Threat intel kybermaailmassa
Kirjoitus on julkaistu Elinkeinoelämän keskusliiton blogissa (#EKkyberblogi) 30.10.2018.
Teknologian nopea kehitys ja digitalisaatio tuovat suuria hyötyjä niin yrityksille kuin koko yhteiskunnallekin. Toisaalta kehittyvät teknologiat ja digitalisaatio auttavat organisaatioita tehostamaan toimintaansa ja jopa luomaan aivan uudenlaisia liiketoimintamalleja, mutta tekevät niistä samalla yhä riippuvaisempia tietojärjestelmistä. Juuri tämä riippuvuus tekee yrityksistä uudella tapaa haavoittuvia kybermaailmassa.
Myös rikollisuus on digitalisoitunut ja hyödyntää surutta digitalisaation tuomia uusia mahdollisuuksia. Erilaiset kyberhyökkäykset ovat arkipäivää ja niiden vaikutukset voivat olla yrityksille hyvin merkittäviä, kuten tanskalaisen laivanvarustamo Maerskin tapauksessa keväällä 2017.
Miten yrityksien sitten kannattaisi suojautua?
Yritysten tietoturvallisuus on perinteisesti keskittynyt vahvasti estäviin kontrolleihin – on yritetty rakentaa suojakuori, joka pitää pahan poissa. Valitettavasti tämä lähestymistapa ei toimi, sillä rikolliset kehittävät jatkuvasti toimintatapojaan.
Ainoa toimiva suojauskeino on kokonaisvaltainen kyberpuolustus. Käytännössä tämä tarkoittaa, että panostukset suunnataan tasapainoisesti perinteisiin suojakontrolleihin, havainnointi- ja toipumiskykyyn. Modernissa kyberpuolustuksessa ei edes yritetä estää kaikkea pahaa, vaan tunnustetaan tosiasia, että välillä jokin kontrolli pettää. Oleellista on, miten nopeasti ja tehokkaasti yritys kykenee toipumaan.
Uhkatieto mahdollistaa kokonaisvaltaisen tilannekuvan
Uhkatiedolla (Threat intel) on keskeinen rooli menestyksekkäässä kyberpuolustuksessa. Monet mieltävät uhkatiedon listoina tunnetusti pahoja osoitteita tai tiedostotunnisteita. Tämä tekninen uhkatieto on kuitenkin vain pieni osa uhkatietoa. Sen lisäksi on strategista, taktista ja operatiivista uhkatietoa.
Strateginen uhkatieto keskittyy uhkatrendeihin ja kyberuhkien isoon kuvaan. Tämän tiedon avulla yritys voi mm. ymmärtää, mihin suuntaan uhat ovat kehittymässä ja mitkä uhat ovat sen omalla toimialalla todennäköisimpiä. Näin yritys voi paremmin suunnitella kyberpuolustuksensa kehittämistä.
Taktinen uhkatieto keskittyy kyberhyökkäyksissä käytettyihin menetelmiin ja rikollisten toimintatapoihin. Tämä tieto on erityisen hyödyllistä, kun yrityksen tietojärjestelmiä suunnitellaan ja ylläpidetään. Uhkatiedon avulla voidaan varmistaa, että järjestelmät on rakennettu niin, etteivät yleiset kyberhyökkäyksissä käytetyt menetelmät toimi. Taktisen uhkatiedon avulla voidaan myös varmistaa, että hyökkäykset voidaan havaita.
Toiminnallinen uhkatieto on erityisen hyödyllistä jokapäiväisessä kyberpuolustuksessa. Sen tarkoitus on tuoda kontekstia kyberhyökkäyksiin, eli ymmärrystä siihen, mistä hyökkäyksessä on oikeasti kyse. Onko se massoina levitetty haittaohjelma, jonka tarkoitus on varastaa laskentakapasiteettia, vai kenties yritysvakoilua tai taloushuijaus? Tämä ymmärrys on oleellista, jotta yritys voi keskittää voimavarat oikeasti vakavien hyökkäysten selvittämiseen ilman, että jokaista virustorjuntaohjelman hälytystä tarvitsee selvittää juuria myöten.
Suuntaa panostukset liiketoiminnan kannalta kriittisiin osiin ja niihin kohdistuviin aitoihin uhkiin.
Uhkatieto auttaa ymmärtämään, mitkä uhat ovat realistisia, miten pahat pojat hyökkäyksensä tekevät ja miten oman ympäristön voi rakentaa niin, että se olisi mahdollisimman järkevästi suojattu.
Lähtökohtana kyberpuolustuksessa on, että yritys ymmärtää, mikä sen toiminnalle on aidosti kriittistä.
Näin yritys voi keskittää puolustuksen näihin kriittisiin osiin, olivatpa ne sitten ihmisiä, tietojärjestelmiä, laitteita tai jotain muuta. Kun tämä ymmärrys yhdistetään uhkatiedon hyödyntämiseen, puolustus voidaan myös mitoittaa taloudellisesti järkevästi.