Helsingin seudun kauppakamarin teettämä ”Yrityksiin kohdistuvat kyberuhat 2019” -selvitys osoitti, että vain isommissa yrityksissä on selkeästi panostettu kyberpoikkeamien varautumissuunnitelmiin, eli miten toimia kyberpoikkeamatilanteessa.
Yli 200 hengen organisaatioissa 63% vastaajista ilmoitti että tunkeutumisen varalle on laadittu käytännössä toimivat suunnitelmat tunkeutumisen varalle. Tulos on parantunut 11% neljän vuoden aikana.
Pienemmissä organisaatioissa on asiaa ei ole tyypillisesti vielä käsitelty riittävästi: Kolmasosa kaikista vastaajista (35 %) kertoi heillä olevan käytännössä toimivia suunnitelmia tunkeutumisten varalle. Puolet kaikista vastaajayrityksistä (49 %) kertoi ettei heillä ollut toimivia suunnitelmia tunkeutumisten varalle.
Suunnitelma tunkeutumisen varalle on erinomainen lähtökohta kyberpoikkeamiin varautumisessa, mutta ilman toimenpiteiden harjoittelua niiden toteuttaminen poikkeamatilanteessa voi olla vähintäänkin haastavaa.
Kyselyn mukaan vain joka kymmenes yritys on harjoitellut ja testannut suunnitelmiensa toimivuutta. Ja kun suunnitelmia oli kyselyn mukaan laadittu keskimäärin vain joka kolmannessa yrityksessä, on kyselyn johtopäätös että vain noin kolme prosenttia kaikista vastaajayrityksistä on harjoitellut kyberhyökkäyksen varalta!
Harjoittelun keskeinen tavoite on tunnistaa käytännön uhkiin sitoen miten hyvin suunnitelman oikeasti toimivat; onko tarvittavat tiedot saatavilla, toimiiko työkalut millä selvitystä pitäisi toteuttaa, saadaanko oikeat ihmiset tavoitettua, miten yhteistyö viranomaisten ja palveluntarjoajien kanssa onnistuu, löytyykö tarvittavat yhteystiedot jne.
Nämä ovat esimerkkejä kysymyksistä mihin kyberharjoittelulla voidaan hakea vastauksia, eli käytännössä; toimivatko suunnitelmamme oikeassa elämässä?
Jos suunnitelmat joudutaan koeponnistamaan oikeassa tunkeutumistilanteessa, on enemmän kuin todennäköistä että menetetään vähintään kallisarvoista aikaa. Kun peilataan tämän päivän kyberuhkiin, on havainnointi- ja reagointitoimenpiteiden nopeus keskeisessä roolissa.
Kyberpoikkeamaharjoitukset vuonna 2020
Elisan ja Palo Alto Networksin marraskuussa 2020 yhdessä järjestämässä harjoituksessa päästiin tutustumaan kuinka nykyaikaisilla työvälineillä, Cortex XDR:n avulla, voidaan havainnoida tietomurtotapauksia organisaation verkossa.
Harjoituksessa tutkittiin kuvitteellisen vähittäismyyntiketjun tietomurtoa. Kyseisessä tietomurrossa oli useita viitteitä todellisiin, tapahtuneisiin tietomurtoihin kuten esimerkiksi Target-ketjun tietovuotoon.
Osallistujat havaitsivat, kuinka tärkeää on kiinnittää huomio tärkeisiin hälytyksiin ja tapahtumiin sekä niiden välisiin suhteisiin tietomurtojen selvittämisessä.
Kuinka sitten valtavasta hälytysten määrästä poimitaan tärkeät, toisiinsa liittyvät hälytykset ja muodostetaan näistä kokonaiskuva? Se onnistuu vain kehittyneillä ratkaisuilla, joista Cortex XDR pitää kärkipaikkaa.
Cortex XDR osaa yhdistää eri lähteistä tulevat, toisiinsa liittyvät hälytykset samaan tietoturvatapahtuman alle sekä koostaa automaattisesti hyökkäysketjun ja selvittää hyökkäyksen juurisyyn, jotta mahdollisimman nopeasti ymmärretään, mitä hyökkäyksen aikana on tapahtunut.
