Kategoria: Kehittäminen

Kyberharjoittelu – kokemuksia ja vinkkejä

On olemassa kaksi tapaa, jolla voit valmistautua toimimaan erilaisissa tietoturvapoikkeamissa tai kyberkriiseissä – käytännön kokemus ja harjoittelu.

Vaikka kannatankin käytännön kokemusta, niin tässä asiassa olen pelkän kyberharjoittelun puolella 😉

Kyberharjoituksen voi järjestää monella eri tavalla. Olen itse päässyt osallistumaan kyberharjoitukseen niin harjoittelijan, järjestäjän kuin tarkkailijankin roolissa. Näissä tilaisuuksissa oppii ihan valtavasti.

Ohessa kokemuksia ja vinkkejä.

Kyberharjoitukseen valmistautuminen on tärkeää.

Ja valmisteltavaa riittää, pienissäkin harjoituksissa. Määrittele, mitä haluat harjoitella. Mitä harjoituksella tavoitellaan? Tee konkreettinen suunnitelma harjoituksen etenemisestä. Valmistele harjoittelijoille lähetettäviä syötteitä, kuten esim. rikollisten yhteydenottoja, kuvakaappauksia, somepoimintoja, verkkouutisia, puheluita jne. Jos harjoitukseen osallistuu useampi työntekijä, niin varaa harjoittelijoille tilat, laitteet. Ja miksei eväätkin!

Kyberharjoituksen käsikirjoittajalla on kuitenkin suuri vastuu – yhteen harjoitukseen ei pidä ahnehtia mukaan kaikkea mahdollista.

Viestinnän merkitys on (harjoittelussakin) valtava.

Kybertilanteen hallinta vaatii paljon viestintää. Kyberharjoitus on hyvä paikka harjoitella tätä.

Viesti organisaation johdolle, miksi harjoittelemme ja miksi on tärkeää, että kaikki osallistuvat. Hyvällä ennakkoviestinnällä saadaan harjoittelijat valmistautumaan harjoitukseen ja virittäytymään päivän tunnelmaan.

Harjoittelijoiden on viestittävä jatkuvasti keskenään. Mitä on tapahtunut, mikä on tilannekuva ja mitä tehdään seuraavaksi? Mitä viestitään asiakkaille, työntekijöille, alihankkijoille ja viranomaisille? Mitä aiheesta viestitään harjoituksen jälkeen osallistujille ja muille työntekijöille? Kerro mitä on opittu!

Vinkkinä voin todeta, että viesti myös niille työntekijöille, jotka eivät osallistu harjoitukseen. Voi nimittäin olla jälkikäteen hieman selittelemistä, miksi iso kasa asiantuntijoita ja organisaation johtoa kohkaa valtavasta kyberhyökkäyksestä!

Tee harjoiteltavat asiat oikeasti

Kyberharjoituksessa voi tulla eteen tilanne, jossa työntekijöille tai asiakkaille pitää kirjoittaa tiedote tapahtuneesta, esim. kyberhyökkäyksestä. Eläydy tilanteeseen todenmukaisesti – kirjoita tiedote oikeasti. Älä tyydy toteamaan, että julkaisemme nyt leikisti asiakastiedotteen.

Kirjoittamalla asiakastiedotteen harjoituksen aikana huomaat, että ei se teksti muodostukaan ihan tuosta vain. Kirjoittaminen vie aikaa. Harjoitustilanne itsessään voi myös hermostuttaa, joka ei varmastikaan auta tekstin tuottamista. Tiedotteen pitäisi olla tarpeeksi informatiivinen, mutta samalla pitäisi olla tarkkana sanavalintojen kanssa. Huomaat pian, että materiaalit kannattaisi olla etukäteen tehtynä.

Kyberharjoittelu syö resursseja oikein kunnolla!

Harjoittelu vie aikaa ja energiaa. Valmistelu, harjoittelu, jälkipuinti. Tekemistä riittää, aikaa kuluu ja harjoittelu siirtää muita töitä. Valitettavasti täysin totta. Siksi onkin niin helppoa todeta, että emme käytä resursseja harjoitteluun. Tai että ”minulla on muuta tekemistä”.

