Threat modelling in critical GIS environments: Evaluation and implementation of a STRIDE -based approach on Fortum’s ArcGIS platform
Haakana, Suvi-Tuulia (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025111828483
https://urn.fi/URN:NBN:fi:amk-2025111828483
Tiivistelmä
The goal of this study was to conduct and evaluate a STRIDE-based threat modelling for GISela, the commissioner’s technically complex and operationally critical ArcGIS-based geospatial information platform. GISela forms an integral part of the organization’s strategic and operational infrastructure and consists of distributed cloud services, internal network environments, range of applications (desktop, mobile and web), data repositories, servers, virtual machines and administrative components. Its structural complexity and essential role in operational continuity require a systematic and comprehensive approach to threat identification and management.
The modelling process was based on the commissioner’s internal STRIDE-based framework. The primary objective was to implement the framework to identify key threats and vulnerabilities within the platform, while evaluating the suitability of the applied framework for modelling threats in a complex and operationally critical GIS environment. The study was established in a qualitative case study framework, complemented by principles of practice-based and design-based study approaches. Source material included technical and administrative documentation, system architecture descriptions, and data collected through multidisciplinary expert workshops.
The outcomes of this thesis comprise an internal threat modelling report and development plan for organizational use, and a public evaluation of the STRIDE framework’s effectiveness in identifying the comprehensive security landscape of critical geospatial environments. Based on the results, the STRIDE framework seems to be well suited for identifying threats across a heterogeneous threat landscape, but it requires complementary qualitative and context specific methods to ensure that relevant threats are comprehensively addressed. This study shows that the threat landscape of critical GIS platforms is multidimensional, requiring cross-domain governance and precise validation of findings. The hybrid threat modelling framework developed in this study provides an applicable tool for organizations to model critical GIS platforms, thereby supporting practical cybersecurity and compliance with the NIS2 directive on the protection and resilience of critical infrastructures. Työssä toteutetaan uhkamallinnus toimeksiantajan teknisesti monimutkaiselle ja kriittiselle ArcGIS-pohjaiselle paikkatietoalustalle, GISelalle, joka toimii osana organisaation operatiivista ja strategista infrastruktuuria. GISela on hajautettu järjestelmäkokonaisuus, joka koostuu pilvipalveluista, sisäverkkoympäristöstä, sovelluksista (työpöytä-, selain- ja mobiili-), aineistovarannoista, palvelimista, virtuaalityöasemista sekä hallintaratkaisuista. Alustan rakenteellinen moniulotteisuus ja keskeinen rooli toiminnan jatkuvuuden kannalta edellyttävät systemaattista ja kattavaa lähestymistapaa riskien tunnistamiseen ja hallintaan.
Uhkamallinnus perustuu toimeksiantajan omaan sisäiseen STRIDE-pohjaiseen viitekehykseen. Mallinnuksen tavoitteena on tunnistaa alustan keskeisimmät uhkatekijät ja turvallisuuspuutteet, sekä arvioida, kuinka hyvin käytetty menetelmä soveltuu monimutkaisten ja operatiivisesti kriittisten paik-katietoympäristöjen uhkamallinnukseen. Tutkimus toteutetaan laadullisena tapaustutkimuksena, ja sen rinnalla hyödynnetään täydentäviä toimintatutki-muksen ja kehittämistutkimuksen periaatteita. Aineisto koostuu teknisistä ja hallinnollisista dokumentaatioista, arkkitehtuurikuvauksista sekä monialaisissa asiantuntijatyöpajoissa kerätyistä materiaaleista.