Harjoitukseen osallistujat havaitsivat myös, kuinka tärkeää on kokonaiskuvan kannalta saada logidataa mahdollisimman monesta lähteestä, kuten esimerkiksi palomuureista ja päätelaitteista. Lisäksi on tärkeää, että yhdellä ratkaisulla ja yhden näkymän alle, voidaan koostaa eri järjestelmien, ei vain yhden valmistajan, tuottamat logit yhdeksi kokonaisuudeksi.
Huomionarvoinen havainto oli myös se, että vain kriittisiin hälytyksiin reagoiminen ei välttämättä riitä vaan harjoituksessa huomattiin myös, että alemman kriittisyystason hälytykset ovat monesti ensimmäiset signaalit epäilyttävästä toiminnasta organisaation verkossa. Juuri näiden pienten, heikkojen signaalien havaitseminen on tärkeää, jotta tietomurrot voitaisiin estää ja vahingot minimoida.
Työpajan lopuksi keskityttiin myös proaktiivisiin tehtäviin eli uhkien metsästykseen organisaation ympäristöstä ennen kuin suojausratkaisut havaitsevat hyökkäyksen tapahtuneen.
Tietoturvatiimien toimintaa tehostamalla nykyaikaisten ratkaisujen avulla voidaan siirtää painopistettä myös reaktiivisesta toiminnasta ennakoivaan toimintaan ja näin ollen pysytellä mahdollisimman hyvin kartalla myös tietomurtojen yrityksistä ennen kuin ne aiheuttavat merkittävää vahinkoa.
Palautteen perusteella harjoitus oli hyvä päivitys osallistujille siitä, millaista tietoturvapoikkeamien tutkiminen on tänä päivänä eli osaaminen sekä ymmärrys päivitettiin 2020-luvulle.
Nykyisten tietoturvapoikkeamin osalta ei voida tuudittautua siihen, että esimerkiksi palomuurien ja virustorjuntaohjelmistojen antamat ilmoitukset havaituista tai estetyistä haittaohjelmista on merkki siitä, että hyökkäys on pysäytetty ja vahinkoja ei ole tapahtunut.
Kyberpoikkeamaharjoitukset jatkuvat vuonna 2021
Yhteiskuntamme digitalisaation kehittyessä nopeaa vauhtia, kasvaa myös vaatimukset digitaalisen toimintaympäristön luottamukselle. Yrityksiin kohdistuvat kyberriskit ovat yhä useammin myös konkreettisia liiketoimintariskejä!
Kyberpoikkeamatilanteiden harjoittelu on yksi keskeinen ja tehokas tapa huolehtia tarvittavan varautumisasteen ylläpitämisestä. Nykyaikaiset kyberturvaratkaisut mahdollistavat harjoitustoiminnan viemisen käytännön tasolle; kuten Elisan ja Palo Alto Networksin järjestämät yhteiset kyberpoikkeamaharjoitukset osoittivat, nykyaikaiset kyberturvaratkaisut tukevat poikkeamatilanteen havainnointia, tarvittavien selvitystoimenpiteiden toteuttamista sekä poikkeamatilanteen rajaamista ja siitä palautumista.
Harjoituksiin osallistui marraskuussa 2020 yhteensä noin 80 henkilöä, ja kerätyn palautteen mukaan harjoitus koettiin erittäin positiiviseksi.
Kannustammekin kaikkia organisaatioita miettimään kyberpoikkeamiin varautumisen kehittämistä sisällyttämällä henkilöstön osaamisen kehittämiseen myös käytännönläheisen kyberturvaharjoittelun, panostus tähän voi säästää monelta ongelmalta tulevaisuudessa! Järjestämme jälleen tammikuussa 2021 kyberpoikkeamaharjoitukset, ilmoittaudu mukaan!
Kuuntele podcast: Kyberriskien havainnointi ja reagointi ajan tasalle