukaisuuden seuranta testaavat vaikuttavuutta.
- Johdon katselmointi arvioi suorituskykyä, poikkeamia, auditointituloksia, resursseja ja parantamistoimia.
- Hallitus saa taloudellisen altistuksen, jäännösriskin ja vastuun näytön liiketoimintakielellä.
Clarysecin SME Riskienhallintapolitiikka, kohdassa “Roolit ja vastuut”, lausekkeessa 4.1.1, vahvistaa tämän hallinnointiroolin:
“Määrittää organisaation riskinottohalukkuuden ja hyväksyy riskienhallinnan viitekehyksen.”
Pk-yrityksessä tämä voi olla toimitusjohtaja tai omistaja. Säännellyssä finanssialan toimijassa tämä voi olla johtoelin. Vastuun periaate on sama.
Miten auditoijat ja viranomaiset testaavat lukujasi
Kvantitatiivista kyberriskien arviointia ei auditoida täydellisenä vakuutusmatemaattisena tieteenä. Sitä auditoidaan menetelmän, johdonmukaisuuden, jäljitettävyyden, hallinnoinnin ja näytön perusteella.
| Auditoijan tai arvioijan näkökulma | Mitä testataan | Mitä näyttöä odotetaan |
|---|---|---|
| ISO/IEC 27001:2022 | Lauseke 6.1.2 riskien arviointi, lauseke 6.1.3 riskien käsittely, SoA-päätökset, riskinomistajan hyväksyntä ja lauseke 9.3 johdon katselmointi | Riskikriteerit, rekisteri, riskienkäsittelysuunnitelma, SoA, hyväksynnät, johdon katselmoinnin pöytäkirjat |
| NIS2:n toimivaltainen viranomainen | Johtoelimen hyväksyntä ja valvonta, Article 21 -toimenpiteet, suhteellisuus, valmius poikkeamatilanteisiin ja koulutus | Hallitusmateriaalit, koulutustallenteet, riskihyväksynnät, poikkeamamenettelyt, jatkuvuusnäyttö |
| DORA-valvoja tai sisäinen auditoija | ICT-riskien viitekehys, ICT-riskinsietokyky, kriittiset tai tärkeät toiminnot, testaus, poikkeamien luokittelu ja ICT-palveluihin liittyvä kolmansien osapuolten riski | ICT-riskirekisteri, häiriönsietokyvyn strategia, tietorekisteri, testitulokset, exit-suunnitelmat |
| NIST CSF 2.0 -arvioija | GOVERN-tulokset, mukaan lukien GV.RM-02 riskinottohalukkuus ja riskinsietokyky sekä GV.RM-06 vakioitu priorisointi | Nykyinen profiili, tavoiteprofiili, toimintasuunnitelma, yhteys yritystason riskeihin |
| COBIT 2019 -arvioija | Yrityksen IT:n hallinnointi, riskien optimointi, päätösoikeudet, resurssien kohdentaminen ja varmistaminen | Hallinnointiraportointi, suorituskykymittarit, varmistusraportit |
Clarysecin Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka-sme Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka-sme - SME, kohdassa “Hallinnointivaatimukset”, lausekkeessa 5.4.3, tekee auditointisilmukan selkeäksi:
“Auditointihavainnot ja tilapäivitykset on sisällytettävä ISMS:n johdon katselmointiprosessiin.”
Tämä on kriittistä. Jos riskimalli arvioi €500,000:n altistuksen, mutta sisäinen tarkastus havaitsee palautustestin epäonnistuneen, jäännösriskiä on muutettava. Jos toimittajan exit-suunnitelmaa ei ole testattu, organisaation ei tule hyväksyä jäännösriskiä ikään kuin kontrolli olisi kypsä. Jos DORA-testaus tunnistaa kriittisen puutteen, havainnon on ohjattava käsittelyä, budjettia ja johdon katselmointia.
