Kyberriskit haltuun yhteistyöllä

Tietomurto, jonka johdosta vääriin käsiin päätyy suuri määrä erittäin arkaluonteista potilastietoa. Rikolliset yrittävät tehdä näillä tiedoilla rahaa. Ketä hyökkäys koskettaa kaikkein eniten? Yksittäisiä ihmisiä, jotka saattavat jo ennestään olla avun tarpeessa. Julkisuudessa tänä syksynä 2020 pinnalla oleva tapaus on yksi järkyttävimmistä ja röyhkeimmistä verkossa tapahtuvista rikoksista, joihin olen itse urallani törmännyt. Se osoittaa valitettavalla tavalla, kuinka ICT-ympäristössä oleva kyberriski voi konkretisoitua todella laajaa joukkoa koskettavaksi ongelmaksi.

Kyberhäiriöiden vakavatkin vaikutukset suoraan liiketoiminnan ytimeen ovat osa uutta todellisuutta, jossa elämme ja operoimme. Siihen tulee varautua yhdessä tietohallinnon ja liiketoimintajohdon voimin. Organisaatioissa tarvitaan avointa dialogia uhista ja riskeistä, liittyivät ne sitten fyysiseen tai digitaaliseen maailmaan. Ylin johto on aina vastuussa, myös turvallisuuden johtamisesta, mukaan lukien kyberturvallisuuden. Organisaation liiketoimintajohto, turvallisuus- sekä tietohallinto-organisaatio tarvitsevat yhteisen kielen kyberuhista ja riskeistä keskustelemiseen. Samaa kieltä puhuttaessa, kyberuhkien mahdolliset vaikutukset liiketoiminnalle kyetään arvioimaan riittävän todenmukaisesti, ja näiden riskien hallitsemiseksi voidaan laatia realistiset ja toteutuskelpoiset suunnitelmat.

Riskienhallinnan ensimmäinen tärkeä huomioitava asia on, että parhaillakaan toimenpiteillä ei voida kokonaan poistaa riskin toteutumisen mahdollisuutta. Kyberriskejä tarkasteltaessa tämä on erittäin tärkeä asia; Liiketoiminnan tarpeet nopealle kehitykselle osana nopeasti etenevää digitalisaatiota, tästä seuraava ICT-ympäristöjen ketterä ja ripeä kehitystrendi sekä aina nopeasti kehittyvä uhkaympäristö ovat kaikki sitä arkea, missä tällä hetkellä elämme.

Kyberturvallisuudesta huolehtiminen ei ole projekti, jossa asiat voidaan laittaa kerralla kuntoon, vaan se on tapa toimia ja ajattelumalli, jonka tulee olla sisäänrakennettu liiketoiminnan ytimeen siten, että uhkiin kyetään mahdollisimman usein puuttumaan ennen niiden konkretisoitumista. Yhtenä tärkeänä riskienhallintakeinona tulee myös kehittää organisaation kykyä havaita poikkeamia toimintaympäristössään. Samaan aikaan organisaatioissa tulee myös olla toimintatavat ja varautumissuunnitelmat poikkeamien korjaamisesta mahdollisimman nopeasti, huomioiden oppimisen avoimessa hengessä virheistä, jotka johtivat poikkeaman konkretisoitumiseen. Tavoitteena tulee olla toiminnan parantaminen, ei tehdä samaa virhettä enää uudestaan!

Ylätasolla tarkasteltuna kyberriskienhallinta voidaan siis jakaa kahteen vaiheeseen: proaktiivinen ennaltaehkäisevä toiminta sekä reaktiivinen poikkeamiin reagoiminen ja ongelmien korjaaminen. Molempien osa-alueiden tulee olla kunnossa.

Proaktiivinen ennaltaehkäisevä toiminta:

  1. Tunnista ja priorisoi suojattavat kohteet – Missä järjestelmissä käsittelemme tietoa, ja mikä on tämän tiedon arvo
  2. Tunnista riskit mitkä näihin voi kohdistua – Mitkä uhat kybermaailmassa liiketoiminnan keskeisiin järjestelmiin ja tietoon voi kohdistua, mukaan lukien riskin todennäköisyydet ja vaikutukset
  3. Ennaltaehkäise riskien konkretisoituminen – hallinnolliset ja tekniset toimenpiteet millä estetään ja ennaltaehkäistään mahdollisimman suuri osa kyberpoikkeamista

 

Reaktiivinen ongelmien korjaaminen:

  1. Havaitse poikkeamat – kyky tunnistaa normaalista poikkeavat ilmiöt, liittyvät ne sitten käyttäjiin, laitteisiin, verkkoihin, sovelluksiin jne.
  2. Kyky tutkia ja selvittää ongelma – tietoturvapoikkeamanhallinta toimenpiteet mitkä tähtäävät todisteiden selvittämiseen siitä mitä on tapahtunut ja miksi
  3. Ongelman korjaamiseen tähtäävät palauttavat toimenpiteet – oikea-aikaiset ja laajuiset korjaavat toimenpiteet, kuten järjestelmän päivittäminen, tietoliikennemuutosten tekeminen sekä käyttäjän salasanan vaihtaminen

