Kyberturvallisuus vaatii jatkuvaa parantamista

Lukuaika 3 min

Elisalla on teleoperaattorina suuri vastuu verkkonsa turvallisuudesta sekä sen suojaamisesta kyberhyökkäyksiä vastaan niin yritys- kuin kuluttaja-asiakkaidensa kuin koko yhteiskunnan toiminnan kannalta.

Kyberturvallisuudesta huolehtii Elisan oma kyberturvakeskus (cSOC), jossa verkon toimintaa tarkkaillaan vuorokauden ympäri. Elisa tarjoaa kyberturvakeskusta myös ulkoistettuna palveluna asiakkailleen.

Kyberturvakeskusten toimintaa on ollut kuitenkin perinteisesti hankala testata ja mitata. Elisa ratkaisi haasteen siirtymällä jatkuvan testauksen malliin, jossa sillä on parantuneen tietoturvan lisäksi käytössään jatkuva ulkoinen, reaaliaikainen mittaristo toiminnan laadun seuraamiseksi.

Perinteinen murtotestaus on kankeaa, kallista ja tehotonta

Monet yritykset testaavat kyberturvakeskustensa toimintaa murto- tai penetraatiotestauksilla, mutta testaus on usein pistemäistä, korkeintaan muutamia kertoja vuodessa tapahtuvaa toimintaa ja tulokset rajoittuvat käytössä olleeseen aikaan ja kohteeseen.

Tavanomainen murtotestaus vaatii myös paljon suunnittelua ja on niin kallista, ettei sitä pystytä käytännössä tekemään niin paljon kuin pitäisi. Pelkkään automaatioon perustuvat testausmenetelmät jättävät taas monia tietoturvan elementtejä huomiotta.

Ulkoa hankittavat murtotestaukset suoritetaan tyypillisesti siten, että ensin valitaan kohde, sitten tehdään testejä ja lopuksi laaditaan raportti havainnoista ja mahdollisista puutteista. Asiakkaan tehtäväksi jää joko itse tai konsultin avulla yrittää korjata havaitut ongelmat.

Jatkuva testaus huomioi kyberturvallisuuden kaikki elementit

Elisa kaipasi jatkuvampaa, räätälöidympää ja syvemmälle pureutuvaa mallia kyberturvallisuuden kehittämiseen. Nyt Elisa tekee kumppaninsa kanssa jatkuvaa testausta yksittäisten, pistemäisten testausten sijaan.

Kun perinteisessä tietojärjestelmien murtotestauksessa ovat vastakkain punainen tiimi hyökkääjänä ja sininen tiimi puolustajana, Elisan jatkuvan testauksen mallissa punainen ja sininen tiimi on yhdistetty violetiksi tiimiksi. Violetin tiimin toiminta perustuu ”vihollisten” jatkuvaan ja tiiviiseen yhteistyöhön, jonka myötä Elisa pystyy tekemään parannuksia kyberturvakeskuksensa toimintaan nopeasti.

Jatkuvassa testauksessa mallinnetaan erilaisia hyökkäyksiä, ja Elisan tietoturvakumppani tekee sovitusti hyökkäyksiä. Tiimit tutkivat yhdessä, tuliko hyökkäyksestä hälytystä ja onko sitä vastaan automaatiota ja jos on, toimiiko se oikein.

Testauksessa selvitetään myös, toimivatko ihmiset ja prosessit niin kuin niiden pitäisi. Jatkuvan parantamisen malli ottaa siis teknologian, ohjeistuksen ja ihmisen toiminnan muodostaman kokonaisuuden huomioon huomattavasti paremmin kuin perinteiset murtotestaukset.

