Kyberhyökkäysten ennaltaehkäisyyn ja varautumiseen kannattaa investoida riittävästi. Tärkeää on varautua myös siihen, miten toimitaan, kun hyökkäys osuu omalle kohdalle. Hyvien poikkeamien hallinnan suunnitelmien toimivuus kannattaa koeponnistaa harjoituksilla.
Incident Response -suunnittelu on vastalääke hyökkäysten varalle. Kyberhäiriötilanteista palautumiseen voi varautua tehokkaasti, kun hyödyntää parhaisiin käytänteisiin perustuvia suunnitelmia, jotka mukautetaan oman organisaation prosesseihin.
Toimiiko suunnitelma tositilanteessa?
Suunnitelmien toimivuudella voi aina spekuloida, mutta pahinta on tietysti se, jos organisaation toiminta vaikeutuu tai lamautuu kyberhyökkäyksen seurauksena hyvistä suunnitelmista huolimatta. Suurella vaivalla suunniteltuja prosesseja kannattaa harjoitella. Inciden Response -harjoituksen avulla voidaan todentaa prosessien toimivuus ja tunnistaa niihin liittyviä kehityskohteita.
Haasteena on, että usein harjoittelu toteutetaan tavalla, josta ei välttämättä saada riittävästi osaamista osallistujille. Pahimmillaan siitä seuraa, että tosipaikan tullen kukaan ei muista tarkalleen, mitä piti tehdä. Seuraa sählinkiä. Minuutit ja tunnit kuluvat, tuotanto seisoo, sopimussakot paukkuvat ja mainehaitat kasvavat.
Harjoitusten suunnittelussa oikaiseminen voi kostautua
Huolellinen suunnittelu, hyvä ohjeistus, realistiset skenaariot ja selkeät roolien väliset tehtävät tekevät harjoituksesta mielekkään. Joitakin tyypillisiä haasteita saattaa kuitenkin tulla vastaan.
1. “Oikaistiin suunnittelussa ja käytettiin koko budjetti lähettämällä osallistujia ison mittakaavan kyberharjoitukseen ilman selkeitä ohjeita ja roolitusta”
Ison mittakaavan kyberharjoituksissa yritysten ja organisaatioiden avainhenkilöt, kuten CISO:t ja tekniset asiantuntijat, matkustavat samalle paikkakunnalle useammaksi päiväksi. Harjoitusympäristöön on mallinnettu tietojärjestelmiä ja niihin kohdistuva hyökkäystilanne, mutta aikaa kuluu paljon perusasioihin. Etsitään kirjautumistietoja, ihmetellään omaa roolia ja mitä harjoitusympäristössä pitäisi yleensäkään tehdä. Jää epäselväksi, mitä tästä kaikesta olisi tarkoitus viedä omaan organisaatioon oppimiskokemuksina.
Tee näin: Ennen yhteisharjoituksiin kiirehtimistä varmista, että treenaat riittävästi oman organisaatiosi sisällä tapahtumanhallinnan prosesseja. Millainen komentoketju meillä on poikkeustilanteessa? Mikä minun paikkani on siinä? Mitä muita rooleja tai sidosryhmiä kriisitilanteessa tarvitaan?
Oman organisaation Incident Response -harjoittelu antaa hyvät perusteet osallistua usean organisaation välisiin suuriin harjoituksiin.
2. “Eikö SOCin pitänyt hoitaa Incident Response -asiat?”
Organisaation sujuva Incident Response -harjoittelu on ennen kaikkea kriisijohtamisen ja -viestinnän harjoittelua. Incident Response -prosesseihin kuuluu myös tekninen palautumiskyky, mutta se on vain osa kokonaisuutta. Erityisen tärkeää on saada nämä kaksi puolta pelaamaan yhdessä sujuvasti.
Cyber Security Operations Center, eli CSOC tai SOC, on kyberpuolustuksen kulmakivi, jonka moni hankkii palveluna. Ammattitaitoinen CSOC tekee organisaatiokohtaisesti huolelliset asiakaskohtaiset pelikirjansa ja dokumentoi tarkasti myös sen, miten kriisitilanteissa toimitaan. Testiympäristöissä harjoitellaan teknisen puolustuksen toimivuutta.
