Kyberharjoitus auttaa varautumaan poikkeamatilanteisiin

Anne Oikarinen

Anne Oikarinen

Senior Security Consultant

Elokuu 17, 2020 at 09:37

 

Läppäri unohtui ruokalaan, sähköposti lähti väärälle henkilölle, järjestelmästä löytyi laajoja pääsyoikeuksia tehtävästä poistuneelta henkilöltä, verkkoliikenteessä havaittiin vakoiluohjelma. Nämä pienemmät ja isommat tietoturvapoikkeamat, joissa tietojen salassapitovaatimukset, eheys tai saatavuus vaarantuvat, kuuluvat arkeen. Kenelle pitikään ilmoittaa, saako saastuneen koneen sammuttaa? Miten palaudutaan normaalitilaan? Jotta tositilanteessa ei iskisi paniiikki, tietoturvapoikkeamiin kannattaa varautua ennalta kyberharjoituksen avulla.

Kyberharjoitus räätälöidään organisaation tarpeiden mukaisesti. Se voidaan toteuttaa tunnin kestävänä työpajana, jossa tarkastellaan prosessin vaiheita, tai koko päivän kestävänä aitona toiminnallisena harjoituksena, jossa testataan myös viestintää ja päätöksen tekoa. Teknisemmässä kyberharjoituksessa voidaan hyökätä ja puolustautua oikeankaltaisessa tietoteknisessä harjoitusympäristössä viikon ajan, tai vaikkapa testata varmuuskopion palautusta. Kyberharjoitus voi olla myös pakohuone tai sosiaalisen manipuloinnin (social engineering) roolipeli. Lisää esimerkkejä näet palvelusivuiltamme.

Kyberharjoituksen voi pitää työpöydän ääressä tai verkossa.
Kyberharjoituksen voi pitää työpöydän ääressä tai verkossa.

On tärkeää, että harjoituksen kesto, sisältö ja osallistujat valitaan organisaation tarpeiden ja tavoitteiden pohjalta. Organisaation on hyvä lähteä liikkeelle lyhyemmistä harjoituksista, sillä valmistelujen määrä kasvaa harjoituksen pituuden ja osallistujamäärän myötä. Kokemuksen karttuessa harjoitukseen voi ottaa mukaan myös yhteistyökumppaneita.

Ota kesän kyberselkkaukset haltuun näillä skenaarioilla

Kesän kyberselkkauksista moni voisi tapahtua myös suomalaisille organisaatioille. Sovelsimme tapauksista kyberharjoitusskenaariot, joiden avulla omaa toimintaprosessia ja viestintää voi harjoitella etukäteen.

Skenaario 1: Sometilien kaappaus

Eräs yrityksen työntekijöistä ottaa yhteyttä, että organisaation Twitter-tililtä lähetetään kummallisia viestejä, joissa on linkki lyhennettyyn URL-osoitteeseen. Viesteihin on tullut jo muutamia ihmetteleviä Twitter-kommentteja. Myös yrityksen toimitusjohtaja huomaa, että hänen tiililtään on retweetattu viestejä, joita hän ei itse muista jakaneensa.

Harjoitusskenaario perustuu tuoreeseen Bitcoin-huijaukseen, jossa useiden tunnettujen henkilöiden Twitter-tileille onnistuttiin murtautumaan social engineeringin avulla ja lähettämään tileiltä viestejä, joissa pyydettiin Bitcoin-maksuja.

Ketä mukaan skenaarioon:

Edustajat seuraavilta vastuualuilta:

  • Johto
  • Viestintä
  • Markkinointi
  • Tietoturva

Pohdittavaa ja tehtäviä harjoitukseen:

  • Mitkä ovat ensimmäiset toimenpiteet kuultuasi tapauksesta?
  • Keille kaikille täytyy viestiä asiasta? Miten kiireellisesti tulee viestiä?
  • Onko yrityksen sisällä ohjeet, kuinka toimia tiedon saamisen jälkeen?
  • Kuka on vastuussa päätöksistä tai toimenpiteistä?
  • Mitkä ovat loput toimenpiteet, jolla tilanne saadaan haltuun?
  • Millaisia viranomaisilmoituksia tietoturvaloukkauksesta tulee tai kannattaa tehdä? Esimerkiksi poliisille, tietosuojavastaavalle tai Kyberturvallisuuskeskukselle? Miten ja kuka ne tekee?
Skenaario 2: Kiristyshaittaohjelma

Tärkeän, asiakkaalle suunnatun palvelun toiminnassa havaitaan vika. Useita palvelimia ja myös työntekijöiden työasemia on lakannut toimimasta ja niiden näytöillä on Bitcoin-lunnasvaatimus tietojen palauttamiseksi. Alustavasti kiristyshaittaohjelma vaikuttaa levinneen myös palvelimille, jotka sisältävät asiakkaiden henkilötietoa. Asiakastukeen ja yrityksen sometileille on tullut jo kyselyitä viasta ja korjausaikataulusta. Vian syytä spekuloidaan Twitterissä ja toimittaja on yrittänyt soittaa useita kertoja toimitusjohtajalle.

