Varaudu kyberhyökkäykseen – kyse ei ole jos, vaan milloin

Lukuaika 4 min

Mikä on kyberhyökkäys? Kyberhyökkäys on digitaalisessa toimintaympäristössä tehty vihamielinen operaatio, jonka tarkoituksena on joko varastaa tai väärentää tietoa, häiritä, lamauttaa tai tuhota organisaation järjestelmiä. 

Esimerkkitapaus: hyökkäys kohdistuu organisaation toiminnan osalta keskeiseen verkkopalveluun. Tietoturvatiimin tekemä analyysi paljastaa, että hyökkääjä on päässyt murtautumaan kriittiseen järjestelmään. Palvelu eristetään nopeasti tietomurtotutkintaa (forensiikka) varten ja pyritään minimoimaan lisävahingot. Palvelun omistava taho ei ymmärrä, miksi toiminnan kannalta kriittinen palvelu ja keskeinen tulonlähde pitäisi ottaa pois käytöstä, kun järjestelmä itsessään toimii normaalisti. Järjestelmän lyhytaikainenkin alas ajaminen toisi organisaation toiminnalle merkittäviä taloudellisia vaikutuksia. Miten edetä tilanteessa, jossa vaakakupissa on murtoepäily ja taloudellinen näkökulma?  

Etukäteisvarautuminen  

Varautuminen kyberturvapoikkeamiin on monitahoinen asia. Kyberturvapoikkeama on tapahtuma tai olotila, jonka seurauksena tietojen ja palvelujen eheys, luottamuksellisuus tai saatavuus on vaarantunut. Poikkeama voi olla tahallisesti tai tahattomasti aiheutettu.  Kun puhutaan kyberresilienssistä viitataan usein kyvykkyyteen toimia huolimatta kyberturvapoikkeamista, joita sattuu kaikille. Olen usein käyttänyt vertauskuvallisesti puuta, jonka päälle sataa painavaa lunta ja puun varsi taipuu ja taipuu, mutta ei katkea. Tai pilvenpiirtäjiä Japanissa, jotka rakennetaan ymmärtäen, että maanjäristyksiä tulee. Kyse on milloin, ei jos. 

Kyberresilienssin merkitys on kasvanut viime aikoina, kun kyberturvapoikkeamien vaikutus ei rajaudu enää ”IT-juttuihin” vaan häiriöt näkyvät jatkuvasti digitalisoituvassa maailmassa ihmisten arjessa ja yhteiskunnan toiminnassa. 

Varautumisessa tulee panostaa etenkin organisaation toiminnan kannalta kriittisiin prosesseihin ja näiden tarvitsemiin resursseihin. Mitkä ovat kaikkein keskeisimmät toiminteet, joiden varassa organisaatio toimii? Mikäli tärkeimpiä resursseja ei pystytä tunnistamaan, ei niitä voida myöskään suojata tehokkaasti. Varsinkin tietojärjestelmiä tunnistettaessa tulee huomioida eri järjestelmien ja palveluiden väliset riippuvuussuhteet, mitä arvioitava järjestelmä tarvitsee (esim. tietokannat, muut järjestelmät) toimiakseen. Ovatko organisaation ulkopuoliset riippuvuussuhteet, kuten alihankkijat ja laitetoimittajat, tunnistettu sekä näiden varautumisen taso varmistettu? 

Ovatko palveluiden toivuttamisesta vastaavat henkilöt tehtäviensä tasalla ja käytettävissä, kun tilanne tulee eteen? Tietävätkö he, miten palvelut palautetaan tarvittaessa varmuuskopioista asianmukaisin testauksin? 

Normaalitoiminnan palautumissuunnittelun suhteen tulee huomioida seuraavat asiat: 

  • Recovery time objective (RTO) eli aika, jossa järjestelmä, palvelu tai prosessi tulee saada takaisin toimintaan. Mikäli kyseessä on toiminnan kannalta kriittinen kohde, tulee toipumisen tavoiteaika olla matalalla. Tämän tulee myös ohjata mahdollisen palveluntarjoajan SLA-vaatimuksia. 
  • Recovery point objective (RPO) eli piste tai tila, johon järjestelmä, palvelu tai prosessi pystytään palauttamaan varmuuskopioista. Tämä määritellään sillä perusteella, kuinka paljon tietoa ollaan valmiita menettämään, mikäli häiriö iskee juuri ennen seuraavaa varmuuskopiosykliä. Esimerkiksi jos varmuuskopiot otetaan kerran päivässä klo 00:00 ja häiriö iskee 23:59, palautettaessa palataan käytännössä edellisen vuorokauden tasolle ja kaikki tiedot kyseiseltä päivältä on menetetty. Mikäli tietoja ei voida menettää lainkaan, tulee järjestelmä kahdentaa, mieluiten erillisiin maantieteellisiin sijainteihin. 
  • Maximum tolerable point of disruption (MTPD) eli aika, jossa häiriön vaikutukset kasvavat sietämättömäksi organisaation toiminnan kannalta ja saattavat johtaa jopa organisaation toiminnan lopettamiseen.  