Liiketoimintajohtoa, IT-johtoa ja viestintää koskeva Incident Response -suunnitelma on vastinpari CSOCin suunnitelmille. Tositilanteessa tarvitaan molempia suunnitelmia, joiden avulla yhteistoiminta saadaan nivottua selkeäksi. Vaikka tietoturvan teknisen valvonnan ulkoistaisi täysin, ja Incident Response -suunnitteluakin tekisi yhdessä kumppanin kanssa, vastuu ja omistajuus johtamisen prosesseista, tiedonkulusta ja roolijaoista kuuluu aina organisaatiolle itselleen.
Millainen lumipallo lähtee pyörimään, kun jotain vakavaa tapahtuu? Tietoa janoavat sekä työntekijät, asiakkaat, sijoittajat ja muut sidosryhmät että media – vakava kyberhyökkäys vaikuttaa suureen joukkoon toimijoita.
Tee näin: Kartoita tietoturvariskejä liiketoiminnan näkökulmasta. Nimeä jo Incident Response -suunnitteluvaiheessa roolit, joihin keskeiset avainhenkilöt, kuten sovellusarkkitehti, tietoturvajohtaja, viestintäjohtaja tai toimitusjohtaja, hyppäävät välittömästi, kun kriisitilanne on tunnistettu.
Lue lisää: Tietoturvakartoitus paljastaa organisaatiosi vahvuudet ja heikkoudet
3. “Kaikki sujuu kuin itsestään, ihan kuin pelastautumisharjoituksissa”
Jos yhtä asiaa haluaa teroittaa kyberharjoituksista, se on suunnittelu, suunnittelu ja suunnittelu. Kyberharjoitusta ei voi verrata pelastautumisharjoitukseen, jossa joka ikinen työntekijä etsii lähimmän poistumistien, kävelee ulos kokoontumispaikalle ja sitten sisään tilanteen mentyä ohi. Kyberhäiriötilanteen hallinnan komentoketjut ovat monimutkaisempia ja tehtävät vaativampia. Suunnittelu tekee harjoituksesta sujuvan.
Työajan ja kustannusten optimoimiseksi harjoituksen osallistujat kannattaa valita tarkasti. Hyvin suunnitellussa tapahtumanhallintaharjoituksessa saa lyhyestä ajasta mahdollisimman suuren hyödyn irti. Suositeltavaa on käyttää ajasta ainakin 70 % harjoituksen suunnitteluun ja valmisteluun, noin 20 % itse harjoituksen läpivientiin ja loput 10 % havaintojen analysointiin, joista saadaan eväitä toiminnan parantamiselle.
Tee näin: Ennalta hyvin suunniteltua yhden työpäivän pituista harjoitusta ohjaa esimerkiksi 1–2 ulkopuolista fasilitaattoria ja lisäksi omaa organisaatiota edustava harjoituksen johtaja, joka on vastuussa kokonaisuudesta. Fasilitaattorit antavat päivän aikana syötteitä simuloiduista realistisista tapahtumista. He myös seuraavat harjoitustavoitteiden toteutumista eli kyberhäiriötilanteista toipumista. Harjoitusyleisöä, eli osallistujia, voi olla mukana rooliperusteisesti esimerkiksi 5–10 henkilöä. He voivat olla vastuuhenkilöitä mm. SOCista, viestintäjohdosta, legal- ja HR-osastoilta, IT-johdosta, asiakaspalvelusta ja organisaation ylimmästä johdosta. Tavoitteena on mahdollistaa osallistujien oppiminen ja roolien välinen saumaton yhteistyö.
Incident Response on osa tämän päivän liiketoiminnan johtamista
Mieti Incident Response -prosessit ja roolit huolella ja kerro, miksi kukakin on mukana. Keskity jännityksen luomisen sijaan olennaiseen, eli siihen, että organisaatio yhdessä hallitsee kyberhäiriötilanteen ja toipuu siitä, alkaen teknisestä asiantuntijasta, päätyen ylimpään johtoon. Älä keksi pyörää uudelleen, vaan nojaa parhaisiin käytäntöihin.
Tehokkaaseen Incident Response -harjoitteluun ei aina tarvita näyttäviä puitteita, kuten simuloituja teknisiä ympäristöjä. Harjoittelun fasilitointiin kannattaa kuitenkin satsata, ja siihen kannattaa hankkia asiantuntijuutta myös oman talon ulkopuolelta.
Viime kädessä tietoturvan johtamista ja vastuuta Incident Response -prosesseista ei silti voi ulkoistaa eikä erottaa muusta liiketoiminnan johtamisesta.