Zenith Blueprint, auditointi-, katselmointi- ja parantamisvaiheen vaihe 28, “Johdon katselmointi”, tukee tätä suosittelemalla johdon katselmoinnin syötteiksi esimerkiksi muutoksia sisäisissä ja ulkoisissa tekijöissä, sääntelyvaatimuksia, auditointituloksia, seurantaa ja mittaamista, tavoitteita, poikkeamia, vaatimustenvastaisuuksia, parantamismahdollisuuksia ja resurssitarpeita. Kvantifioidussa kyberriskiohjelmassa johdon katselmointimateriaalin tulisi sisältää merkittävimmät taloudelliset altistukset, kehitys edellisestä katselmoinnista, käsittelyn eteneminen, myöhässä olevat toimet, riskinsietorajan ylittävä jäännösriski ja tarvittavat päätökset.
Hallituskäsittelyyn soveltuvan kyberriskipaketin rakentaminen
Hallituskäsittelyyn soveltuvan kyberriskipaketin ei tulisi hukuttaa hallituksen jäseniä haavoittuvuusmääriin, FAIR-muuttujiin tai kontrollitunnuksiin. Sen on muunnettava kyberriski päätöksiksi.
Sisällytä kustakin merkittävästä kvantifioidusta riskistä:
- Skenaarion nimi ja vaikutuksen kohteena oleva liiketoimintapalvelu
- Palvelun tai toiminnon kriittisyys
- Henkilötietoihin, säänneltyyn palveluun ja toimittajariippuvuuteen liittyvät merkinnät
- Nykyinen yksittäisen vahingon vaikutuksen arvio
- Nykyinen vuotuisen tapahtumatiheyden arvio
- Nykyinen vuotuinen odotettu tappio
- Oletukset ja luottamustaso
- Nykyiset kontrollit ja tunnetut puutteet
- Käsittelyvaihtoehdot ja kustannukset
- Odotettu jäännösaltistus käsittelyn jälkeen
- ISO/IEC 27001:2022-, NIS2-, DORA- ja GDPR-relevanssi
- Riskinomistaja ja tarvittava päätös
- SoA- ja politiikkaviitteet
- Määräaika ja katselmointipäivä
Yksinkertaistettu hallitusnäkymä voi näyttää tältä:
| Riskiskenaario | Nykyinen ALE | Käsittelykustannus | Jäännös-ALE | Sääntelyajuri | Päätös |
|---|---|---|---|---|---|
| Hallinnoidun tietokannan käyttökatko, joka vaikuttaa tapahtumien käsittelyyn | €152,500 | €82,000 | €35,000 | DORA:n ICT-riski, ISO-riskien käsittely, toimittajajatkuvuus | Hyväksy käsittely |
| Kiristyshaittaohjelmat, jotka vaikuttavat asiakastietoalustaan | €372,000 | €100,000 | €95,000 | GDPR-loukkausriski, NIS2:n poikkeamien käsittely, ISO:n poikkeamakontrollit | Hyväksy EDR ja muuttumattomat varmuuskopiot |
| Etuoikeutetun pääsyn vaarantuminen pilvihallintakonsolissa | €260,000 | €58,000 | €72,000 | ISO-pääsynhallinta, NIS2-todennus, DORA:n tietojen eheys | Hyväksy MFA:n ja PAM:n parannus |
| Kriittisen SaaS-palveluntarjoajan keskittymäriski | €190,000 | €45,000 | €95,000 | DORA:n kolmannen osapuolen riski, NIS2:n toimitusketju, ISO:n toimittajakontrollit | Hyväksy exit-suunnitelman testaus |
Luvut ovat arvioita, mutta hallinnointiarvo on todellinen. Hallitus voi vertailla prioriteetteja. Tietoturvajohtaja voi perustella menot. Taloushallinto voi validoida oletukset. Vaatimustenmukaisuustoiminto voi linkittää päätökset velvoitteisiin. Auditoijat voivat seurata auditointijälkeä.
