Tietoturvallisuuden kolme perinteistä päämäärää ovat olleet tiedon luottamuksellisuuden, eheyden ja saatavuuden. Tätä joskus kutsutaan CIA-kolmioksi, englanninkielisten termien confidentiality, integrity ja availability alkukirjainten mukaan. Neljäntenä on silloin tällöin mainittu kiistämättömyys (engl. non-repudiation), mutta vaikka se sinänsä on arvokas päämäärä, se on senverran harvinainen ettei se aina ole päässyt luetteloon mukaan.
Yrityksellä, tai millä tahansa organisaatiolla, on myös suojattavia kohteita (engl. assets). Tälle termille ei ole toistaiseksi löytynyt napakkaa suomenkielistä vastinetta, "suojattava kohde" on toki ymmärrettävä mutta ei kovin hyvä. Monasti on ehdotettu suoraa käännöstä "omaisuus", mutta koska suojattava kohde voi olla toimitilojen ja tietokoneiden lisäksi myös mainetta, erilaisia tietomassoja ja myös ihmisiä, omaisuus ei kovin hyvä käännös sekään. Käytetäänpä mitä termiä tahansa, niin suojattavat kohteet ovat hyvinkin erilaisia ja kunkin kohteen tietoturvapäämäärillä voi olla eri tärkeysjärjestys. Esimerkiksi pankkitoimintaa säätelee mm. pankkisalaisuus, joten pankin tietomassoilla luottamuksellisuus on hyvinkin korkealla prioriteeteissa. Toisaalta taas yritykselle, joka tekee elokuvien digitaalisia efektikuvia, ei yhden kuvan vuotaminen ulkopuolisille ole suuri ongelma. Mutta jos yhden taustakuvan renderöinti viivästyy sovitusta aikataulusta, sillä voi olla mittavia seurannaisvaikutuksia muiden siitä riippuvien kuvien tuotannossa. Joten tällaisessa tilanteessa datan ja palvelun saatavuus on tärkeimpiä tekijöitä. Kukin suojattava kohde on siis analysoitava sen osalta, mitkä tietoturvapäämäärät niille ovat kaikkein tärkeimpiä.
Suojattaviin kohteisiin kohdistuu uhkia (engl. threats), jotka ovat mitä tahansa epäsuotuisia tapahtumia. Tietoturvauhat siis tapahtuessaan vaarantavat kohteen tietoturvallisuutta. Olennaista tässä on se, että uhka voi joko toteutua tai olla toteutumatta. Uhkia on kovin monenlaisia, esimerkkejä ovat niin terroristihyökkäykset, roskaposti kuin sähkönsyöttöhäiriötkin. Uhkaan liittyy kiinteästi riskin (engl. risk) käsite. Riski on jonkinlainen arvio siitä, kuinka todennäköinen uhka on toteutumaan organisaation omassa ympäristössä. Tästä onkin lähtöisin yksi terminologinen sekaannus, nimittäin käsitteitä uhka-analyysi (engl. threat analysis) ja riskianalyysi (engl. risk analysis) on varsin usein käytetty ristiin ja rastiin. Itsekin olen todennäköisesti siihen joskus syyllistynyt. Asiaa vuosia pohdittuani olen tullut siihen tulokseen, että on syytä puhua uhka-analyysistä kun toimenpiteen tarkoitus on kerätä suojattaviin kohteisiin liittyviä uhkia, mutta jos tarkoitus on vielä jatkaa ja kuvata uhan todennäköisyyttä ja vakavuutta, voidaan puhua riskianalyysistä.
Riskianalyysissä riskiä voidaan kuvata joko kvantitatiivisesti eli numeroarvoisesti (esim. toteutumistodennäköisyys prosentteina) tai kvalitatiivisesti eli laadullisesti kuvailevasti (esim. "usein"..."joskus"..."hyvin harvoin"). Valitettavasti kvantitatiivisesti tehdyn riskianalyysin tekeminen on vaikeaa, uhille kun on hyvin hankalaa löytää tarkkoja toteutumistodennäköisyyksiä. Usein tehdäänkin niin, että käytetään muutaman portaan, esimerkiksi kolme, sisältävää kvalitatiivista asteikkoa ja löydetyt uhat jaotellaan niiden mukaisesti. Esimerkkejä usein toteutuvista uhista ovat roskapostin saapuminen ja harvemmista vesivahingot konehuoneessa. Tämän yleisyysjaottelun lisäksi kustakin uhasta arvioidaan sen toteutuessaan aiheuttamat vahingot. Vahingon arvioinnissa on tärkeää että ajatellaan yritystä kokonaisuudessaan eikä rajoituta pelkästään suoriin kustannuksiin. Usein tietoturvan vaarantava tapahtuma vaikuttaa välillisesti myös esimerkiksi yrityksen maineeseen. Tämänkään arviointi ei ole aivan eksaktia tiedettä ja varsin usein tähänkin kehitetään yrityksen mukainen muutamaportainen asteikko (esim. "alle 1000 euroa"..."yli 100 000 euroa").
Tästä saadaankin oivallisesti matriisi, johon jokainen uhka, jonka riski ja kustannukset on arvioitu, voidaan sijoittaa. Matriisin merkitys on siinä, että yritysjohdon kanssa keskustelussa voidaan päättää, mitkä matriisin lohkot ovat sellaisia että niissä oleville uhille olisi tehtävä jotakin. Yleensä valitaan tietysti se matriisin osa, jossa olevat uhat ovat sekä hyvin yleisiä että suuria vahinkoja aiheuttavia. Lisäkeskustelua yleensä aiheuttaa se, pitäisikö ottaa työlistalle jotain muitakin matriisin osia ja jos pitää, niin pitääkö työpanosta suunnata niihin riskeihin, joissa on suurempi toteutumistodennäköisyys vai niihin, joissa on suuremmat haittavaikutukset. Itse yleensä suosin pureutumista niihin uhkiin, jotka ovat yleisempiä, sillä niiden ratkaisulla voi olla tietoturvan lisäksi suuriakin vaikutuksia esimerkiksi organisaation tehokkuuteen.
Esimerkkinä voidaan ottaa vaikka roskaposti. Arvioidaan että yhden roskapostiviestin käsittely (havainto, poisto ja seuraavaan siirtyminen) vie noin kolme sekuntia yhdeltä henkilöltä ja jos roskaposteja saapuu esim. 100 viestiä päivässä, yhdeltä henkilöltä menee 300 sekuntia eli noin 5 minuuttia päivässä pelkän roskapostin käsittelyyn. Jos organisaatiossa on sata henkilöä, pelkkä ajan tuhlaus on organisaation tasolla jo 500 minuuttia eli yli 8h päivässä. Siis organisaation työkapasiteetista tuhlautuu yli yhden henkilön työpanos, noin prosentti, pelkkään roskapostin käsittelyyn. Laskemalla tälle käytetylle ajalle hinta voidaan saada selville paitsi roskapostiongelman taloudellinen vaikutus koko yritykselle, mutta myös yläraja roskapostin estopalvelun ostoon käytettävälle summalle. Tämä on yksi esimerkki siitä, miten riskianalyysin tuloksia voidaan käyttää hyväksi mietittäessä sitä, mihin tietoturvatoimenpiteisiin yrityksen voimavarat kannattaa suunnata.
Ja kun uhat on valittu, niin sitten onkin enää jäljellä niiden vastatoimenpiteiden valinta ja mietintä... Tietoverkkouhkien terminologiaa ja luonnetta käsittelen enemmän myöhemmissä artikkeleissa.