Havainnointikyvyn sekä aktiivisen ja avoimen yhteistyön tärkeys kyberturvassa

Viime aikoina on Suomessakin sattunut useampia vakavia kyberhyökkäyksiä ja tietoturvaloukkauksia. Tärkeitä toimintoja on pahimmillaan seisahtunut kokonaan, kun haittaohjelma on ehtinyt levitä lyhyessä ajassa laajalle organisaatiossa. Suojauksista huolimatta tietoturvaloukkauksia tapahtuu. Mitä näistä voitaisiin oppia tulevaisuutta varten?

Näkyvyys IT-ympäristöön oltava hyvä

Organisaatiot ovat yleensä pyrkineet huolehtimaan suojautumisestaan erilaisia uhkia vastaan.  Vaikka tietoturvaloukkausten ennaltaehkäisy ja niiltä suojautuminen ovat ehdottoman tärkeitä, eivät nekään takaa täyttä turvaa tietoturvamurron uhkaa vastaan.

Koska mikään organisaatio ei ole täysin läpäisemätön, niin organisaation kyky havaita poikkeamia omassa IT-ympäristössään on ratkaisevassa asemassa tietoturvaloukkauksen sattuessa. Kun loukkaus havaitaan hyvissä ajoin ja organisaatiossa on jo valmiiksi luodut toiminta- ja toipumissuunnitelmat, niin loukkauksen vahinkojen minimointi helpottuu huomattavasti. Toipumissuunnitelmista voidaan organisaatiosta riippuen tehdä hyvinkin laajoja ja kattavia portaittain eteneviä suunnitelmia. Vähimmillään toimintaa helpottamaan riittää jo, että etukäteen on määritelty tilanteessa johdon ottava henkilö sekä ryhmä, joka asian selvittämisen ottaa omakseen.

Valvontajärjestelmien keskitetty hallinta ja järjestelmätiedon yhdistäminen ja ristiin analysointi ulkopuolisen uhkatiedon kanssa parantaa havainnointi- ja reagointikykyä. Lukuisia havaitsemismenetelmiä hyödyntävä CSOC-palvelu auttaa huomaamaan poikkeamia ja nopeuttaa reagointikykyä mahdollisen loukkauksen sattuessa. Jos valvontajärjestelmiin ei ole keskitettyä näkymää, eikä ulkopuolisten lähteiden tietoa ole saatavilla, voi loukkausten havainnointi ja niihin reagointi olla hyvin haastavaa.

Ylipäätään suojaus- ja valvontajärjestelmiä suunniteltaessa tulisi aina luoda niille sellainen kerrosrakenne, ettei yhden kerroksen kaatuminen altista organisaatiota kohtuuttomalle riskille.

Avoimuus ja kommunikointi mahdollistavat toimivan yhteistyön

Etenkin kun kyseessä on laaja organisaatio, jolla on monia sidosryhmiä, on kommunikointi ja yhteistyö tärkeää kriisitilanteessa. Avoin kommunikointi mahdollistaa ongelmien tunnistamisen, rajaamisen, korjaamisen sekä normaalitilaan palautumisen. Viime vuosina on nähty useita hyviä esimerkkejä avoimuuden ja tiedottamisen hyödyistä tietoturvaloukkausten sattuessa. Kun esimerkiksi Lahden kaupunkia vastaan toteutettiin tietoturvaloukkaus kesäkuun puolivälissä, tieto tästä saatiin sidosryhmille nopeasti. Nopean reagoinnin ansiosta haittaohjelman leviämistä onnistuttiin rajoittamaan katkaisemalla tietoliikenneyhteydet Lahden kaupungin ja PHHYKY:n välillä.

Organisaatioiden ympäristöissä toimii nykypäivänä usein monia palveluntarjoajia. Tämän vuoksi yhteistyön ja kommunikoinnin rooli korostuu. Kun tietoa jaetaan ja jokainen sidosryhmä ymmärtää tilanteen mahdollisimman hyvin, pystytään koordinoidusti hallinnoimaan ja ratkaisemaan tilanne.

Myös lait ja asetukset saattavat vaatia ilmoituksen tekoa eri tahoille. Esimerkiksi EU:n tietosuoja-asetus velvoittaa ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta valvovalle viranomaiselle 72 tunnin sisällä loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä.

Yhteenveto

Teknisen tietoturvan ajantasaisuudesta huolehtiminen ei yksistään riitä. Tarvitaan keskitetty näkyvyys ja havainnointikyky IT-ympäristön tietoturvatapahtumiin sekä kyvykkyys toimia poikkeamatilanteissa. Kommunikoinnilla sekä yhteistyöllä varmistetaan nopea ja hallittu palautuminen. Raportointi viranomaistahoille ja keskustelu aihepiiristä auttavat myös estämään vastaavia tapahtumia tulevaisuudessa, kun ihmisten ja organisaatioiden tietoisuus riskeistä lisääntyy.