Yleiset virheet kyberriskin kvantifioinnissa
Ensimmäinen virhe on näennäistarkkuus. Malli, joka väittää tappioksi €487,239.17 ilman selkeitä oletuksia, on vähemmän uskottava kuin vaihteluväli, jolla on dokumentoitu perusta. Käytä vaihteluvälejä tarvittaessa ja katselmoi oletukset poikkeamien, auditointien, toimittajamuutosten ja merkittävien arkkitehtuuripäätösten jälkeen.
Toinen virhe on vain teknisten kustannusten laskeminen. Merkittävä kyberpoikkeama voi sisältää liikevaihdon menetyksiä, asiakaskorvauksia, operatiivisia häiriöitä, viranomaisraportointia, oikeudellista neuvontaa, forensista tukea, viestintäkustannuksia, sopimussakkoja, asiakaspoistumaa, johdon ajankäyttöä ja mainevaikutuksia.
Kolmas virhe on sääntelyn vakavuuden sivuuttaminen. Henkilötietojen tietoturvaloukkaus voi olla merkittävä, vaikka suora operatiivinen tappio näyttäisi vähäiseltä. DORA-poikkeama voi olla merkittävä palvelun kriittisyyden, käyttökatkon, tietohäviön tai vaikutuksen kohteena olevien asiakkaiden vuoksi. NIS2-poikkeama voi olla olennainen, jos se aiheuttaa vakavan operatiivisen häiriön, taloudellisen tappion tai huomattavaa vahinkoa muille.
Neljäs virhe on SoA:n päivittämättä jättäminen. Jos käsittelypäätöksissä valitaan toimittajien seuranta, pilvipalvelujen exit-suunnittelu, poikkeamanäytön kerääminen, ICT-valmius liiketoiminnan jatkuvuuteen tai häiriökontrollit, SoA:n on kuvattava sovellettavat kontrollit ja toteutuksen tila.
Viides virhe on taloushallinnon jättäminen ulkopuolelle. Kvantitatiivinen kyberriskien arviointi on vahvimmillaan, kun tietoturva, talous, laki, operatiivinen toiminta, tuote ja vaatimustenmukaisuus sopivat vaikutusoletuksista. Tietoturvajohtajan ei tulisi keksiä liikevaihdon menetyslukuja yksin.
Kuudes virhe on vakuutuksen käsitteleminen täydellisenä riskinsiirtona. Vakuutus voi vähentää taloudellista vaikutusta, mutta se ei poista sääntelyyn liittyvää vastuuta, palveluhäiriötä, asiakkaiden luottamuksen heikentymistä tai johdon vastuuta.
Missä Clarysec auttaa
Clarysec auttaa organisaatioita rakentamaan kyberriskiohjelman, joka on riittävän käytännöllinen pk-yrityksille ja riittävän kurinalainen säännellyille ympäristöille.
Zenith Blueprint ohjaa organisaatiota soveltamisalasta ja toimintaympäristöstä riskikriteereihin, laadulliseen ja kvantitatiiviseen arviointiin, käsittelyn suunnitteluun, SoA-jäljitettävyyteen, auditointiin, johdon katselmointiin ja parantamiseen. Zenith Controls auttaa kartoittamaan ISO/IEC 27001:2022- ja ISO/IEC 27002:2022 -kontrolliodotukset muihin viitekehyksiin, auditointeihin ja hallinnointivelvoitteisiin. Clarysecin politiikat tarjoavat auditoijien odottaman kielen, mukaan lukien riskinottohalukkuuden, valtuusmatriisit, käsittelyvaihtoehdot, vaatimustenmukaisuusrekisterit, SoA-yhdenmukaistamisen ja johdon katselmoinnin integroinnin.
