Navigated to
Go directly to contents.

threat that evades the limit value of a risk

Concept · VAHTI glossary on risk management in the digital operating environment · Valid
URI
https://iri.suomi.fi/terminology/digiriski/concept-49

Terms

  • Preferred term, Valid
  • Preferred term, Valid
  • Preferred term, Valid
Definition
Note
  • Riskien arvioinneissa käytetty raja-arvo voi olla määrällinen, laadullinen tai näiden yhdistelmä. Arvioinneissa käytetty raja-arvo voi olla liian korkea, liian matala tai jättää huomioimatta yhteisvaikutuksia muiden riskien kanssa, jolloin riskiä ei hallita tarkoituksenmukaisesti. Vaikka riskien arvioinneissa käytetty raja-arvo muuten vastaisi tavoitteita, riskin raja-arvoa välttelevä uhka, joka kertaluontoisena olisi merkityksetön, voi aiheuttaa merkittävää haittaa pitkittyessään tai toistuessaan. Tällöin siitä ei välttämättä olla tietoisia tai siihen ei osata, haluta tai kyetä vastaamaan riittävillä seurauksilla. Joissain tapauksissa riskin raja-arvoa välttelevät uhkat jäävät kokonaisuudessaankin organisaation kannalta merkityksettömiksi, mutta aiheuttavat merkittävää haittaa laajemman verkoston tai yhteiskunnan tasolla. Esimerkkejä riskin raja-arvoa välttelevistä uhkista ovat mm. tietomurtoon liittyvien toimenpiteiden naamioiminen harmittomiksi häiriöiksi tai kiristyshaittaohjelmistojen pyrkimys välttää valtiollisia turvallisuustoimijoita ja muita herkästi vastatoimiin ryhtyviä hyökkäyksen kohteina.
  • Ett gränsvärde som används i riskbedömningar kan vara kvantitativt, kvalitativt eller en kombination av dessa. Gränsvärdet kan vara för högt, för lågt eller ignorera samverkan med andra risker, varvid risken inte hanteras på ett ändamålsenligt sätt. Även om det gränsvärde som använts i riskbedömningarna i övrigt skulle motsvara målen, kan ett hot som undviker riskgränsvärdet och som är av betydelselös engångsnatur orsaka betydande olägenhet om det drar ut på tiden eller upprepas. Då är man inte nödvändigtvis medveten om hotet eller kan inte, vill eller förmår inte svara på det med tillräckliga följder. I vissa fall blir de hot som undviker riskgränsvärdet även i sin helhet betydelselösa för organisationen, men orsakar betydande skada på högre nätverks- eller samhällsnivå. Exempel på hot som undviker gränsvärdet för risker är bl.a. maskering av åtgärder i anslutning till dataintrång som ofarliga störningar eller strävan efter att undvika utpressningsprogram som attackerar statliga säkerhetsaktörer och andra som lätt vidtar motåtgärder.
  • The limit value used in risk assessment can be quantitative, qualitative or a combination of these. The limit value used in assessments may be too high or too low, or it may ignore interactions with other risks, resulting in the risk not being managed expediently. Even if a limit value used in risk assessments otherwise were to correspond to the objectives, a risk limit value-evading threat / threat that evades the limit value of a risk, which would be insignificant as a one-time event, can cause significant harm if prolonged or recurring. In this case, it is possible that one is not aware of it or does not know or want or is not able to respond to it with sufficient consequences. In some cases, risk limit value-evading threats / threats that evade the limit value of a risk remain, as a whole, insignificant from the point of view of an organisation but cause significant harm at the level of a wider network or society. Examples of risk limit value-evading threats / threats that evade the limit value of a risk include masquerading measures related to data breaches as harmless interference or ransomware trying to avoid government security actors and other parties with a low threshold of taking countermeasures as targets of an attack.

Additional technical information

Organization
  • Digital and Population Data Services Agency
Created at
Modified at
You can give feedback on the concept to the responsible organization of the vocabulary.Give feedback on the conceptOpen a new email to digiturva@dvv.fi