Tilaa uutiskirjeemme
Tilaa uutiskirjeemme

Hakutulokset

Kyberturvallisuus on ennakointia, havainnointia ja jatkuvuuden hallintaa

BlogiDigitalisaatioTurvallisuus 13.12.2017

Digitaalisista palveluista ja verkoista on tullut keskeinen osa jokapäiväistä toimintaamme. Yksilön, yrityksen tai vaikkapa julkisen hallinnon toiminta on riippuvaista digitaalisen infrastruktuurin toiminnasta. Turvallinen ja toimintavarma ICT-infrastruktuuri tuntuu olevan itsestäänselvyys. Toimintahäiriöihin ja palvelukatkoksiin ei enää välttämättä varauduta kovinkaan laajasti, vaikka digitalisaation myötä entistä kriittisimpiä toimintoja siirretään ohjelmistojen ja vaikkapa pilvipalveluiden varaan.

Kehitys on kuitenkin varsin luonnollista, koska digitalisaation keskiössä on tieto, tiedonkäsittely ja tiedonjakaminen. Digitalisaatio tulee mahdollistamaan uudenlaisten palvelujen tarjonnan ja uudenlaiset palvelukokemukset. Digitaalinen infrastruktuuri tulee olemaan taloudellisen kehityksen avain.

Digitalisaation ja Internet of Things -kehityksen myötä tietotekninen ICT-infrastruktuuri kasvaa, verkottuu ja monimutkaistuu kiihtyvässä tahdissa. Samalla vihamielisen toimijan mahdollisuudet kyberhyökkäysten tekemiseen lisääntyvät, koska entistä suurempi määrä fyysisiä ja digitaalisia kohteita on saavutettavissa Internetin kautta ja haavoittuvuuksien määrä kompleksisessa kokonaisuudessa on kasvaa ennestään.

Sähköposti ja sosiaalinen media tulevat olemaan kyberrikollisille jatkossakin helposti hyödynnettävä kanava erilaisten hyökkäysten tekemiseen. Saastunut sähköpostin liitetiedosto tai haitalliselle sivustolle johtava linkki SOME:ssa ovat halpa ja helppo keino esimerkiksi kiristyshaittaohjelman asentamiseen kohdejärjestelmään. Laajassa kampanjassa riittää, että murto-osa hyökkäyksistä onnistuu.

Kohdistetut hyökkäykset ovat huomattavasti vakavampi uhka, koska taustalla on yleensä toimija, jonka resursseilla kyetään ohittamaan nykyaikaiset tietoturvakontrollit. Valmisteluun ja toimeenpanoon käytetään tarvittaessa paljon aikaa, vaivaa ja resursseja. Tavoitteena on yleensä pysyä huomaamattomana ja saada haittakoodi siirrettyä organisaation sisäverkkoon myöhempää operointia varten. Ohjelma voidaan myöhemmin aktivoida komentoyhteyden kautta, kun halutaan esimerkiksi varastaa tietoja tai kaataa jokin kriittinen palvelu tai järjestelmä.

Miten sitten uhkaa torjutaan?

Aiemmin periaatteena on ollut suojata organisaation verkko- ja ICT-palveluita pääsynhallinnalla, palomuureilla ja virustorjuntaohjelmistoilla. Kontrollien toiminta on perustunut tunnettujen hyökkäysten torjuntaan. Hyökkäysten kehittyessä on huomattu, että yksittäinen kontrolli kyetään ohittamaan varsin helposti ja painopiste onkin siirtynyt ei-tunnettujen uhkien havainnointiin ja tunnistamiseen.

Keskeistä on kyky valvoa ja havainnoida ICT-infrastruktuuria laajasti ja kaikilla kerroksilla päästä-päähän. Tämä tarkoittaa reaaliaikaista havainnointikykyä niin päätelaitteissa ja palvelimissa kuin tietoliikenneverkon laitteissakin. Tavoitteena on tunnistaa epänormaalit ilmiöt korreloimalla verkon eri osissa ja kerroksilla havainnoituja tapahtumia ajallisesti, alueellisesti tai muilla tavoilla.

Vakavien kyberturvallisuusuhkien torjuminen edellyttää ennakointia, reagointia ja toipumiskykyä. Tämä ei onnistu pelkästään teknologian hankinnalla, vaan siihen liittyy oleellisesti myös henkilöstön osaaminen sekä toimintatavat ja prosessit. Ennakoinnissa on tunnistettava riskit ja varauduttava sen mukaisesti. Järjestelmien turvallisuuskontrollit ja valvontakyky on rakennettava riittäväksi ja lisäksi on kyettävä jatkuvaan uhka-analyysiin ja haavoittuvuuksien hallintaan.

Kuinka reagoida hyökkäykseen?

Hyökkäyksen kohteeksi joutuessa on osattava reagoida oikealla tavalla ja riittävän nopeasti. Hyökkäyksen vaikutuksia on osattava rajoittaa ja estää. Hyökkäyksen kohteeksi joutumisesta on osattava viestiä oikein asiakkaille ja kumppaneille. Toipumisessa korostuvat palvelujen palauttaminen hallitusti ja tehokkaasti sekä tarvittavien varamenetelmien käyttö.  Hyökkäysmenetelmien ja työkalujen analysointi auttaa teknisen valvontaympäristön säätämissä tulevia hyökkäyksiä varten.

Merkittävä osa nykyaikaista kyberturvallisuuden hallintaa on ympärivuorokautinen kyberturvallisuusvalvomo-toiminnallisuus. Kyberturvallisuusvalvomossa (Security Operations Center, SOC) ennakoidaan, seurataan kyberuhkien kehittymistä, havainnoidaan ja tunnistetaan turvallisuuteen liittyviä poikkeamia ja analysoidaan kyberhyökkäyksiä tai niiden yrityksiä. Kyberturvallisuusvalvomo raportoi tapahtumista johdolle ja asiakkaille sekä käynnistää toimenpiteet uhkien poistamiseksi ja hyökkäyksen vaikutusten pienentämiseksi yhdessä ICT-ylläpitohenkilöstön kanssa. Keskeinen osa SOC-toimintaa on uhkatiedon kerääminen, analysointi ja jakaminen muiden SOC-toimijoiden kanssa.

Kyberhyökkäyksen teko on tänä päivänä liian helppoa; tarvitaan vain tietokone, verkkoyhteys ja hiukan osaamista. Suojautuminen vastaavasti vaatii koko organisaation laajuista ymmärrystä ja osaamista, riittävää teknologiaa ja jatkuvaa hereillä oloa.

Kyberturvallisuus on siis oltava osa organisaation jokapäiväistä toimintaa jo nyt!

- Anssi Kärkkäinen, johtaja, Cinian palvelukeskus -

Avainsanat: Kyberturvallisuus, Kyberturvallisuusvalvomo, Tietoturva,
Jaa