ICT-palvelujen jatkuvuudenhallinta ja kyberturvallisuuden ylläpito korostuu erityisesti poikkeusoloissa. Palvelujen ylläpitoon ja häiriönhallintaan keskittyessä voi kyberturvallisuus jäädä helposti taka-alalle, vaikka usein juuri poikkeusolot kiihdyttävät kyberhyökkäyksiä ja informaatio-operaatioita.
Kyberhyökkäyksillä kyetään helposti häiritsemään ja lamauttamaan kriisin keskellä toimivien yritysten ja organisaatioiden toimintaa aiheuttamalla ICT-palvelutuotantoon merkittäviä lisähäiriöitä.
Kyberhyökkäysten onnistumiseen vaikuttaa henkilöstön osaamisen taso, teknologisten ratkaisujen puutteellisuus sekä prosessien ja toimintatapojen vaillinaisuus etenkin hyökkäyksen rajoittamisessa ja häiriöstä toipumisessa.
Kyberturvallisuuden ylläpito jaetaan usein neljään vaiheeseen, jotka ovat ennakoivat toimenpiteet, havaitsemiskyky, reagointi ja toiminnan palauttaminen.
Havaitsemiskyky muodostuu kyvystä havainnoida ICT-ympäristöä ja sen kaikkia komponentteja reaaliajassa. Kyberturvallisuusvalvomoissa (Cyber Security Operations Center, CSOC) keskitytään luonnollisesti digitaaliseen turvallisuuteen liittyvien lokien keräämiseen ja analysointiin. SOC pyrkii havainnoimaan poikkeamia kerätyn tiedon perusteella ja käynnistämään syvemmän analysoinnin ja vastatoimet.
Kyberturvallisuuden havainnointikykyä ja ennakointia voidaan parantaa liittämällä kyberturvallisuuden valvontaan myös ICT-ympäristön kaikkien kerrosten ja osien käytettävyyden valvonta. Kyberhyökkäys havaitaan usein järjestelmien normaalista poikkeavana toimintana tai käytettävyyshäiriöinä.
Häiriö saattaa alussa näyttää normaalilta vialta, mutta tarkempi tekninen selvitys ja analyysi paljastavat häiriön takana olevan verkkohyökkäyksen. Kyberhyökkäys noudattaa usein vaiheistusta (Kill Chain), jossa ensimmäisenä toimenpiteenä on kohteen tiedustelu ja heikkojen kohtien löytäminen. Tiedustelu pyritään tekemään huomaamattomasti, mutta tiedustelutoimia pystytään havainnoimaan erilaisilla menetelmillä.
Hyökkäysyritysten havaitsemiseksi voidaan rakentaa erilaisia harhauttavia palveluja ja verkon osia (Honeypots) sekä pystyttää havainnointisensoreita ja -sovelluksia epänormaalien yhteyksien ja toimintojen tunnistamiseksi. Lisäksi voidaan tehdä aktiivista uhkanmetsästystä (Threat Hunting), jossa omaa ICT-ympäristöä skannaamalla ja tutkimalla pyritään löytämään poikkeavuuksia.
Näiden mahdollisuuksien lisäksi on hyvä muistaa, että myös normaaliin palvelujen käytettävyyteen ja saatavuuteen liittyvien parametrien muutokset voivat indikoida kybertiedustelun yrityksiä. Muutokset vasteajoissa, prosessorikuormissa, muistin käytössä ja virheilyn määrässä voivat kieliä tiedusteluyrityksestä.
Varsinkin monitoimija ja -toimittajaympäristössä kokonaisuuden valvonta on usein haastavaa. Eri palveluntuottajat valvovat kyllä omia ratkaisujaan, mutta kokonaistilannekuvan muodostaminen ja ylläpito uupuu. SIEM-järjestelmä ei tyypillisesti yksistään riitä ICT-ympäristön käytettävyyden valvontaan, vaan siihen tarvitaan usein oma työkalu. Valvontatyökalun tulisi kyetä valvomaan kaikki OSI-mallin kerrokset fyysisistä laitteista käyttäjäsovelluksiin.
Kyberturvallisuuden ja ICT-infrastruktuurin valvontaa ja havainnointia integroimalla pystytään tunnistamaan mahdolliset kyberhyökkäykset jo varhaisessa vaiheessa, ja siten torjumaan ja estämään hyökkäyksen aiheuttamat vahingot.