Poikkeustilanteiden harjoittelu on tärkeä osa varautumista niin laajojen häiriöiden, kuin poikkeusolojen tilanteita vastaan. Harjoittelemalla testataan ja kasvatetaan kykyä toimia vaativissa tilanteissa. Harjoittelua tulee tehdä laajasti – myös kyberturvallisuuden osalta.
Tässä kirjoituksessa käsittelemme kyberharjoittelua yrityksen jatkuvuuden ja varautumisen varmistamisen keinona.
Poikkeamatilanteiden harjoittelu on tapa koestaa ja varmistaa kyky toimia pienemmissä ja suuremmissa poikkeamatilanteissa.
Miten kyberturvallisuuden poikkeamatilanne syntyy? Perinteisemmässä maailmassa poikkeama syntyy, kun jokin laite vikaantuu fyysisesti tai palvelu kaatuu ja lopputuloksena toiminta häiriintyy. Kyberulottuvuudessa riittää, että järjestelmään tulee jokin vika, jonka seurauksena tietoa katoaa, tietoon ei päästä käsiksi tai tietoa vuotaa. Riittää siis, että yksikin tietoturvallisuuden klassisen CIA-kolminaisuuden komponenteista – luottamuksellisuus (confidentiality), eheys (integrity) tai saavutettavuus (availability) – kärsii kolauksen.
Poikkeaman voi aiheuttaa myös inhimillisempi tekijä, kuten jos avainhenkilö on poissa sairaslomalla tai muutoin pois yrityksen vahvuudesta. Henkilöitymistä edesauttaa, mikäli toiminnassa on lipsuttu dokumentoinnista ja prosesseja ei noudateta – tai ne puuttuvat kokonaan. Ajan kuluessa myös henkilöt tai palvelua tuottavat kumppanit vaihtuvat tai tapahtuu yritysostoja, laitteisto tai ohjelmisto voi jäädä päivittämättä ja palvelinsalissa tai ATK-komerossa pörrää legacy-järjestelmiä tai muuta IT-alan asbestia.
Organisaation kypsyyden tasosta riippumatta tietoturvapoikkeama tai kyberhyökkäys ei ilmoita itsestään ennakkoon. Ennemmin tai myöhemmin jokainen kohtaa sellaisen, joten varautuminen on olennainen osa toiminnan jatkuvuuden turvaamista.
Mistä aloittaa?
Harjoittelu ja varautuminen saa hieman erilaisia muotoja yrityksien koon mukaisesti. Toiminta säännellyllä toimialalla tai yrityksen johdon päätös panostaa kyberturvallisuuteen motivoi taustalla harjoitustoiminnan vakiinnuttamista.
Harjoittelun ei tarvitse olla suurta, hankalaa tai massiivisesti aikaa vievää! Toiminta lähtee jo pienistä teoista. Arkinen dokumentointi ja virheisiin varautuminen on normaalia toimintakyvyn ylläpitoa, joka tukee organisaation kykyä toimia ongelmatilanteissa normaalissa arjessakin.
Huomioi henkilöstö ja osaaminen
Ensimmäisenä huomiona nostetaan esiin organisaation henkilöstö ja varautuminen.
Pienemmässä organisaatiossa on syytä kysyä, että onko organisaation IT-henkilö koko konttorin ninja, joka hoitaa kaiken hyvin hiljaisuudessa – mutta entä jos hän onkin lomalla? Kuka silloin hoitaa taustapalvelimien konffauksen?
Sen sijaan suuremmilla toimijoilla, joilla mahdollisesti kumppani vastaa ICT-palveluista on syytä varmistua dokumentaation saatavuudesta ja ajantasaisuudesta, että kumppanin kyvystä palauttaa palveluiden toiminta myös keskellä lomakautta taikka pandemiaa.
Tekninen varautuminen – priorisoi ja keskity kriittisiin asioihin
Toisena huomiona nostetaan esiin tekniikka ja tekniset varautumisen ratkaisut.
Varmuuskopiot – kaikki rakastavat varmuuskopioita! Milloin muuten viimeksi olet testannut niiden toimivuuden?
Organisaation näkökulmasta tässä kysytään vakiintuneita prosesseja, vaikka puhutaankin tekniikasta – viiden palvelimen ympäristön varmuuskopioiden hallinta ei vaadi kummoisempia prosesseja, mutta satojen palvelinten kokonaisuudessa on pakko lähestyä asiaa systemaattisesti. Tällöin vaaditaan priorisointia ja keskittymistä liiketoiminnan kannalta kriittisiin asioihin ja tietoihin.
Mitä tekemistä varmuuskopioiden palauttamisella on kyberharjoittelun kanssa? Sehän on vain yksi tekninen asia, jonka IT hoitaa? Poikkeamatilanteessa tarvitaan toimivaa yhteistyötä tietoturvan, IT:n ja muun organisaation kesken. Poikkeamasta palautuminen vaatii käsipareja tutkintaan, palveluiden palauttamiseen, mutta myös viestintään sisäisesti ja ulkoisesti.