Lisähaaste: Kyseessä on ns. tuplakiristys (double extortion) eli hyökkääjä uhkaa myös paljastaa käsiin saamansa tiedot, ellei organisaatio maksa lisälunnaita.

Harjoitusskenaario liittyy tuoreeseen Garminiin kohdistuneeseen kyberhyökkäykseen, jonka seurauksena mm. älykellojen mittausdatan synkronointi ja analysointi Garmin Connect -palvelussa ei ollut mahdollista. Vika vaikutti myös lentoliikenteessä käytettäviin tuotteisiin.

Tai ehkä yrityksellesi sopivampaa näkökulmaa antaa Suomessa sattunut tapaus, jossa kiristyshaittaohjelma salasi autotarvikeliikkeen asiakas- ja varastotiedot eivätkä kassatkaan auenneet.

Ketä mukaan skenaarioon:

Edustajat seuraavilta vastuualuilta:

  • Johto
  • Viestintä
  • Myynti ja markkinointi
  • Tietoturva
  • Tietosuoja
  • IT

Pohdittavaa ja tehtäviä harjoitukseen:

  • Mitkä ovat suunnitellut palautumistoimenpiteet?
  • Keille kaikille tulee viestiä (organisaation sisällä, ulkopuolella, yhteistyökumppaneille, jne.)?
  • Mistä saatte viestintää varten esimerkiksi asiakkaiden ja muiden kontaktoitavien henkilöiden tiedot, jos kiristyshaittaohjelma on nyt salannut nekin?
  • Mitkä ovat roolit ja vastuut poikkeamasta palautumisen ajan?
  • Ovatko järjestelmä- ja ohjelmistotoimittajat tietoisia poikkeamanhallintaprosessista?
  • Ovatko asiakastiedot vaarantuneet? Mitä se tarkoittaa tietosuojan näkökulmasta?
  • Onko jotain markkinointikampanjoita, jotka pitää pysäyttää tai muuten huomioida?
  • Kuka pitää kirjaa tilannekuvasta?
  • Johto haluaa tiiivistelmän tapahtuneesta. Tee yhteenveto 10 minuutissa.
Tietoturvapoikkeamatilanteissa on tärkeää viestiä muille osapuolille tilanteesta, jotta toiminta ja päätöksenteko on sujuvaa.
Tietoturvapoikkeamatilanteissa on tärkeää viestiä muille osapuolille tilanteesta, jotta toiminta ja päätöksenteko on sujuvaa.

 

Skenaario 3: ”Tekninen tuki” on saanut pääsyn organisaation koneille

Paikallisen IT-tuen palattua lomalta lounaspöydässä kysellään, kuka on tämä uusi ystävällinen, englantia puhunut IT-tuen tyyppi, joka oli ottanut puhelimitse yhteyttä huomattuaan vian koneessa. Kysyjälle oli vähän epäselvää, että oliko ongelma nyt ratkennut hänen asennettuaan koneeseen uuden ohjelman. Lounaskeskusteluissa ilmenee, että moni muukin on saanut vastaavia puheluita myös teleoperaattorilta.

Harjoitusskenaario liittyy tukipalveluhuijauksiin, joita on tullut mm. Microsoftin ja Elisan nimissä.

Ketä mukaan skenaarioon:

Edustajat seuraavilta vastuualuilta:

  • Viestintä
  • Tietoturva
  • IT

Pohdittavaa ja tehtäviä harjoitukseen:

  • Mitkä ovat suunnitellut palautumistoimenpiteet?
  • Keille kaikille tulee viestiä?
  • Mitä resursseja on käytettävissä?
  • Tarvitsetko lisää tietoa tai neuvoja, esimerkiksi lainopillista tai vaatimuksenmukaisuuteen liittyvää?
  • Arvioi mahdolliset vaikutukset tietojen luottamuksellisuudelle, eheydelle ja saatavuudelle.

Mistä lisää tietoa kyberharjoituksista?

Lisää ideoita kyberharjoitusskenaarioihin saa Kyberturvallisuuskeskuksen mainiosta Kyberharjoitusskenaariot 2020 -kokoelmasta ja Kyberharjoitusohjeesta. Listan harjoitus Pitkäkestoinen sähkökatko on ajankohtainen syysmyrskyjen varalle. Myös skenaario Kryptolouhintaa palvelimilla on tarkastelun arvoinen, sillä kryptovaluuttoja louhivia haittaohjelmia on liikkeellä edelleen, kuten palvelunestohyökkäyksiä ja kryptolouhintaa yhdistelevä hybridihaitttaohjelma Lucifer. Ikivihreitä harjoitusskenaarioita ovat Saastunut ohjelmistokomponentti ja Valkohattuhakkeri ilmoittaa haavoittuvuudesta. Tiedätkö sinä, miten toimia?

 

Kiinnostavatko kyberharjoitukset, tarvitsetko tukea? 

Lataa whitepaperimme Kyberturvaharjoitus paljastaa päätöksentekoprosessin puutteet ja lue, mitä kyberharjoituksessa tapahtuu ja mitä se vaatii organisaatioltasi.

Related blogs