 

Näiden toimintatapojen jalkauttaminen voi lähteä organisaation ylimmässä johdossa liikkeelle yksinkertaisten kysymysten kautta, mitkä linkittyvät yllä oleviin proaktiivisiin ja reaktiivisiin vaiheisiin:

Tietojärjestelmät osana liiketoiminnan jatkuvuutta: Olemmeko arvioineet liiketoiminnan digitaalisiin ulottuvuuksiin kohdistuvia riskejä osana liiketoiminnan jatkuvuuden turvaamista? Millaisia vaikutuksia näillä riskeillä on liiketoiminnan jatkuvuuteen? Päivitämmekö tilannekuvaa säännöllisesti, niin että liiketoiminnan kehittyminen ja uhkien muuttuminen on huomioitu?

Digitaalisten järjestelmien suojaus: Ovatko liiketoiminnan ytimessä olevat digitaaliset järjestelmät suojattu riittävällä tavalla vastaamaan niihin kohdistuviin uhkiin? Onko meillä todisteaineistoa, että järjestelmien suojaus vastaa niitä vaatimuksia, joita niissä käsiteltävä tieto edellyttää? Miten varmistamme, että tämä tieto on riittävän ajantasaista?

Henkilöstön osaaminen ja koulutus: Miten huolehdimme, että henkilöstömme ymmärtää oman roolinsa ja vastuunsa tietojen käsittelyssä? Ovatko kyberturvan koulutus- ja valmennuskäytäntömme sekä hallinnolliset politiikat ajan tasalla ja jalkautettu riittävällä tasolla koko henkilöstölle?

Poikkeamien havainnointi: Jos ennaltaehkäisevistä toimenpiteistä huolimatta tietojärjestelmiimme pääsee ulkopuolinen taho (päätelaitteen, digitaalisen identiteetin, liiketoimintasovelluksen kuten potilastietojärjestelmän, pilvipalvelua tms. kautta) onko meillä kyky havaita normaalista poikkeava toiminta? Miten tätä näkyvyyttä mitataan ja kykenemmekö seuraamaan, että havainnointikykymme kohdistuu oikeisiin riskeihin?

Poikkeaman selvitystyö: Jos, tai kun liiketoimintajärjestelmiimme kohdistuu kyberpoikkeama tai sen epäily, onko meillä sovitut toimintatavat ongelman laajuuden ja vaikutusten selvittämiseen? Kuka vastaa selvitystyöstä ja toipumisesta? Onko oman henkilöstön osaaminen riittävällä tasolla ja varaudutaanko ongelmiin harjoittelemalla keskeisiä toimintatapoja oman organisaation sekä keskeisten kumppanien kanssa? Miten huolehdimme tiedottamisesta poikkeaman aikana, on kyseessä sitten regulaatiovelvoite, viranomaisyhteistyö, sidosryhmät tai asiakkaat? Minkälaisia päätöksiä ylin johto voi joutua kyberpoikkeamatilanteessa tekemään?

Korjaavat toimenpiteet: Miten varmistamme kyberpoikkeamatilanteessa mahdollisimman nopeat korjaavat toimenpiteet? Miten estämme lisävahingot ja palautamme liiketoiminnan normaaliin tilanteeseen? Kuka koordinoi näitä toimenpiteitä ja varmistaa että kaikki keskeiset toimijat sekä toimittajat toteuttavat omalla vastuullaan olevat tehtävät? Miten varmistamme, että poikkeamatilanteen juurisyyt saadaan korjattua siten että sama ongelma ei toistu uudestaan? Miten analysoimme saadut opit ja jalkauttamme nämä käytäntöön?

Näihin kysymyksiin ei ole yhtä ja oikeaa vastausta eikä odotusarvo kannatakaan olla, että kaikki asiat olisivat meillä kunnossa. Uhkista, riskeistä ja organisaation valmiuksista näihin tulee pystyä keskustelemaan avoimesti ja rehellisesti. Vain näin kyetään tarttumaan härkää sarvista, yhdessä, ja ryhtymään toimenpiteisiin, joilla kyberriskien seuranta ja hallinta saadaan kiinteäksi osaksi liiketoiminnan laadukasta ja vastuullista toimintaa!

Lue Mikko Toivosen blogi: Palo Alto Cortex MDR -tunnustus Elisalle – Mitä, Miten, Missä ja Miksi?

Kirjoittanut

Kirjoittaja työskentelee Elisan Yritysasiakasliiketoiminnassa Kyberturvapalveluiden johtajana. Karisella on 20 vuoden kokemus fyysisen ja digitaalisen turvallisuuden parissa työskentelystä niin Puolustusvoimissa kuin julkisella sekä yksityisellä sektorilla johto-, suunnittelu ja asiantuntijatehtävissä niin kotimaisessa kuin kansainvälisessä kehyksessä.