Kyberturvallisuuden merkitys on kasvanut valtavasti digitalisaation ja toimintaympäristön muutoksen myötä. Sosiaali- ja terveydenhuollon toimijat ovat kyberrikollisille houkuttelevia kohteita, joten jatkuva varautuminen ja toiminnan kehittäminen on tärkeää. Simuloidut harjoitukset parantavat organisaatioiden valmiuksia toimia kyberhyökkäystilanteessa.
Kyberturvallisuus ei ole yksinkertaista. Digitaalisten ympäristöjen suojaaminen edellyttää teknisten ratkaisujen ja kontrollien lisäksi prosessien ja ihmisten saumatonta yhteistoimintaa mahdollisesti monimuotoisissa verkostoissa. Ja vaikka kaikki edellä mainitut elementit olisivatkin paikoillaan, niiden toimivuus käytännössä on hyvä varmistaa.
Paras keino testata organisaation todellista kykyä toimia tietoturvapoikkeamatilanteessa on mahdollisimman oikean tilanteen kaltainen harjoitus, jossa simuloidaan pahantahtoisen hyökkääjän toimintaa.
Tällaisia simuloituja hyökkäystestauksia kutsutaan Red Teaming -harjoituksiksi.
Harjoituksen tavoitteena mahdollisimman todenmukainen tilanne
Harjoituksessa hyökkäävä Red Team hyödyntää samoja menetelmiä ja työkaluja, joita oikeat kyberrikollisetkin käyttävät. Harjoitus voi sisältää fyysisen toimitiloihin tunkeutumisen, avointen tietolähteiden hyödyntämisen, ihmisiin vaikuttamisen esimerkiksi tietojen kalastelun kautta sekä tietojärjestelmiin tunkeutumisen ja niissä olevien haavoittuvuuksien hyödyntämisen. Näistä elementeistä laaditaan harjoitukselle vaiheistettu suunnitelma, jonka mukaisesti hyökkääjä pyrkii tavoiteltuun lopputulokseen.
Koska harjoitukset ovat oikean hyökkäyksen kaltaisia, ne voivat olla ajalliselta kestoltaan hyvinkin pitkiä; useita viikkoja tai jopa kuukausia. Tästäkin syystä harjoitukset on syytä suunnitella huolellisesti, jotta niistä saadaan mahdollisimman paljon hyötyä organisaation käyttöön.
Olennainen osa harjoituskokonaisuutta on Purple Teaming -vaihe, eli harjoituksen päätyttyä järjestettävä purkutilaisuus. Siinä käydään yksityiskohtaisesti läpi harjoituksen kulku, tehdyt toimenpiteet ja harjoituksen aikana tehdyt havainnot, ilmoitukset ja herätteet. Purkutilaisuuteen osallistuvat sekä hyökkäävä että puolustava tiimi sekä mahdolliset muut harjoitukseen liittyvät tahot.
Harjoituksen opit palvelevat jatkokehitystä
Apotti on järjestänyt säännöllisesti useita Red Teaming -harjoituksia yhdessä Deloitten kanssa. Myös Apotin asiakasorganisaatiot ovat osallistuneet harjoituksiin. Harjoituksista on kerta toisensa jälkeen ollut hyötyä ja tehtyjen havaintojen pohjalta on edelleen kehitetty valmiuksia reagoida tieto- ja kyberturvallisuuspoikkeamiin. Harjoituksia eri lähestymiskulmilla toistettaessa on voitu havaita, että mahdollisen hyökkääjän toiminta tietojärjestelmissä on onnistuttu tekemään yhä vaikeammaksi.
Toimintaympäristömme muuttuu jatkuvasti ja samalla harjoittelun tarve kasvaa.
Red Teaming -tyyppisen simuloidun hyökkäystestauksen hyötyjä on vaikea saada millään muulla harjoitus- tai testausmenetelmällä. Siksi sitä on helppo suositella harjoitusmuotona sopivasti kohdennettuna kaikille organisaatioille.
Kirjoittajat:
Henry Kylänlahti, tietoturvajohtaja, Oy Apotti Ab
Hannu Kasanen, johtaja, kyberturvallisuuspalvelut, Deloitte
Kysy meiltä lisää
Hannu Kasanen
Hannu Kasanen työskentelee johtajana, vastuullaan Deloitten kyberturvallisuuspalvelut Suomessa. Hannulla on mittava kokemus tietoturvan, tietosuojan ja käyttövaltuushallinnan kehittämisestä. Hän on uransa aikana johtanut lukuisia hankkeita Suomen tunnetuimmissa yrityksissä ja julkishallinnon organisaatioissa. Briefly in English: Hannu works as a Director in Finland, leading Cyber Security services. Hannu has an extensive experience on Information Security, Data Privacy, as well as Identity and Access Management. He has successfully led complex projects with some of the biggest brands and government agencies in Finland.