Harjoittelussa on kuitenkin se etu, että ajan voi käyttää nyt rauhassa toimien. Tositilanteessa tekosyitä ei sallita. Ja kiire on ihan eri luokkaa. Stressitasoista puhumattakaan.

Tarkkailija on tärkeämpi kuin tietoturvapäällikkö

Kyberharjoituksessa tarkkailijalla on tärkeä tehtävä. Hänen tulee kirjata talteen havaintoja tapahtumista. Kuka teki ja mitä? Mitä päätöksiä tehtiin? Minne oltiin yhteydessä? Toimiko viestintä? Entä työkalut? Noudatettiinko suunnitelmaa? Saatiinko tilannekuvaa muodostettua riittävästi?

Tarkkailijana on mahdollista katsoa organisaation toimintaa eri näkökulmasta. Voit unohtaa hetkeksi oman tehtäväsi ja seurata muiden toimintaa. Tietoturvapäällikkönä voin auttaa organisaatiota harjoituksessa oman roolini kautta, mutta tarkkailijana sekä minä että organisaatio opimme enemmän!

Harjoittelu nostaa onnistumisen todennäköisyyttä – kyberturvallisuudessakin!

Lisätietoja esim:

Mitkä ovat ehdottomat minimivaatimukset turvalliselle ICT-hankinnalle?

Oletko hankkimassa IT-palveluita ja pohdit niiden tietoturvavaatimuksia? Tai tarjoatko IT-palveluita muille? Euroopan unionin kyberturvallisuusvirasto ENISA:n nettisivuilla on vapaasti saatavilla ohje (01/2017), jossa kerrotaan turvallisen ICT-hankinnan ehdottomat minimivaatimukset.

Vaatimukset on kirjattu sen verran yleisesti, että ne sopivat niin palveluiden, järjestelmien kuin laitteidenkin hankintaan. Palveluntarjoajat saavat ohjeesta puolestaan tietoa, miten kokonaisuudet kannattaisi rakentaa.

Ohjeella ja siinä olevilla vaatimuksilla tavoitellaan sitä, että EU:n sisämarkkinoille tuotettaisiin turvallisia ICT-tuotteita, -järjestelmiä ja -palveluita.

Ohessa on ENISA:n kymmenen vaatimusta vapaasti suomennettuna ja tiivistettynä:

Suunniteltu turvalliseksi: Tuote tai palvelu on suunniteltu ja konfiguroitu niin, että se ei sisällä turhia tai piilotettuja toiminnallisuuksia, eikä turvattomia teknologioita.

Turvallisuuslähtöistä suunnittelua voi verrata tietosuojalainsäädännöstä tuttuun sisäänrakennettuun ja oletusarvoiseen tietosuojaan (GDPR, 25 artikla).

Noudattaa vähimpien oikeuksien periaatetta: Käyttäjätunnuksiin kytketään oletuksena vain ne käyttöoikeudet, jotka on tarpeen. Ei siis käytetä turhaan esim. pääkäyttäjätunnuksia päivittäisessä toiminnassa. Tunnukset ja salasanat on ostajan hallittavissa.

Tukee vahvaa tunnistautumista: Palvelu tai järjestelmä tukee vahvaa tunnistautumista ja varmistaa, kuka henkilö tai mikä laite on kirjautumassa. Tähän liittyy esim. kaksivaiheinen tunnistautuminen.

Kriittisen tiedon suojaus on kokonaisvaltaista: tietoa, järjestelmiä ja laitteita suojataan kunnolla, erityisesti kriittisen tiedon tallennuksen ja siirron yhteydessä.

Toimitusketjun turvallisuus on huomioitu: tuotteet, järjestelmät, laitteet jne. on alkuperäisiä eli kukaan ei ole päässyt muuttamaan niitä toimituksen aikana.

Dokumentaatio on läpinäkyvää: kokonaisuudesta on olemassa kattava ja ymmärrettävä dokumentaatio, jossa kerrotaan palvelun/järjestelmän/tuotteen toimintaperiaatteista, toiminnallisuuksista, protokollista, turvallisuudesta jne.

