Kyberturvallisuus koskee ihan kaikkia, jotka käyttävät tietojärjestelmiä työssään. Silti harjoittelu erilaisia häiriöitä ja kyberturvallisuutta vaarantavia tilanteita varten jää monessa organisaatiossa tekemättä. Mitäpä sitä voisi sattua, jos meillä on järjestelmät kunnossa ja it-tuki olemassa? Paljonkin, jos hyökkäyksiin ei ole varauduttu, eikä mahdollisia skenaarioita harjoiteltu.
Hyvä esimerkki on Irlannin kansallisen terveydenhuollon HSE:n vuonna 2021 kohtaama kiristyshyökkäys. Se osoitti hyökkäysten vakavuuden lamaannuttamalla maan terveydenhuollon it-järjestelmät kuukausiksi ja johti hätätilan julistamiseen. Kiristyshaittaohjelma pääsi järjestelmään yksittäisen työntekijän sähköpostissa klikkaaman kalastelulinkin kautta.
Olennaista ei ollut yksilön virhe vaan se, että tilanteeseen ei reagoitu hälytyksistä huolimatta. Organisaatiolla ei ollut riittävää varautumissuunnitelmaa, eikä vastaavaa tilannetta oltu harjoiteltu. Jos varautumiskoneisto olisi käynnistynyt heti, haittaohjelma ei olisi ehtinyt saastuttaa järjestelmää laajasti, eikä ehkä edes laueta.
Kyberhyökkäykset ja niiden seuraukset eivät johdu vain yhden ihmisen varomattomuudesta. Esimerkiksi kalasteluviestit kehittyvät sellaista vauhtia, että väistämättä jokainen lankeaa niihin joskus. Kyberturvaharjoittelun pitäisikin koskea kaikkia tietotyöläisiä johtajista viestintään, asiantuntijoista lakiosastoon. Ei ole työnkuvaa, jossa harjoittelu ei olisi tarpeellista.
Johtajien onkin huolehdittava siitä, että heidän organisaatioissaan kyberturvaharjoitukset ovat osa säännöllistä tekemistä. Surullinen tosiasia on, että on olemassa vain kahdenlaisia organisaatioita: Niitä, joille on tapahtunut tietoturvapoikkemia ja jotka harjoittelevat siitä viisastuneina ja niitä, joihin ei ole vielä kohdistunut kyberhyökkäystä tai jotka eivät ole niitä havainneet, eivätkä siksi koe harjoittelua tarpeelliseksi.
Säännöllinen harjoittelu ehkäisee suuria vahinkoja
Hyvin varautunut organisaatio palautuu parhaiten hyökkäyksestä ja vahingot jäävät pienemmiksi kuin niillä, jotka eivät ole harjoitelleet. Harjoittelumahdollisuuksien puutteesta harjoittelu ei ole kiinni: niitä on tarjolla laajasti erilaisiin tarpeisiin ja tilanteisiin.
Niin sanotut pöytälaatikkoharjoitukset, kuten valtakunnalliset, julkiselle sektorille suunnatut Taisto-harjoitukset, keskittyvät häiriötilanteiden hallintaan, johtamiseen ja viestintään ajankohtaisia uhkia peilaten. Niissä käydään läpi kuvitteellinen skenaario tilannehuoneessa: miten toimisimme ja viestisimme kyseisessä tilanteessa.
Palautumisharjoitukset taas ovat teknisiä harjoituksia, joissa tietojärjestelmästä tehdään kaksonen ja testataan sen palauttamista. Harjoitus antaa organisaatiolle tietoa, onnistuuko tietojen ja toimintojen palauttaminen ja paljonko siihen menee aikaa. Vaikka tällaiset harjoitukset vievät aikaa ja resursseja, niiden opit ovat kullanarvoisia tosi tilanteessa.
Teknis-toiminnallisissa simulaatioharjoituksissa luodaan tekninen harjoitusympäristö, jossa harjoitellaan yhdessä hallinnan, johdon, viestinnän sekä teknisen IT-henkilöstön toimesta kyberhyökkäyksestä selviytymistä ja normaaliin toimintaan palautumista. Henkilötietojen tietosuojaa unohtamatta. Muun muassa yhteistyökumppanimme Jyväskylän ammattikorkeakoulun JYVSECTEC tarjoaa näitä harjoitusympäristöjä. Kansalliset harjoitukset antavat mahdollisuuden testata laajempaa yhteistoimintaa kyberhyökkäyssimulaation aikana.
On tärkeää, että oman organisaation lisäksi myös koko hankinta- ja yhteistyökumppaniketju osallistuu harjoitteluun. Tosi tilanteen sattuessa kynnys ottaa yhteyttä, jakaa tietoa ja estää vahinkojen laajeneminen on yhdessä harjoitelleilla kumppaneilla matalampi ja luottamus rakennettu valmiiksi.
Kyberharjoittelu osaksi osaamisen kehittämistä
Haastan organisaatioiden johdon ottamaan säännölliset kyberharjoitukset osaksi jatkuvaa kehitystyötä sekä toimintasuunnitelmia ja budjetteja. Vakavimmillaan tietoturvahäiriöt esimerkiksi sote-organisaatiossa uhkaavat henkeä ja terveyttä. Vähimmilläänkin ne aiheuttavat ylimääräistä työtä, mainehaittaa, kustannuksia sekä ilmoitusvelvollisuuksia valvontaviranomaisille.
Suomessa julkinen, yksityinen ja kolmas sektori tekevät tiiviisti yhteistyötä yhteiskunnan kyberuhilta suojautumisessa. Niiden kanssa puolestaan toimivat yritysten ja yhteisöjen kyberammattilaiset omissa organisaatioissaan. Yritysten ja organisaatioiden vastuulliseen toimintaan kuuluu kehittää kyberturvallisia kyvykkyyksiä, tunnistaa uhat, reagoida haitalliseen toimintaan ja ilmoittaa häiriöistä kybertoimintaympäristössä. Vain yhdessä osaamista kasvattamalla torjumme kyberuhat. Tätä ajattelua painotetaan myös valmisteilla olevassa Suomen kansallisessa kyberturvallisuusstrategiassa.
Me Tierallakin olemme ottaneet kyberturvaharjoittelun osaksi jatkuvaa osaamisen kehittämistä. Teemme ja osallistumme säännöllisesti kyberturvaharjoituksiin, usein omistaja-asiakkaidemme yhteistyökumppaneidemme ja viranomaisten kanssa.
Harjoittelu on paras tapa todentaa, onko tietoturvallisuuden tai jatkuvuuden hallintaan liittyvistä toimenpiteistä ja ohjeista turvallisuuden parantamiseksi aidosti hyötyä. Hyvin johdettuun harjoitukseen osallistuminen antaa työntekijöille roolista riippumatta aina valtavan ammatillisen kasvupyrähdyksen.
Jos kiinnostuit oman toimintaympäristön riskipaikkojen tunnistamisesta ja kyberturvaharjoittelusta, ole yhteydessä meihin.
Blogin kirjoittajana on Tieran tietoturvajohtaja Matti Turunen.
Lue lisää aiheesta:
Tiera harjoitteli kyberuhkien torjuntaa kansallisessa kyberturvallisuusharjoituksessa Jyväskylässä
Vaasa kehitti kriisivalmiutta kyberturvallisuusharjoituksessa Jyväskylässä yhdessä Tieran kanssa