 

Kun edellä mainitut asiat on tunnistettu ja määritelty etukäteen, voidaan selvittää, vastaavatko organisaation varautumismekanismit asetettuja tavoitteita. Onko organisaatiolla todellinen valmius palautua tavoiteajassa ilman merkittäviä vaikutuksia normaaliin toimintaan. 

Kun asiat ovat kunnossa paperilla, kannattaa ainakin kriittisimpien järjestelmien osalta pyrkiä testaamaan tietojen palauttamista varmuuskopioista tai harjoittelemaan suuremman järjestelmäkokonaisuuden palauttamista testiympäristöön, jotta osataan tunnistaa mahdollisia kehityskohteita, kun tosipaikka koittaa. 

Lisäksi tulee huomioida, että kaikki organisaation vakituiset resurssit eivät välttämättä ole käytettävissä. Tästä syystä on ensisijaisen tärkeää, että järjestelmien ja palveluiden palauttamiseen ja toivuttamiseen on olemassa riittävän kattava ohjeistus. 

Lisää vinkkejä varautumistoimenpiteisiin täällä:
Kyberturvallisuuden tärkeys korostuu poikkeusaikoina

Havainnointi- ja reagointikykyä taas voi harjoitella ja jatkuvasti parantaa esimerkiksi Purple teaming -harjoittelulla. Lue lisää aiheesta: Kyberturvallisuus vaatii jatkuvaa parantamista

Päätöksenteko ja johtaminen 

Kyberturvapoikkeaman osuessa kohdalle, tilanne on usein hyvin hektinen ja päätöksiä pitää pystyä tekemään nopeasti. Hyvän päätöksen tekemiseen tarvitaan riittävästi tietoa, mutta usein päätös pitää pystyä tekemään vajavaisten tietojen varassa. Pysäytetäänkö jokin tärkeä liiketoimintaprosessi tai jopa koko yrityksen liiketoiminta poikkeaman leviämisen estämiseksi? Eri skenaarioihin on syytä määritellä ennalta niin sanottu pelikirja (playbook) eli miten toimitaan eri tilanteissa. Esimerkiksi lunnashaittaohjelman (ransomware) levitessä yrityksen verkossa tulee olla selkeä käsitys siitä, kenellä on valtuudet tehdä päätös mahdollisesta liiketoiminnan tilapäisestä sulkemisesta. 

Harvalla organisaatiolla itsellään on voimavaroja hallita laajamittaista kyberturvapoikkeamaa yksin. Esimerkiksi tietomurtotutkintaan tarvittavat kyvykkyydet ovat usein keskittyneitä yrityksiin, jotka ovat erikoistuneet tarjoamaan kyberturvallisuutta palveluna. Miten vakavissa poikkeamissa organisoidutaan? Onko poikkeamahallinta sisäänrakennettu organisaation rakenteisiin vai onko poikkeamahallinnalle rakennettu oma organisaatio? Mikäli poikkeaman hallinnassa ja tutkimisessa tarvitaan tukea, kenellä on valtuus hankkia osaamista ja tilapäistä henkilöstöresurssia yrityksen ulkopuolelta? Organisaation omien resurssien osalta tulee pohtia valmiuksia hälytyksiin, ylitöiden teettämiseen ja jopa lomien perumiseen.  

Poikkeaman sattuessa, yksi tärkeimmistä asioista on viestintä. Kuka vastaa poikkeamaviestinnästä sisäisesti ja ulkoisesti? Mitä viestitään missäkin vaiheessa? Myös lainsäädäntö tulee ottaa huomioon, esimerkiksi henkilötietojen ollessa kyseessä. Useissa julkisuudessakin esillä olleissa tapauksissa avoimuus on tuonut parempia lopputuloksia kuin vaikeneminen, mutta ajoitus on tärkeä. Esimerkiksi ei ole hyvä kertoa poikkeaman laajuudesta ja vaikutuksista ennen kuin tilanteesta on itsellä riittävä varmuus. 

