Asiakascase: Kevalle virtaa ja vaikuttavuutta Red Teaming -projektista

Toteutimme Kevan kanssa Red Teaming – projektin, jolla pyrittiin löytämään uusia haavoittuvuuksia organisaatiosta ja antamaan käytännön kehitysehdotuksia organisaation tietoturvan parantamiseen. Mutta mikä Red Teaming oikein on? Millä tavoin projekti tehtiin Kevalle – ja miten Keva siitä hyötyi?

Red Teaming on tietomurtoharjoitus, joka toteutetaan aivan kuten oikea vihamielinen hyökkäys toteutettaisiin. Sen tavoitteena on löytää aiemmin havaitsematta jääneitä tietoturvaheikkouksia ja demonstroida niiden vaikutuksia. Usein tällaiset haavoittuvuudet liittyvät inhimilliseen toimintaan, riskialttiisiin toimintatapoihin sekä rakenteellisiin heikkouksiin it-infran ja palveluiden toiminnallisessa kokonaisuudessa.

Projektin suunnittelu ja puitteiden asettaminen

Red Teaming -projekteja voidaan toteuttaa täysimääräisesti tai perusteltavin rajoituksin ja eri lähtöskenaarioiden kautta. Tyypillinen rajoitus on fyysisten toimitilojen rajaaminen harjoituksen ulkopuolelle. Hyvä esimerkki lähtöskenaariosta on tilanne, jossa simuloidaan kohdeorganisaation työntekijän kannettavan päätymistä hyökkääjän haltuun.

Kevankin projektin yhteydessä hyödynnettiin rajoituksia ja lähtöskenaarioita. Näin pystyttiin myös kohdentamaan havainnot ja tulokset Kevan kannalta mielenkiintoisiin asioihin.

Keva halusi näkyvyyden siihen, miten omat tietoturvaan liittyvät havaitsemiskyvyt ja prosessit toimivat käytännössä. Kokonaisuudessaan tavoitteena oli oppia ja kehittää omaa tietoturvaa.

Projekti suunnitellaan aina yhdessä asiakkaan kanssa ja Kevalta white-teamissä olivat mukana Kevan tietoturvapäällikkö Juha Mäkinen sekä erityisasiantuntija Tuomas Vehaskari. Yhdessä suunniteltaessa projekti saadaan parhaiten vastaamaan asiakkaan yksilöllisiä tarpeita, jolloin se voidaan toteuttaa sopivan tasoisena ja tarkoituksenmukaisiin kohteisiin.

Useimmiten Red Teaming projektin tavoitteiden saavuttaminen tarkoittaa sitä, että hyökkääjällä on pääsy asiakkaan keskeisimpiin järjestelmiin ja arvokkaimpiin tietoihin. Yksi suunnittelun tärkein kohta onkin sen varmistaminen, ettei harjoituksessa missään tilanteessa edetä liian pitkälle, saati vaaranneta asiakkaan ydintoimintoja.

Uutta virtaa tietoturvan kehittämiseen riskien havainnollistamisen kautta

Merkittävänä eläketoimijana Keva on jo pitkään panostanut tietoturvaan eri osa-alueilla. Red Teamingin kautta Kevan oli mahdollista koestaa tietoturvan kokonaisuutta ja havainnollistaa koko omalle organisaatiolle, mitä kohdennetun hyökkäyksen kohteeksi joutuminen voisi tarkoittaa.

Samalla Keva halusi näkyvyyden siihen, miten omat tietoturvaan liittyvät havaitsemiskyvyt ja prosessit toimivat käytännössä. Kokonaisuudessaan tavoitteena oli oppia ja kehittää omaa tietoturvaa.

Projektin aikana löydettiin uusia haavoittuvuuksia ja tietoturvan kannalta riskialttiita käytänteitä. Harjoituksen kautta niiden mahdolliset vaikutukset, erityisesti yhdistettynä muihin tietoturvaheikkouksiin, tulivat käytännössä todennetuiksi.

– Projekti oli onnistunut. Omalta kannaltani merkittävin lisäarvo oli erinomainen keskustelu 2NS:n tietoturva-asiantuntijoiden kanssa Red Teamingin tulosten merkityksestä ja järkevistä kehitystoimenpiteistä. Saimme tuloksena hyvät kehitysehdotukset ja konkreettisia parannusehdotuksia. Keva kokonaisuudessaan hyötyi ennen kaikkea tietoturvariskien käytännön havainnollistamisesta. Tulosten kautta koko Keva sai vielä enemmän virtaa tietoturvatekemiseen, Kevan tietoturvapäällikkö Juha Mäkinen kuvaa.