Miten tiimisi toimii täyskaaoksessa? Harjoitus, joka on koettava
Jäädynkö mä? Jäädytäänkö me tiiminä? Jännittää jo vuorokautta ennen. Ajatus takoo mielessä, että olisi pitänyt harjoitella enemmän. Vielä muutama askel IBM Security X-Force Command Cyber Tactical Operations Center (C-TOC) -rekkaan ja olemme sisällä simulaatiohuoneessa. Valmiina kyberhyökkäysharjoitukseen.
Action
Puhelin soi. Soittaja väittää olevansa toimittaja ja suoltaa tekstiä tapahtuneesta tietovuodosta. Ralli alkaa. Se tempaa täysin mukaansa ja harjoituksen jälkeen pääkoppa on tyhjä. Emme olleet täysin pulassa ja olimmekin täysin pulassa juuri siksi. Olen onnellinen tiimistä ympärilläni. Onneksi en ollut yksin. Täydensimme toisiamme ja kykenimme tekemään päätöksiä. Yhdestä asiasta olemme samaa mieltä. Me harjoittelemme tietoturvahyökkäystilannetta vielä uudelleen tänä vuonna.
Mikä C-TOC?
IBM X-Force Command C-TOC on täydellinen tietoturvahyökkäyskokemus. Jotta kokemus voidaan viedä mahdollisimman lähelle asiakkaita ympäri maailmaa, simulaatiohuone on pyörien päällä rekassa. C-TOC -tilassa yrityksen johto saa kokea, miltä oikeasti tuntuu olla tietoturvahyökkäyksen kohteena. Simulaation tapahtumat matkivat sitä, mitä todellisuudessa tapahtuu. Puhelimet soivat oikeasti, TV:stä tulee suoraa uutislähetystä sinun ja asiakkaasi datasta väärissä käsissä, ulkona toimittaja odottaa kommenttia live-lähetykseen. Sydän hakkaa, tiimin jäsenet vilkuilevat toisiaan, porukka ei istu enää tuoleissaan, melu haittaa kuulemista, tapahtumat vyöryvät eteenpäin, on pakko tehdä päätöksiä. Mistä tiedät, onko ”virallista kommenttia” pyytävä soittaja se, joka väittää olevansa? Onko yhdellä ihmishengellä tai terveydellä merkitystä, kun samalla tuhansien ihmisten dataa on väärissä käsissä? Mitä pelastetaan ensin? Kuka puhuu toimittajille? Miten viisi minuuttia ennen live-lähetystä käytetään? Mitä päätöksiä tehdään? Sekin on päätös, että päättää olla tekemättä päätöksiä. Missä vaiheessa ollaan varmoja, että tietoturvaloukkaus on identifioitu, rajattu ja ratkaistu? Kuka tämän takana on? Pitäisikö hakkereille kuitenkin maksaa, että tiedot saadaan palautettua? Jos olet kokenut hyökkäystilanteen aikaisemmin, kehosi varmuudella muistaa sen.
C-TOC kokemuksena
”Ritäri Ässä” -rekan (kuten eräs toimittaja sitä kutsui) johtomies kertoo, että asiakkaiden CISOt soittavat harjoituksen jälkeen ja kiittävät. Kun yrityksen johto on 3-4 tuntia harjoituksessa ja tuntevat konkreettisesti, kuinka nopeasti asiat tapahtuvat, miten nopeasti täytyy kyetä tekemään oikeita päätöksiä kaaoksen keskellä sekä miten vaikeaa on hallita kaaosta, on se heille hyvin ”silmiä avaava kokemus”. He ymmärtävät, että tätä varten on pakko harjoitella ja valmistauduttava etukäteen. On pakko investoida resursseihin, jotka nostavat tietoturvan tasoa kaikilla toiminnan tasoilla, järjestelmissä, ihmisissä, vastuuhenkilöissä. On pakko harjoitella säännöllisesti.
Tämä kokemus jättää voimakkaan kehotuntemuksen. Se menee ihon alle ja syvälle mieleen. Tästä syystä CISOt yleensä saavat budjetin. Johdon omakohtainen kokemus toimii hyvänä myyntipuheena investointien edistäjänä. Niiden, joilla on Security Operations Center (SOC), täytyy jatkossakin investoida teknologian ja osaamisen pitämiseen ajan vaatimusten mukaisina. Ne, joilla ei ole SOC:ia, varmasti miettivät, minkäkokoinen investointi on edessä.
Harjoituksen jälkeen
Miten tiimisi toimi olleessaan hyökkäyksen kohteena? Pystyivätkö kaikki toimimaan? Tätä harjoitusta ei voi tehdä paperiharjoituksena johtoryhmän huoneessa. Harjoitukseen on välttämätöntä ottaa poikkitieteellinen tiimi, joka koostuu bisnes-, markkinointi-, viestintä-, laki-, henkilöstö-, talous-, tietoturva- ja muiden relevanttien yksiköiden johdoista, ja mennä tiiminä autenttisen kyberhyökkäystilanteen keskelle.
Harjoituksen jälkeen tunnet todennäköisesti samoin kuin me – täytyy harjoitella enemmän. Näin sanovat myös turvallisuusalan kansainväliset ammattilaiset. Tarve ihmisten kouluttamiselle tietoturvahyökkäystilanteita varten on valtava niin yrityksissä, yhteisöissä kuin yksityisestikin. On myös varmistettava, että ihmiset ovat valmiudessa toimia, kun joutuu tietoturvaloukkauksen kohteeksi. Sinun on kyettävä tiimisi kanssa pärjäämään sekä hyökkääjän että tilanteen kanssa. Kyse ei ole siitä, tapahtuuko tietoturvaloukkaus sinulle, vaan siitä, koska se tapahtuu. Miten toimitaan, kun tietojärjestelmät ovat alhaalla? On pakko valmistautua niin hyvin kuin pystyy, mutta siltikään todellisessa tilanteessa mikään ei ole varmaa.
Kuinka vaikuttaa tietoturvan tasoon HR:n toiminnoilla?
Henkilöstöosaston edustajana mietin, mitä minä voin tehdä paremmin. Voin varmistaa tiimini kanssa, että tietoturvan monet ulottuvuudet on tontillamme ymmärretty ja olemme toteuttaneet asianmukaiset tietoturvatoimenpiteet. Voin myös pyytää sisäistä tarkastusta auditoimaan toimintamme sekä allokoida yhden HR-tilaisuuden tietoturvaosastollemme ja pyytää heitä puhumaan tietoturvasta kansankielellä. Tietoturvan käsittely henkilöstökirjeessäni olisi myös hyödyllistä. Vaikka tietoturva ei olekaan toimialueeni, ei monikanavainen viestintä ja muistuttaminen tietoturva-asioista ole pahitteeksi. Toki pyydän tietoturvaosastomme asiantuntijaa lukemaan kirjoitukseni ennen julkaisua sen varmistamiseksi, että asioista viestitään oikein. Hyvin tärkeää on, että harjoittelemme kaikki bisnes- ja tukifunktiot yhdessä ja analysoimme harjoituksemme porukalle jälkikäteen. Opimme jokaisella harjoittelu- ja keskustelukerralla lisää. Meistä tulee tiiminä parempia.
Haastan jokaisen suomalaisen johtoryhmän kyberhyökkäysharjoitukseen. Se on jotain, mitä teidän täytyy itse kokea. Mitä pikemmin, sen parempi. Tarkemmat tiedot C-TOC:sta voit lukea täältä.
Tutustu IBM:n tarjoamaan SOC-palveluun, X-Force Threat Managementiin.