17.12.2024 Blogi
Harjoituksilla parempaa kyberturvallisuutta
23.5.2023 Blogisote
Kyberturvallisuuden merkitys on kasvanut valtavasti digitalisaation ja toimintaympäristön muutoksen myötä. Sosiaali- ja terveydenhuollon toimijat ovat kyberrikollisille houkuttelevia kohteita, joten jatkuva varautuminen ja toiminnan kehittäminen on tärkeää. Simuloidut harjoitukset parantavat organisaatioiden valmiuksia toimia kyberhyökkäystilanteessa.
Kyberturvallisuus ei ole yksinkertaista. Digitaalisten ympäristöjen suojaaminen edellyttää teknisten ratkaisujen ja kontrollien lisäksi prosessien ja ihmisten saumatonta yhteistoimintaa mahdollisesti monimuotoisissa verkostoissa. Ja vaikka kaikki edellä mainitut elementit olisivatkin paikoillaan, niiden toimivuus käytännössä on hyvä varmistaa.
Paras keino testata organisaation todellista kykyä toimia tietoturvapoikkeamatilanteessa on mahdollisimman oikean tilanteen kaltainen harjoitus, jossa simuloidaan pahantahtoisen hyökkääjän toimintaa. Tällaisia simuloituja hyökkäystestauksia kutsutaan Red Teaming -harjoituksiksi.
Harjoituksen tavoitteena mahdollisimman todenmukainen tilanne
Harjoituksessa hyökkäävä Red Team hyödyntää samoja menetelmiä ja työkaluja, joita oikeat kyberrikollisetkin käyttävät. Harjoitus voi sisältää fyysisen toimitiloihin tunkeutumisen, avointen tietolähteiden hyödyntämisen, ihmisiin vaikuttamisen esimerkiksi tietojen kalastelun kautta sekä tietojärjestelmiin tunkeutumisen ja niissä olevien haavoittuvuuksien hyödyntämisen. Näistä elementeistä laaditaan harjoitukselle vaiheistettu suunnitelma, jonka mukaisesti hyökkääjä pyrkii tavoiteltuun lopputulokseen.
Koska harjoitukset ovat oikean hyökkäyksen kaltaisia, ne voivat olla ajalliselta kestoltaan hyvinkin pitkiä; useita viikkoja tai jopa kuukausia. Tästäkin syystä harjoitukset on syytä suunnitella huolellisesti, jotta niistä saadaan mahdollisimman paljon hyötyä organisaation käyttöön.
Olennainen osa harjoituskokonaisuutta on Purple Teaming -vaihe, eli harjoituksen päätyttyä järjestettävä purkutilaisuus. Siinä käydään yksityiskohtaisesti läpi harjoituksen kulku, tehdyt toimenpiteet ja harjoituksen aikana tehdyt havainnot, ilmoitukset ja herätteet. Purkutilaisuuteen osallistuvat sekä hyökkäävä että puolustava tiimi sekä mahdolliset muut harjoitukseen liittyvät tahot.
Harjoituksen opit palvelevat jatkokehitystä
Apotti on järjestänyt säännöllisesti useita Red Teaming -harjoituksia yhdessä Deloitten kanssa. Myös Apotin asiakasorganisaatiot ovat osallistuneet harjoituksiin. Harjoituksista on kerta toisensa jälkeen ollut hyötyä ja tehtyjen havaintojen pohjalta on edelleen kehitetty valmiuksia reagoida tieto- ja kyberturvallisuuspoikkeamiin. Harjoituksia eri lähestymiskulmilla toistettaessa on voitu havaita, että mahdollisen hyökkääjän toiminta tietojärjestelmissä on onnistuttu tekemään yhä vaikeammaksi.
Toimintaympäristömme muuttuu jatkuvasti ja samalla harjoittelun tarve kasvaa. Red Teaming -tyyppisen simuloidun hyökkäystestauksen hyötyjä on vaikea saada millään muulla harjoitus- tai testausmenetelmällä. Siksi sitä on helppo suositella harjoitusmuotona sopivasti kohdennettuna kaikille organisaatioille.
Kuuntele myös Apotin Tarinoita sote-kentältä -podcastin kyberturvallisuus-aiheinen podcast-jakso.
Henry Kylänlahti
Kirjoittaja työskentelee Apotissa tietoturvajohtajana
Hannu Kasanen
Kirjoittaja työskentelee kyberturvallisuuspalvelujen johtajana Deloittella.