Tuloksena tuotetaan organisaation sisäiseen käyttöön uhkamallinnusraportti ja kehityssuunnitelma, sekä julkinen arvio mallin löydöksistä ja STRIDE-menetelmän soveltuvuudesta kriittisten paikkatietojärjestelmien kokonaisturvallisuuden uhkamallinnukseen. Tulosten perusteella STRIDE soveltuu hyvin monipuolisten uhkien tunnistamiseen, mutta sen rinnalle tarvitaan täydentäviä laadullisia ja kontekstisidonnaisia menetelmiä, jotta relevantit uhkat tulevat kattavasti huomioiduksi. Tutkimus osoittaa että kriittisten paikkatietojärjestelmien uhkakenttä on monimuotoinen ja edellyttää monialaista hallintamallia sekä tarkkaa validointia. Työn tuloksena kehitetty uhkamallinnuksen hybridimalli tarjoaa sovellettavan työkalun muille organisaatioille kriittisten paikkatietoalustojen uhkamallinnukseen, ja tukee näin sekä käytännön kyberturvallisuustyötä, että NIS2-direktiivin mukaista varautumista kriittisen infrastruktuurin suojelussa.
The modelling process was based on the commissioner’s internal STRIDE-based framework. The primary objective was to implement the framework to identify key threats and vulnerabilities within the platform, while evaluating the suitability of the applied framework for modelling threats in a complex and operationally critical GIS environment. The study was established in a qualitative case study framework, complemented by principles of practice-based and design-based study approaches. Source material included technical and administrative documentation, system architecture descriptions, and data collected through multidisciplinary expert workshops.
The outcomes of this thesis comprise an internal threat modelling report and development plan for organizational use, and a public evaluation of the STRIDE framework’s effectiveness in identifying the comprehensive security landscape of critical geospatial environments. Based on the results, the STRIDE framework seems to be well suited for identifying threats across a heterogeneous threat landscape, but it requires complementary qualitative and context specific methods to ensure that relevant threats are comprehensively addressed. This study shows that the threat landscape of critical GIS platforms is multidimensional, requiring cross-domain governance and precise validation of findings. The hybrid threat modelling framework developed in this study provides an applicable tool for organizations to model critical GIS platforms, thereby supporting practical cybersecurity and compliance with the NIS2 directive on the protection and resilience of critical infrastructures.
Uhkamallinnus perustuu toimeksiantajan omaan sisäiseen STRIDE-pohjaiseen viitekehykseen. Mallinnuksen tavoitteena on tunnistaa alustan keskeisimmät uhkatekijät ja turvallisuuspuutteet, sekä arvioida, kuinka hyvin käytetty menetelmä soveltuu monimutkaisten ja operatiivisesti kriittisten paik-katietoympäristöjen uhkamallinnukseen. Tutkimus toteutetaan laadullisena tapaustutkimuksena, ja sen rinnalla hyödynnetään täydentäviä toimintatutki-muksen ja kehittämistutkimuksen periaatteita. Aineisto koostuu teknisistä ja hallinnollisista dokumentaatioista, arkkitehtuurikuvauksista sekä monialaisissa asiantuntijatyöpajoissa kerätyistä materiaaleista.
Tuloksena tuotetaan organisaation sisäiseen käyttöön uhkamallinnusraportti ja kehityssuunnitelma, sekä julkinen arvio mallin löydöksistä ja STRIDE-menetelmän soveltuvuudesta kriittisten paikkatietojärjestelmien kokonaisturvallisuuden uhkamallinnukseen. Tulosten perusteella STRIDE soveltuu hyvin monipuolisten uhkien tunnistamiseen, mutta sen rinnalle tarvitaan täydentäviä laadullisia ja kontekstisidonnaisia menetelmiä, jotta relevantit uhkat tulevat kattavasti huomioiduksi. Tutkimus osoittaa että kriittisten paikkatietojärjestelmien uhkakenttä on monimuotoinen ja edellyttää monialaista hallintamallia sekä tarkkaa validointia. Työn tuloksena kehitetty uhkamallinnuksen hybridimalli tarjoaa sovellettavan työkalun muille organisaatioille kriittisten paikkatietoalustojen uhkamallinnukseen, ja tukee näin sekä käytännön kyberturvallisuustyötä, että NIS2-direktiivin mukaista varautumista kriittisen infrastruktuurin suojelussa.