Kyberturvapoikkeamien havainnointi- ja reagointikyvykkyys on tärkeää. Poikkeama voidaan havaita joko organisaation omilla havainnointiin käytettävillä työkaluilla, tai esimerkiksi tietoturvavalvontaa palveluna tarjoavan kumppanin kautta. Lisäksi poikkeamatieto on mahdollista saada sisäisen tai ulkopuolisen osapuolen ilmoituksesta. Kaikki oleelliset tietolähteet kannattaa hyödyntää. 

Saadun tiedon (esim. lokitiedot, järjestelmistä saatavat hälytykset, poikkeamailmoitus) perusteella käynnistetään häiriöhallinnan prosessi, jossa kootaan ennaltamääriteltyjen periaatteiden mukaan poikkeustilannetta ratkova tiimi. Poikkeustilanteessa jokainen mukana oleva henkilö tietää tilanteen vaatimat roolit, vastuut, kommunikaatiotavat, ratkaisuvaihtoehdot ja toipumissuunnitelmat. Ryhmän vetäjä vastaa poikkeaman tilannejohtamisesta, säännöllisestä tiedottamisesta muulle organisaatiolle sekä toimii puskurina organisaation ja selvitystyötä tekevien henkilöiden välillä. Tilanteessa on tärkeää antaa asiantuntijoille työrauha, jotta ylimääräisiltä keskeytyksiltä vältytään ja poikkeamatilanne saadaan purettua nopeammin. 

Poikkeamatilanteen analysoinnin perusteella hyökkäys rajataan, estetään leviäminen sekä pyritään poistamaan haitalliset vaikutukset organisaation toimintaan. Korjaavilla toimenpiteillä (esim. järjestelmäpäivitykset) varmistetaan, ettei tilanne enää toistu eikä palautettu ympäristö ole enää altis hyökkäyksille samasta haavoittuvuudesta.  

Paluu normaaliin  

Tilanteen palautuessa normaaliksi, puretaan mahdolliset poikkeaman aikana tehdyt väliaikaiset järjestelyt ja ratkaisut. 

Hallitun palautumisen jälkeen on syytä viedä läpi tarkka juurisyyanalyysi, jossa käydään läpi, mistä poikkeama johtui, miten poikkeamatilanne ratkaistiin ja mitä kehittämiskohteita löydettiin. Analyysissä ei ole tarkoitus etsiä syyllisiä vaan varmistaa, että tapahtuneesta opitaan ja ettei vastaava tilanne toistuisi. Miten toimitaan jatkossa paremmin? Onko syytä päivittää omia ohjeistuksia? Mitä lisäsuojausta tarvitaan?  Purkutilaisuuden loppuraportti jaetaan olennaisille sidosryhmille niin organisaation sisällä kuin ulkopuolella ja kehitystoimenpiteiden toteuttamisen osalta varmistutaan riittävästä seurannasta, mielellään jotain olemassa olevaa kehitysprosessia noudattaen.    

Tuoreet opit tulee viedä käytäntöön, tehdä päivitykset jatkuvuudenhallinnan suunnitelmiin, pelikirjoihin, resursointiin ja tarvittaessa myös budjetteihin. 

Kuten blogin alussa totesin, poikkeamatilanteita sattuu kaikille ja kyse on enemmänkin siitä, milloin kyberhyökkäys osuu omalle kohdalle. Tärkeintä on, että kyberpoikkeamat pystyy havaitsemaan ja reagoimaan mahdollisimman varhaisessa vaiheessa. Kannustan kaikkia avoimeen tiedonjakoon ja yhteistyöhön, jotta voimme oppia toisiltamme! 

Tutustu myös:

Tietoisku yrittäjille – kuinka varautua kyberuhkiin?

Kirjoittanut

Kirjoittaja työskentelee Elisan tietoturvajohtajana vastuullaan kyberturvallisuuden kokonaisuus. Mäkelä on työskennellyt lähes 20 vuotta tietoturva- ja tietoliikenne-alalla ja hänellä on kokemusta niin suurista kansainvälisistä ICT-alan yrityksistä kuin alan konsultoinnista. Teemu Mäkelä sai syksyllä 2020 Vuoden Tietoturvapäällikkö® -tunnustuksen.