null CSC harjoittelee myös pahan varalle

CSC harjoittelee myös pahan varalle

CSC on osallistunut yritysten ja viranomaisten kansalliseen TIETO20-yhteistoimintaharjoitukseen laajojen kyberhäiriöiden varalta.

Harjoituksen yksityiskohdat eivät ole julkista tietoa, mutta haluan jakaa pohdintojani harjoituksen opetuksista kaikille, jotka tuntevat huolta ja vastuuta oman organisaationsa ja koko Suomen toimintakyvystä kyberhäiriöiden varalta.
 
TIETO20-harjoituksen tavoite oli harjoitella yhteiskunnan keskeisiä palveluita tuottavien yritysten selviämistä kyberhäiriöistä sekä viranomaisten tukitoimia yritysten toimintakyvyn palauttamiseksi.  Yritysten jatkuvuudenhallintaa, varautumista ja kriisiviestintää kyberhäiriötilanteissa sparraava harjoituskokonaisuus lujitti osallistujien reagointikykyä kyberhyökkäysten varalta. Huoltovarmuuskeskus kertoo harjoituksesta sivuillaan.

Kun tieto on vuotanut, sitä harvoin saa takaisin. Sama koskee myös mainevahinkoja.

Tähänkin kyberharjoitukseen osallistuminen, kuten myös kokemukset tositilanteiden kanssa muistuttivat jälleen siitä, kuinka kunnollinen turvallisuudesta huolehtiminen edellyttää sitä, että riskejä varaudutaan kohtaamaan etukäteen. Tilanteen ollessa jo päällä on usein jo aivan liian myöhäistä välttää vahinkoja. Kun tieto on vuotanut, sitä harvoin saa takaisin. Sama koskee myös mainevahinkoja.

Kun tietomurto, tietovuoto tai vakava käyttöhäiriö on meneillään, tulee tietenkin keskittyä käsillä olevan poikkeaman selvittämiseen. Silloin ei ole aikaa luoda uusia prosesseja tai kehittää sisäänrakennettua turvallisuutta palveluihin.

Tietoturvapoikkeamissa koko tapahtumaketjun tunnistaminen on usein hyvinkin monimutkaista kun toimijoita ja komponentteja on paljon. Myös kriisiviestintä ja erityisesti kriisijohtaminen ovat hyvin haastavia lajeja. Poikkeamissa toimitaan pääsääntöisesti kiireessä, mutta puutteellisen informaation varassa. Tiedon sijasta liikkeellä on kohinaa ja joskus peräti disinformaatiota.

Kun kriisi on jo käsillä, sitä ei tyypillisesti enää voi estää. Tällöin pitää keskittyä lisävahinkojen torjumiseen mahdollisuuksien mukaan. Tärkein ja tehokkain panostus kriisien välttämiseksi ja vahinkojen vähentämiseksi tehdään etukäteen. Se hiljainen ja välttämätön työ mitä mm. tietoturva, tietohallinto, kehitysprojektit, sopimusvastaavat ja viestintä tekee toiminnan turvaamiseksi on meidän paras turvamme kyberhäiriöiden varalta. Turvallisuusviranomaisilla on oma tärkeä tehtävänsä, mutta he eivät voi mitenkään yksin suojella meitä kyberhäiriöltä ja suurin vastuu onkin yksittäisillä organisaatioilla ja henkilöillä.

Tunnettu hokema siitä, että turvallisuus on yhtä vahva kuin ketjun heikoin lenkki pitää hyvin paikkansa.

Kun resurssit ja aikataulut ovat tiukoilla, palveluiden turvallisuudesta helposti tingitään. Koska turvallisuus on ominaisuutena useimmiten abstrakti, sen hyöty ilmenee siinä, että haitalliset tapahtumat eivät toistu tulevaisuudessa.

Ihmisten sitouttaminen turvallisuuteen edellyttää paitsi tietoa ja ymmärrystä riskeistä, myös eri rooleissa olevien ja eri taustaisten ihmisten vilpitöntä kunnioittamista.

Turvallisuus on harvoin ilmaista. Yleensä sillä on jonkinlainen hinta, joka ilmenee rahassa, aikatauluissa ja pahimmassa tapauksessa palvelun joustavuuden ja käytettävyyden huonontumisessa.  Riskejä pienentäviä turvatoimia ovat esimerkiksi turvallisuussopimukset, turvallisuusauditoinnit ja -sertifioinnit, tilaturvallisuus, testaaminen haavoittuvuuksien varalta, palveluiden kovetus, palveluiden monitorointi, turvallisuusohjeistus sekä johdon sitoutuminen turvallisuuteen.  

Turvallisuuden välttämätön kulmakivi on myös turvallisuuskoulutus ja -viestintä. Ihmisten sitouttaminen turvallisuuteen edellyttää paitsi tietoa ja ymmärrystä riskeistä, myös eri rooleissa olevien ja eri taustaisten ihmisten vilpitöntä kunnioittamista. Kuuntele toista jos haluat että sinua kuunnellaan. Oma nyrkkisääntöni on, että ihmisten merkitys tietoturvassa on aina yli puolet.

Minut sijoitettiin TIETO20-harjoituksessa tosi mukavaan ja ammattitaitoiseen tiimiin. Saimme vastuut ja tehtävät hyvin määriteltyä ja toimimme mielestäni erittäin tehokkaasti, vaikka harjoituksessa piisasi kybertapahtumia jatkuvalla syötöllä. Uskon, että menestymisemme salaisuus oli koko tiimin sitoutuminen turvallisuuteen ja se, että meillä kaikilla oli tietoa ja kokemusta miten kriisitilanteissa toimitaan tehokkaasti ja vastuullisesti.

Kyberuhkien varalta on tärkeää, että meillä on turvallisuusohjeet, määritellyt roolit ja teknisiä ratkaisuja siihen, miten uhkatilanteet huomataan ja miten poikkeamiin reagoidaan. Nämä on hyvä selvittää etukäteen ennen vakavan kyberuhan kohtaamista.

CSC:llä olemme harjoitelleet jo usean vuoden ajan kyberuhkiin reagointia. CSC on mm.  tehnyt kyberharjoituksiin liittyvää yhteistyötä eurooppalaisen tutkimusverkkomme GÈANTin kanssa.

Myös CSC:n ISO 27001 tietoturvasertifiointi edellyttää kyberharjoittelua. Harjoittelu sisältyy myös useisiin valtionhallinnon tietoturvavaatimuksiin. Harjoitukset ovat usein tehokkaampi tapa parantaa turvallisuutta kuin pelkät ohjeet ja sopimukset, vaikka nekin ovat tärkeitä toimintoja.

Mielestäni voisimmekin ryhtyä harjoittelemaan enemmän ja useammin yhdessä CSC:n sidosryhmien kanssa. Kyberharjoittelusta onkin jo pidemmän aikaa keskusteltu yliopistoiden tietoturvavastaavien kesken ja asia olisi hyvä saada eteenpäin. Usealla korkeakoululla on hyvää osaamista kyberharjoituksista.

Teemme mielellämme yhteistyötä kyberharjoituksten muodossa myös muiden asiakkaidemme ja sidosryhmiemme kanssa, mahdollisuuksien mukaan.

Lisää tästä aiheesta » Siirry sisältöihin ja uutisiin »

Urpo Kaila

Urpo Kaila on CSC:n tietoturvapäällikkö