”Urani varrella on tullut vastaan sellainenkin tapaus, jossa murtotestaaja yritti päästä erään yrityksen tärkeälle, suojatulle serverille. Murtautuja suoritti hyökkäyksiä hyökkäysten perään automaatiolla, mutta yrityksen kyberturvakeskus ei reagoinut hyökkäyksiin mitenkään. Kun jälkikäteen ihmeteltiin, miksei hyökkäyksiin reagoitu, kävi ilmi että ihmiset olivat toimineet täysin ohjeistuksen mukaan: torjuttuihin hyökkäyksiin ei tarvinnut ohjeistuksen mukaan reagoida”, kertoo Elisan tietoturvajohtaja Teemu Mäkelä.

Nopeasti hyökkäysten jäljille ja stoppi uusille

Jatkuvan testauksen mallissa ongelmia pystytään  korjaamaan hyvin usein jopa reaaliaikaisesti. Isommat kehityskohteet otetaan kehityskartalle ja priorisoidaan sen mukaan, kuinka kriittisiä ne ovat.

”Jos testeissä huomataan että jokin osa-alue kokonaisuudesta ei toimi kuten pitäisi, voidaan korjaavia toimenpiteitä suunnitella yhdessä palveluntuottajan kanssa ja korjausten jälkeen suorittaa uudet testaukset, jolla varmistetaan korjausten toimivuus. Olemme tämän mallin avulla oppineet tunnistamaan entistä paremmin hyökkäysmenetelmiä ja hyökkäysketjuja sekä sitä, miten hyökkääjät liikkuvat verkossa, samoin kuin hyökkääjien tarkoitusperiä ja kohteita”, Mäkelä kertoo.

Jatkuva testaus on yhteistä kehitystä, joka tarjoaa selkeän kuvan kyberturvan tasosta ja jossa havaitut tietoturva-aukot pyritään tukkimaan mahdollisimman nopeasti. Jatkuvassa testauksessa violetin tiimin yhteistyö on käytännössä jokapäiväistä, ja sen toimintaa pystytään skaalaamaan tilanteen mukaan.

”Monet organisaatiot ostavat kyberturvakeskuksen palveluna saadakseen ympärivuorokautisen kyberturvavalvonnan ja reagoinnin itselleen. Organisaatioille ei riitä turvallisuuden tunteen ostaminen vaan ne haluavat tietää, miten kyberturvakeskus toimii ja kuinka tehokas se aidosti on. Jatkuvalla testaamisella nähdään kyberturvakeskuksen aito havainnointi- ja reagointikyky”, toteaa Mäkelä.

Jatkuva testaus on osa jatkuvan parantamisen kulttuuria

”Ymmärryksemme kasvaa ja kehittyy jatkuvasti. Tietoturvan kehittäminen jatkuvalla mallilla on paljon tehokkaampaa, mielekkäämpää ja innostavampaa kuin että audit-tyylisen testauksen jälkeen ruvettaisiin korjaamaan havaintoja itse tai tilattaisiin testauksen jälkeen ulkopuolinen tietoturvayhtiö ratkomaan ongelmia”, kertoo Mäkelä.

Jatkuvan testaamisen avulla Elisalla onkin pystytty viemään eteenpäin yritykselle tärkeitä teemoja; osaamisen kehittämistä, jatkuvaa parantamista sekä vahvan kyberkulttuurin kasvattamista yrityksen sisällä. Saman tyyppistä mallia toteutetaan koko organisaation tasolla, sillä elisalaiset harjoittelevat sähköpostitse lähetettävien kalasteluviestien tunnistamista jatkuvan simulaatioharjoittelun avulla,  osana jokapäiväistä työtään.

Elisa tekee jatkuvaa testausta yhteistyössä tietoturvayhtiö Fraktalin kanssa.

Lue myös

Poikkeusaikana kyberturvan perusasiat kuntoon

Näin Caruna pitää kyberrikolliset pois sähköverkosta

Missä mahdollisuus, siellä rikollinen. Kyberturva alkaa loppukäyttäjistä ja päätelaitteista

Kyberharjoitukset varmistavat yhteiskunnan toiminnan jatkuvuutta