Keskustelut, työpöytäharjoitukset ja monivaiheiset harjoituspelit – löydä oikea harjoittelumuoto
Tästä päästäänkin kolmanteen huomioon – itse harjoittelun eri muotoihin.
Kyberharjoittelussa lähtökohtana on varmistua kyvystä reagoida tyypillisimpiin tunnistettuihin tilanteisiin. Monesti luontevimpana lähteenä tähän voivat toimia organisaation aiemmin kohtaamat poikkeamat – onko näiden poikkeamien juurisyihin tehty aidosti korjaavia toimenpiteitä?
Kansallisella tasolla Traficomin Kyberharjoitusskenaariot vuodelta 2021 ja 2020 ovat konkreettisia esimerkkejä tapahtuneista asioista ja jokainen organisaatio on varmasti näistä osaan jo törmännyt. Materiaalia kannattaa hyödyntää omissa harjoituksissa – olivat ne tiimin sisäisiä keskusteluita, työpöytäharjoituksia tai ulkoisen fasilitoijan toteuttamia monivaiheisia harjoituspelejä.
Harjoittelun aloittaminen kevyimmillään voi olla skenaarioiden läpikäyntiä sopivalla kokoonpanolla ihan keskustellen. Tästä kuitenkin varoituksen sana: Jos vastuun näkökulmasta tuntuu, että vastaus on ”N.N hoitaa” tai ”kumppani osaa”, on hyvä kutsua myös tämä taho mukaan ja varmistua kyvykkyydestä reagoida poikkeamaan. Jos kumppanit ja yhteistyötahot on kutsuttu saman pöydän ääreen, kannattaa panostaa joko sisäisesti tai ulkoisen kumppanin kanssa harjoittelun fasilitointiin työpöytäharjoituksena.
Jos harjoittelu on organisaatiolle uutta, on parasta lähteä liikkeelle työpöytäharjoituksien kautta.
Työpöytäharjoitukset ovat monesti tehokkain ja helpoin tapa kerätä oppeja organisaation kyvystä toimia poikkeamatilanteissa. Tämä on myös yksi tyypillisimmistä Elisan sisäistä tavoista harjoitella erilaisia poikkeamatilanteita. Harjoittelemme myös asiakkaidemme kanssa samalla konkretisoiden Elisan yhteiskuntavastuun strategiaa.
Security Advisory -palveluiden konsulttimme tarjoavat harjoitusten fasilitointia ja järjestämistä myös asiakkaillemme. Pystymme näin jakamaan osaamistamme ja vahvistamaan asiakkaidemme kyberresilienssiä erilaisia poikkeamia vastaan.
Monivaiheiset harjoituspelit ovat valmius- ja kyberharjoitusten kattavin tapa resilienssin kasvattamiseen. Tällaisesta esimerkkinä kansallinen TIETO-harjoitus, johon Elisakin osallistuu, sekä TAISTO-harjoitukset, joissa olemme olleet asiakkaidemme kanssa mukana pelipöydän ääressä palveluntuottajan roolissa.
Monivaiheiset ja perusteellisesti suunnitellut pelit voivat pitää sisällään moniulotteisia toimia lähtien haastatteluiden antamisesta aina tietokannan palautukseen tarkoitusta varten järjestettyyn harjoitusympäristöön. On kuitenkin kohtuuden nimissä todettava, että moni asia saadaan jo keveämmissä työpöytäharjoituksissa selville ja mikäli harjoittelu on organisaatiolle uutta, on parasta lähteä liikkeelle työpöytäharjoituksien kautta.
Kehitä toimintaa havaintojen pohjalta
Harjoittelutavasta riippumatta on tärkeää käsitellä harjoituksen kaikki havainnot ja kehittää toimintaa niiden pohjalta. Arkisia esimerkkejä on muun muassa kaikkien avainhenkilöiden yhteystietojen saatavuuden varmistaminen ja tarkasta vastuunjaosta sekä tiedostuskäytännöistä sopiminen poikkeustilanteissa. Harjoittelusta on tärkeää tunnistaa organisaation onnistumiset ja erinomaisuuden merkit pehmeiden kohtien lisäksi, jotta jatkuva parantaminen ja vahvuuksien ylläpitäminen on mahdollista.
Tilanteestanne riippumatta tärkeintä on harjoitella koska tekemällä oppii! Paras aika aloittaa harjoittelu ja kypsyyden kasvattaminen on ollut jo eilen, mutta tänään ei ole vielä liian myöhäistä varautua huomisen ongelmiin. Turvallisuuteen sijoittaminen on yrityksen toimintakykyyn sijoittamista.
Tutustu Elisan Kyberturvapalveluihin ja asiantuntijapalveluihin.
Lue myös
Yritysten kriittisin data turvaan kyberhyökkäyksiltä
Varautuminen on maraton, ei 100 metrin juoksu