Turvallisuus on todennettavissa: toimittaja pystyy todentamaan sen, että tietoturvallisuus ja vaatimuslistassa olevat asiat on huomioitu elinkaaren eri vaiheissa.

Jatkuvuus on taattu: toimittaja tukee palvelun jatkuvuutta ja varmistaa, että järjestelmä pysyy turvallisena koko sen elinkaaren ajan.

Kokonaisuus on EU:n lainsäädännön alainen: toimittaja ja alihankkijat toimivat EU:n lainsäädännön alaisina. Jos heitä sitoo EU:n ulkopuolinen lainsäädäntö, tästä on kerrottava etukäteen.

Tietojen keruu on rajattua ja perusteltua: toimittaja kuvaa, mitä tietoja kerätään ja miksi.

Minimivaatimukset on järkeviä ja itsestäänselviä asioita.

PiTuKri – tietoturvatyökalu meille kaikille

PiTuKri on Pilvipalveluiden Turvallisuuden arviointiKriteeristö. PiTuKrin tavoitteena on edistää viranomaisten salassa pidettävän tiedon turvallisuutta.

Unohdetaan hetkeksi tuo viranomaisnäkökulma. Kyseessä on oikeasti moniopuolinen ja hyödyllinen työkalu esim. yritysjohdolle, asiantuntijoille ja alaa opiskeleville – meille kaikille.

IT-palvelun hankinnassa PiTuKrista on valtava apu. Dokumentista voi ottaa suuntaa, millaisia tietoturvavaatimuksia uudelle IT-palvelulle asetetaan.

IT-palvelun tarjoaja voi puolestaan arvioida oman palvelunsa tietoturvallisuutta. Ja varautua siihen, millaista tietoturvaa palvelulta saatetaan edellyttää.

Opiskelumateriaalinakin PiTuKria voi hyödyntää. PiTuKrin avulla voi oppia:

  • millaisista osa-alueista pilvipalvelun tietoturva muodostuu,
  • millaisia suojaustavoitteita tiedoille, tietojärjestelmille ja laitteistoille voidaan asettaa,
  • mitä toimenpiteitä vaaditaan, jotta suojaustavoitteet voidaan täyttää?

PiTuKri myös muistuttaa, kuinka monipuolinen, mielenkiintoinen ja haastava kokonaisuus tietoturvallisuus on.

PiTuKri on työkalu, josta on monipuolisesti hyötyä meille kaikille.

Lataa Pilvipalveluiden turvallisuuden arviointikriteeristö Kyberturvallisuuskeskuksen sivuilta. Lue myös Tunnetko jo PiTuKrin?

Tapahtumien tietosuoja – 11 kysymystä suunnittelun avuksi

Tapahtumien tietosuoja muodostuu monesta asiasta. Suunnitelmallisuus on tärkeää, sillä iso osa tapahtuman tietosuojatyöstä tehdään jo ennen ilmoittautumisen avaamista. Suunnittele tapahtumien tietosuoja seuraavien kysymysten avulla:

  1. Miksi tapahtuman järjestäminen vaatii henkilötietojen käsittelyä?
  2. Mitä tietoja oikeasti tarvitaan?
  3. Millaista oheistoimintaa tapahtumassa järjestetään ja käsitelläänkö siinä henkilötietoja?
  4. Miten osallistujien tietoja halutaan hyödyntää myöhemmin?
  5. Miten ulkopuolisia palveluntarjoajia hyödynnetään tapahtuman järjestämisessä?
  6. Millaisia valokuvia tapahtumassa otetaan ja missä niitä julkaistaan?
  7. Mille tahoille osallistujien tietoja luovutetaan?
  8. Miten tapahtuman materiaalit lähetetään osallistujille?
  9. Miten ja minne tarpeelliset tiedot otetaan talteen?
  10. Mitä muille tiedoille tehdään tapahtuman jälkeen?
  11. Missä osallistujalle kerrotaan henkilötietojen käsittelystä?

Aihetta on käsitelty laajemmin Talk-verkkolehdessä: Tietosuoja tapahtumissa – mitä pitää huomioida?

Tapahtumien tietosuojan suunnittelussa voi auttaa myös tietovirtojen kuvaaminen.

10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.