Harjoittelu kannattaa aina, kunhan opit otetaan käyttöön
Tietoturva Nyt!
Harjoittelun jälkeinen analyysi ja oppiminen nousivat S-ryhmän Mikko Koskisen ja Kyberturvallisuuskeskuksen Antti Kuritun puheenvuoroissa keskeiseen asemaan Tietoturva 2019 -seminaarissa. Ilman jälkihoitoa loistavasti suunnitellusta harjoituksesta ei välttämättä jää paljon käteen.
Tietoturva 2019 -seminaarissa kyberharjoittelun merkityksestä oli puhumassa kolme asiantuntijaa: S-ryhmän riskienhallintayksikön päällikkö Mikko Koskinen, Kyberturvallisuuskeskuksen erityisasiantuntija Antti Kurittu ja Clarified Securityn kyberturvallisuusasiantuntija Sille Laks Virosta. Sille Laksin ajatuksista kerromme myöhemmin julkaistavassa artikkelissa.
Koskinen ja Kurittu tarkastelivat molemmat harjoittelua pitkälti samasta näkökulmasta, sillä suuri osa molempien työtä on harjoitusskenaarioiden tarjoaminen niitä tarvitseville. Koskinen vastaa harjoitusten järjestämisestä koko S-ryhmässä, johon kuuluu lukuisia vähittäiskaupan yksiköitä, huoltoasemia sekä ravintoloita ja hotelleja. Kurittu taas tukee tietoturvaharjoitusten järjestämistä Kyberturvallisuuskeskuksessa muun muassa huoltovarmuuden kannalta tärkeissä organisaatioissa.
Lähes kaikkea voi harjoitella
S-ryhmän Koskisen puheen keskeinen viesti yleisölle oli paitsi itse harjoittelun tärkeys, myös siitä oppimisen keskeisyys. "Harjoituksia voi aina pitää, mutta pelkkä harjoittelu itsessään ei opeta juuri mitään", Koskinen linjasi. Harjoituksen jälkeen on ehdottoman tärkeää käydä harjoitustilanne perusteellisesti läpi ja sopia siitä, miten opitut asiat viedään osaksi arkipäivän toimintaa.
S-ryhmän riskienhallintayksikössä on niin kutsuttu pelipankki, josta saa simuloituja tilanteita harjoituksia varten. Henkilöstö ei yleensä tiedä etukäteen, mitä on tulossa. Harjoituksessa voi joutua kohtaamaan miltei mitä tahansa vihaisesta sosiaalisen median kirjoittelusta ebolavirukseen.
"Pyrimme siihen, että henkilöstömme harjoittelee riskitilanteita vähintään kolmen vuoden välein", Koskinen kertoi. S-ryhmäläisten lisäksi tilanteisiin osallistuvat myös yhteistyökumppanit ja ajoittain myös viranomaiset.
Tarvittaessa vaikeusastetta voidaan kasvattaa siirtämällä yksiköiden avainhenkilöitä tarkkailijan asemaan, mikä simuloi näiden mahdollista puuttumista oikeassa kriisitilanteessa. "Palaute henkilöstöltä harjoittelun jälkeen on ollut lähes poikkeuksetta kiittävää", Koskinen kehaisi ja jatkoi: "Harjoittelu tuo tekemiseen itseluottamusta, osaamista, tietoa ja tarkkuutta. Harjoituksen jälkeen osaamme toimia paremmin."
Virheet ovat parhainta oppia, jälkipuinnitkin tärkeitä
Kyberturvallisuuskeskuksen erityisasiantuntija Antti Kurittu on entinen Helsingin poliisin tietotekniikkarikosten tutkija, jonka nykyinen toimenkuva on auttaa viranomaisena erilaisia organisaatioita järjestämään tietoturvaharjoituksia. "Kyberhajoittelu on vähän niin kuin crossfit-kuntoilulaji – kuulosta vaikealta ja epämukavalta, mutta sinnikäs harjoittelu lopulta palkitsee", Kurittu vertaili.
Harjoituksissa vaikeinta on usein tilannekuvan muodostaminen, ja Kuritun mukaan viestintä on tässä keskeisessä roolissa. Vaikka kyberharjoitukset ovatkin eräänlaisia pelejä, niissä ei ole tarkoitus etsiä voittajia tai häviäjiä vaan oppia tekemällä. Virheistä oppii parhaiten. "Itse harjoituksen suunnittelun ja toteutuksen ohella viimeinen vaihe eli jälkianalyysi on kokonaisuuden kannalta erittäin oleellinen", Kurittu summaa – ja on tässä tismalleen samoilla linjoilla kuin S-ryhmän Koskinen.
Teksti ja kuvat: Aleksi Vähimaa