SME Laki- ja sääntelyvaatimusten noudattamisen politiikka Laki- ja sääntelyvaatimusten noudattamisen politiikka - SME, kohdassa “Hallinnointivaatimukset”, lausekkeessa 5.1.1, alkaa yksinkertaisella velvoitteella:
“Toimitusjohtajan on ylläpidettävä yksinkertaista, jäsenneltyä vaatimustenmukaisuusrekisteriä, jossa luetellaan:”
Tällä yksinkertaisella rekisterillä on merkitystä. Lakisääteisten, sääntelyyn liittyvien ja sopimusperusteisten velvoitteiden on oltava näkyvissä ISMS:ssä. Kvantitatiivisen riskin osalta tämä tarkoittaa, että NIS2, DORA, GDPR, asiakassopimukset, SLA:t, ulkoistusvelvoitteet, poikkeamien raportointivelvoitteet ja auditointisitoumukset muokkaavat vaikutusta, käsittelyn prioriteettia ja eskalointia.
Enterprise Riskienhallintapolitiikka, kohdassa “Viitestandardit ja viitekehykset”, lausekkeessa 11.9.1, heijastaa myös suoraan DORA-tyylistä hallinnointia:
“Article 5: Edellyttää dokumentoitua ICT-riskienhallinnan viitekehystä, jonka tämän politiikan rakenne kattaa kokonaan, mukaan lukien SoA-kartoitus ja KRI:t.”
Tämä on Clarysecin malli yhdessä lauseessa: dokumentoitu ICT-riskien hallinta, kontrolleihin kartoitettuna, indikaattoreilla mitattuna, johdon katselmoimana ja auditoitavaksi näytettynä.
Seuraavat vaiheet: tee vuoden 2026 kyberriskirekisteristäsi taloudellisesti perusteltavissa oleva
Jos nykyisessä kyberriskirekisterissäsi lukee edelleen “korkea” ilman selitystä taloudellisesta altistuksesta, käsittelyn taloudesta tai sääntelyvaikutuksesta, aloita tällä vuosineljänneksellä viidellä toimenpiteellä:
- Valitse 5–10 merkittävintä kyberriskiskenaariota liiketoimintavaikutuksen perusteella.
- Määritä taloudelliset vaikutuskynnykset tasoille vähäinen, kohtalainen, merkittävä ja vakava.
- Arvioi kullekin merkittävimmälle skenaariolle yksittäisen vahingon vaikutus, vuotuinen tapahtumatiheys ja vuotuinen odotettu tappio.
- Kartoita kukin käsittelypäätös ISO/IEC 27001:2022 -kontrolleihin, SoA:han, soveltuviin NIS2- tai DORA-velvoitteisiin, GDPR-vaikutuksiin ja NIST CSF:n hallinnointituloksiin.
- Esitä jäännösriski, käsittelykustannus ja eskalointikynnykset johdon katselmoinnissa.
Clarysec voi auttaa muuttamaan tämän toistettavaksi näyttöjärjestelmäksi hyödyntämällä Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, Enterprise Riskienhallintapolitiikka Riskienhallintapolitiikka, SME Riskienhallintapolitiikka Riskienhallintapolitiikka - SME sekä tukevia auditointi- ja vaatimustenmukaisuusmalleja.
Tavoitteena ei ole tehdä kyberriskistä täydellisesti ennustettavaa. Tavoitteena on tehdä siitä selitettävä, vertailukelpoinen, taloudellisesti merkityksellinen ja auditoitavissa oleva.
Lataa Clarysecin riski- ja vaatimustenmukaisuuspolitiikkojen mallit, tutustu Zenith Blueprint -kokonaisuuteen tai varaa Clarysec-arviointi, jotta vuoden 2026 kyberriskirekisteristäsi tulee hallituskäsittelyyn soveltuvaa näyttöä ISO/IEC 27001:2022:n, NIS2:n, DORA:n ja GDPR:n tarpeisiin.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
