Kyberharjoittelu testaa varautumista

24.9.2018

Kyberharjoittelu testaa varautumista

”Harjoittelu ei ole peli, jonka voi voittaa. Jos siinä ylletään täydelliseen suoritukseen, harjoitus ei ollut riittävän vaativa”, sanoo erityisasiantuntija Antti Kurittu.

Viestintäviraston Kyberturvallisuuskeskuksessa työskentelevä Kurittu tukee Huoltovarmuuskeskuksen poolitoimintaan osallistuvien yritysten ja muiden organisaatioiden harjoittelua kyberhyökkäysten varalle. Työ on osa Huoltovarmuuskeskuksen laajaa Kyber 2020 -hanketta.

”Kerromme organisaatioille, miten kyberharjoitus kannattaa tehdä, mitä siltä voi odottaa ja millainen harjoitusskenaario kannattaisi laatia. Harjoittelua harkitsevan organisaation kannattaa ensiksi kirkastaa itselleen, miksi harjoitellaan ja mitä siitä halutaan saada irti. Harjoittelu pelkän harjoittelun vuoksi ei kannata.”

Harjoittelu kannattaa aina

Kyberhyökkäysten kaltaisissa kriiseissä on aina elementtejä, joita ei voida ennakoida. Harjoitellen säästetään kuitenkin aikaa ja vaivaa, ja tilanteesta selvitään halvemmalla ja vähemmin vaurioin.

Harjoitus on ilmainen kriisi. Tai ainakin merkittävästi edullisempi tapa testata oman varautumisen toimivuus ja oma kyvykkyys reagoida kyberongelmiin.

 

Yleensä organisaatiot harjoittelevat häiriötilanteita varten suunniteltuja ennalta sovittuja toimintamalleja eli prosesseja. Esimerkiksi sairaalan lääkevarastolla voi olla prosessikuvaus, jossa on sovittu siitä, mitä tehdään jos tietojärjestelmä, johon koko toiminta tukeutuu, ei vastaa. Mietittäviä asioita on paljon.

”Miten varastosta löydetään oikeat tavarat ja miten ne toimitetaan? Miten lääketilaukset toimivat? Kuka soittaa kenelle ja mihin numeroon, ja kuka ottaa vastaan ne puhelut? Kuka juoksee hyllyille, millaisia paperilomakkeita käytetään ja mistä ne löytyvät”, Kurittu kuvailee prosessiin kirjattuja asioita.

”Yleensä ongelmat eskaloituvat nopeasti ja yllättävissä kohtaa ketjua. Lääkevarastolla esimerkiksi paperin yllättävä loppuminen kauppojen sulkemisaikaan voisi estää paperilomakkeiden tulostamisen ja pysäyttää koko toimitusketjun – ellei siihenkin olla varauduttu.”

Suunnitelmat koetuksella

Harjoitteleminen on kevyimmillään paperille kirjattu skenaario, johon kukin osallistuja vastaa kirjallisesti, miten he toimisivat kuvatussa tilanteessa. Joskus harjoittelu voi kuitenkin olla tietojärjestelmän tunkkaamista simulaattoriympäristössä pystyyn kädet savessa. Tai sitten istutaan workshop-porukalla miettimässä, mitä tehtäisiin, jos tapahtuisi jokin tietty häiriö.

”Harjoituksia voidaan järjestää myös ilman loppuun asti mietittyjä prosesseja. Tällainen tilanne voisi olla esimerkiksi johdon CMT eli crisis management team -harjoitus, jossa testataan johtovastuita ja maineenhallintaa rakennetussa kriisitilanteessa.”

On monta erilaista tapaa harjoitella ja parantaa suorituskykyä. Tavoite ratkaisee, mikä tapa on paras eli miten saadaan eniten oman toiminnan parantamisehdotuksia jatkotoimenpiteitä varten. Niistä puhutaan arvioitaessa harjoituksen tuloksia.

”Harjoituksen varsinainen anti ja tulos on siitä saatava oppi. Tuloksia pitäisi aina tulla. Jos niitä ei saada, harjoitus on todennäköisesti ollut turha.”

Teksti ja video: Jussi-Pekka Aukia

Antti Kurittu: Miksi kannattaa harjoitella kyberuhkien varalle?

 
 

 

 

Jaa artikkeli