An all-hazards approach-based Information security threat assessment of a public telecommunications operator’s technical system
Mikkolainen, Pasi (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025120131097
https://urn.fi/URN:NBN:fi:amk-2025120131097
Tiivistelmä
Yleisen teletoimijan laki ja regulaatio vaatimukset ovat lisääntyneet merkittävästi viimeisten vuosien aikana. Sääntely kohdistuu myös useisiin sektoreihin joihin teletoimijan asiakkaat sijoittuvat, jolloin samat vaatimukset nousevat myös asiakkaiden suunnalta. Tavoitteena oli tunnistaa keskeisimmät sääntelyn vaatimukset ja selvittää kuinka hyvin tietoturvastandardi voi tähän vastata. Teknologisiin ja fyysisiin kontrolleihin liittyen tavoite oli myös todentaa niiden todennäköisyyttä arvioitavan organisaation kontekstissa.
Analyysissä verrattiin sääntelyn kattavuutta ISO/IEC 27001 -standardiin. Fyysisten ja teknologisten kontrollien pohjalta johdettujen uhkien todennäköisyyttä arvioitiin teletoimijan verkkoympäristössä käyttäen viisiportaista Likert-asteikkoa.
Tuloksien perusteella voitiin todeta, että ISO/IEC 27001 -standardi kattaa vaatimukset suurimmaksi osaksi, mutta jotkin tekniset yksityiskohdat vaativat täsmennystä ja dokumentointiin liittyviä tarkennus tarpeita nousi esille. Todennäköisimmät uhat olivat infrastruktuuripalveluiden häiriöt, haitallisilla verkkosivuilla vierailut ja kriittisten päivitysten viiveet. Osaaminen arvioitiin pääsääntöisesti hyväksi. Tästä huolimatta yksittäisten uhkien todennäköisyydet vaihtelivat merkittävästi vastaajien kesken.
Kansainvälisen tietoturvastandardin implementointi tarjoaa vahvan perustan sääntelyn noudattamiselle. Se ei kuitenkaan ole tae vaatimustenmukaisuudesta, vaan tarvitaan lisätoimia teknisten vaatimusten määrityksessä ja dokumentointivaatimuksissa. Uhkien tunnistamisessa valmis lista takaa kattavan lähestymisen ja henkilöstön riskienhallinnan osaaminen varmistaa laadukkaan riskienhallinnan lopputuloksen.
Analyysissä verrattiin sääntelyn kattavuutta ISO/IEC 27001 -standardiin. Fyysisten ja teknologisten kontrollien pohjalta johdettujen uhkien todennäköisyyttä arvioitiin teletoimijan verkkoympäristössä käyttäen viisiportaista Likert-asteikkoa.
Tuloksien perusteella voitiin todeta, että ISO/IEC 27001 -standardi kattaa vaatimukset suurimmaksi osaksi, mutta jotkin tekniset yksityiskohdat vaativat täsmennystä ja dokumentointiin liittyviä tarkennus tarpeita nousi esille. Todennäköisimmät uhat olivat infrastruktuuripalveluiden häiriöt, haitallisilla verkkosivuilla vierailut ja kriittisten päivitysten viiveet. Osaaminen arvioitiin pääsääntöisesti hyväksi. Tästä huolimatta yksittäisten uhkien todennäköisyydet vaihtelivat merkittävästi vastaajien kesken.
Kansainvälisen tietoturvastandardin implementointi tarjoaa vahvan perustan sääntelyn noudattamiselle. Se ei kuitenkaan ole tae vaatimustenmukaisuudesta, vaan tarvitaan lisätoimia teknisten vaatimusten määrityksessä ja dokumentointivaatimuksissa. Uhkien tunnistamisessa valmis lista takaa kattavan lähestymisen ja henkilöstön riskienhallinnan osaaminen varmistaa laadukkaan riskienhallinnan lopputuloksen.