Neljä neuvoa onnistuneen kyberharjoituksen järjestämiseen

Tietoturva Nyt!

Vuosi 2021 oli vilkas myös harjoitustiimillemme. Kokosimme tähän juttuun parhaat opit, joiden avulla voit lähteä suunnitelmaan ensi vuodelle entistä parempia kyberharjoituksia.

Traficomin Kyberturvallisuuskeskus on kansallisesti ainutlaatuisessa asemassa, sillä yksi harjoitustiimimme tehtävistä on tukea yhteiskunnan toiminnan kannalta kriittisten organisaatioiden kyberharjoittelua. Osallistumme vuosittain kymmeniin kansallisiin ja kansainvälisiin harjoituksiin, joissa tuemme harjoittelijoita läpi harjoitusten elinkaaren.

Organisaatiot voivat olla meihin yhteydessä missä tahansa suunnitteluprosessin vaiheessa. Me autamme organisaatiota laatimaan harjoituksille tavoitteet, löytämään niitä parhaiten tukevat harjoitusmuodot, sekä miettimään skenaarion sisältöä. Usein etenkin harvemmin harjoittelevat organisaatiot hyötyvät viranomaisen avun lisäksi ulkopuolisen harjoituspalvelujen tuottajan mukaan ottamisesta - teemmekin säännöllisesti yhteistyötä palveluntuottajien kanssa ja heidän tukenaan.

Kyberharjoittelu on hyödyllinen tapa tunnistaa organisaation toiminnan kehityskohteita ja testata olemassa olevien prosessien tehokkuutta. Kokemuksemme mukaan onnistuneissa kyberharjoituksissa toistuvat kerta toisensa jälkeen neljä tärkeää kokonaisuutta.

1. Varmista johdon tuki harjoitukselle

Menestyksekkäiden harjoitusten taustalla on johdon selkeä sitoutuminen kyberharjoitteluun. Tämä tarkoittaa harjoitusmyönteistä johtamista sekä riittävien budjetti- ja aikaresurssien takaamista. Huolellinen suunnittelu varmistaa, että harjoitustapahtuman kulku ja yksityiskohdat on mietitty tarkkaan. Onnistuneimmat harjoitukset ovat projekteja, joissa jokainen harjoituksen vaihe - valmistelu, toiminta ja jälkianalyysi - on mietitty organisaation kyvykkyyksiä silmällä pitäen. Merkittävä onnistuneita harjoituksia yhdistävä tekijä on johdon ja henkilöstön sitoutuminen jälkianalyysissa ilmenneiden kehityskohtien muuttamiseen/korjaamiseen.

2. Tavoite edellä

Organisaatiot, joissa heti suunnittelun alussa sovitaan yhdessä selkeät ja toteutettavissa olevat tavoitteet, saavat parhaat opit kyberharjoittelusta. Tavoitteiden olisi hyvä kuvastaa todellisia ja olemassa olevia tarpeita. Mitä konkreettisemmalle tasolle tavoitteiden muodostuksessa päästään, sitä helpompaa ne on pitää mielessä harjoituksen suunnittelun aikana. Harjoituksessa voidaan keskittyä esimerkiksi uudistetun häiriönhallinnan ohjeistukseen, toimitusketjujen koordinointiin tai vaikkapa lakisääteisten velvoitteiden täyttämiseen kyberhyökkäyksen aikana. On tärkeää muistaa, että harjoituksessa testataan aina olemassa olevia tai suunniteltuja prosesseja, ei harjoittelijoiden henkilökohtaisia suoriutumisia.

Vaikka suunnittelijoilla olisikin siis suuri houkutus alkaa miettiä heti aluksi erilaisia organisaatiota koskevia uhkakuvia tai maailman tilaa, ei tämä kokemuksemme mukaan ole järkevin tapa aloittaa suunnitteluprosessia. Marssijärjestys on selvä - ensin tavoitteet, sitten vasta tavoitteita tukeva skenaario.

3. Tunnista organisaation ja harjoittelijoiden kybermaturiteetti

Positiivinen harjoituskokemus muodostuu, kun osallistujat tietävät mitä heiltä edellytetään. Harjoitustilanne on suurelle osalle tavallisesta poikkeava ja jännittävä tilanne, eikä osallistujille ole välttämättä itsestään selvää, miten harjoitukseen kuuluu valmistautua. Stereotyyppinen ajatus harjoittelusta on, että kootaan harjoitteleva porukka yhteen mahdollisimman salamyhkäisin lähtötiedoin, aloitetaan harjoitus ja vyörytetään pelaajille erilaisia tapahtumasyötteitä toisensa perään. Tällainen 'salamaharjoitus' toimii harvoin, ja vaatii usein merkittävää harjoittelukokemusta osallistujilta.

Kokemuksemme on, että harjoittelijat haluavat vähemmän tulkinnan varaa ja enemmän lähtötietoja, alustusta ja selkeyttä. Harjoituksen tavoitteet ja roolijako on hyvä käydä läpi ennen harjoitusta, jotta jokainen osallistuja on tietoinen häneltä odotetuista toimista. Suunnittelijoiden vastuulle jää varmistaa, että mukana olevien henkilöiden työtehtävät vastaavat tavoitetta. Harjoitus ei ole koskaan kilpailu, eikä siinä ole tarkoitus etsiä heikointa lenkkiä tai huonoiten suoriutuvaa harjoittelijaa.

4. Kerää opit

Harjoittelun itseisarvo ei ole harjoittelu, vaan sen kautta tunnistetut heikkoudet ja kehityskohteet organisaation päivittäisissä toiminnoissa. Oppeja voidaan kerätä jo suunnitteluvaiheessa ja ne voivat koskea joko harjoituksen substanssia, eli organisaation toiminnan kehittämistä, tai harjoituksen suunnitteluprosessia. Tavoitteita muodostaessa on hyvä miettiä, mikä toiminta harjoituksen aikana voisi kehittyä. Joskus nämä arviot osuvat oikeaan, kun taas toisinaan harjoitus voi tuoda esiin täysin uusia ja yllättäviä kehittämiskohteita.

Tänä vuonna pidetyissä menestyksekkäissä harjoituksissa, joihin Kyberturvallisuuskeskus on osallistunut, on ollut selkeä roolijako havainnoitsijoiden ja tarkkailijoiden välillä. Havainnoitsijoille annettiin omat yksilökohtaiset tavoitteensa, sekä selkeä näkymä harjoituksen toteutumiseen. Heidän näkemyksensä otettiin huomioon jälkianalyysissa sekä myöhemmin toiminnan kehittämisessä. Tärkeintä on muistaa, että harjoituksen oppien tuominen koko organisaation hyödyksi vaatii, että toimintaa todella muutetaan.

Harjoituskokemuksia

Viimeisen runsaan vuoden ajan olemme päässeet lukemaan eri organisaatioiden kyberharjoituksissa syntyneitä oppeja ja oivalluksia. Harjoituskokemukset-sarja jää nyt tauolle. Ensi vuoden juttusarjamme paneutuu eri tasoisten harjoitusten järjestämiseen. Mietimme koska organisaatio on valmis ensimmäiseen kyberharjoitukseensa, minkälaisia käytännön eroja eri vaikeustason kyberharjoituksilla on ja minkälaisia mahdollisuuksia kansalliset kyberharjoitukset tarjoavat.