Tietoturvan auditointimahdollisuudet IoT-alustoissa: ISO 27001- standardi
Hamberg, Harri (2021)
Hamberg, Harri
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202104245640
https://urn.fi/URN:NBN:fi:amk-202104245640
Tiivistelmä
Tässä tutkimuksessa selvitettiin, miten hyvin ISO 27001-standardi informaatio turvallisuuden hallintajärjestelmä (Information Security Management System, ISMS) ottaa huomioon auditoinneissa IoT-järjestelmät ja näihin kohdistuvan riskienhallinnan. Tutkimus toteutettiin kvalitatiivisena tapaustutkimuksena. Haastattelut kohdistettiin kuuteen haastateltavaan, joista neljä edusti akkrekoituja auditoijia ja kaksi yritysedustajia.
Tutkimus osoitti, että IoT-laitteiden heterogeenisyys aiheuttaa riskien hallintaongelmia auditoinnin kohteena olevalle organisaatiolle. Heterogeenisyys vaikeuttaa auditoinnin päämäärän toteutumista, koska haavoittuvuuksien ja riskitekijöiden löytäminen vaikeutuu. IoT-alusta voi koostua hyvin erilaisista laitteista, joiden tarkkaa toimintaa, ominaisuuksia ja liitettävyyttä ei järjestelmää käyttävä organisaatio välttämättä tunne tai tunnista. Nämä seikat eivät tule järjestelmällisesti esiin auditoinneissa, koska hallintajärjestelmien rajaus aiheuttaa turvallisuuspuutteita. IoT-alustojen riskienhallintaan voidaan vaikuttaa tehokkaalla muutoksenhallinnalla ja havainnointikyvyllä. Proaktiivisessa ajattelutavassa pienimmätkin muutokset yrityksen toiminnassa tai toimintatavassa tulee analysoida riskipohjaisesti ja ennakkoluulottomasti. ISO 27001-standardin kansainvälinen uudistamisprosessi on liian hidas, verrattaessa IoT-ekosysteemin nopeasykliseen kehittymiseen. Myös ISO 27001-standardin liitettä A pidetään yleisesti riittämättömänä IoT-ekosysteemien riskien tarkasteluun ja lisästandardin tarve on ilmeinen.
Tutkimus osoitti, että IoT-laitteiden heterogeenisyys aiheuttaa riskien hallintaongelmia auditoinnin kohteena olevalle organisaatiolle. Heterogeenisyys vaikeuttaa auditoinnin päämäärän toteutumista, koska haavoittuvuuksien ja riskitekijöiden löytäminen vaikeutuu. IoT-alusta voi koostua hyvin erilaisista laitteista, joiden tarkkaa toimintaa, ominaisuuksia ja liitettävyyttä ei järjestelmää käyttävä organisaatio välttämättä tunne tai tunnista. Nämä seikat eivät tule järjestelmällisesti esiin auditoinneissa, koska hallintajärjestelmien rajaus aiheuttaa turvallisuuspuutteita. IoT-alustojen riskienhallintaan voidaan vaikuttaa tehokkaalla muutoksenhallinnalla ja havainnointikyvyllä. Proaktiivisessa ajattelutavassa pienimmätkin muutokset yrityksen toiminnassa tai toimintatavassa tulee analysoida riskipohjaisesti ja ennakkoluulottomasti. ISO 27001-standardin kansainvälinen uudistamisprosessi on liian hidas, verrattaessa IoT-ekosysteemin nopeasykliseen kehittymiseen. Myös ISO 27001-standardin liitettä A pidetään yleisesti riittämättömänä IoT-ekosysteemien riskien tarkasteluun ja lisästandardin tarve on ilmeinen.