Osa verkosta kaatuu ja pian löytyy jälkiä kyberhyökkäyksestä. Palautukset voidaan aloittaa nopeasti, mutta onko tietoa vuotanut? Mitä on oikeastaan tapahtunut? IT:llä on kädet täynnä ja johto painostaa saamaan liiketoiminnan pyörimään. Kaikki juoksevat ristiin rastiin, mutta johtaako kukaan tilannetta?
Tämä on monen CISO:n ja IT-johtajan painajainen. Mutta se on myös ylimmän johdon painajainen, koska kyberkriisi voi pahimmassa tapauksessa uhata yrityksen olemassaoloa. Kyberkriisi lähtee teknisestä ongelmasta, mutta voi käytännössä laajentua koskemaan kaikkea muuta teknisten ongelmien lisäksi. Kriisin hoitaminen vaatii laajaa osaamista ja monen eri kompetenssin saumatonta yhteistyötä. Yksinkertaisesta tapahtumasta, kuten haittaohjelmalla saastuneesta koneesta, voi kehittyä monimutkainen vyyhti, johon liittyy muun muassa eri sidosryhmien hoitamista, viranomaisyhteistyötä, sisäistä ja ulkoista tiedottamista sekä yrityksen liiketoiminnan kannalta kriittistä päätöksentekoa. 2NS on kehittänyt erityisesti johdolle suunnatun kyberharjoituksen, jonka avulla organisaatio kykenee harjoittelemaan todentuntuisesti kyberkriisiä. Kyberharjoitus on mahdollisuus testata organisaation kykyä toimia todellisessa kyberkriisissä, lue lisää alta!
Miksi yrityksen johto tarvitsee kyberharjoitusta?
On selvää, että vakavan kyberkriisin hoitaminen ei voi olla yksinomaan IT-osaston vastuulla. Yritys tarvitsee hyvät prosessit sekä käytänteet kriisinhallintaa varten ja tilannetta on johdettava tarpeeksi korkealta. Toimitusjohtaja ja johtoryhmä ovat monessa yrityksessä luontevia resursseja johtamaan kriisinhallintaa.
Kyberkriisi on harvinainen, mutta vakava tapahtuma, joka voi vaikuttaa yrityksen liiketoiminnan jatkuvuuteen. Tämä tarkoittaa, että moni yritys on varautunut siihen teoreettisella tasolla, mutta ei ole koskaan kokeillut politiikkojen ja prosessien toimivuutta käytännössä. Luotetaanko siis yrityksessänne siihen, että suunnitelmat toimivat tositilanteessa? Osaako kriisiryhmä identifioida oikeat toimenpiteet paineen alla? Ovatko toimintaohjeet varmasti ajan tasalla ja muistetaanko ohjeet tositilanteessa? Jos tätä ei tiedetä varmasti, on kyberharjoitus paikallaan.
Kuinka harjoitus käytännössä toteutetaan?
Johdon kyberharjoituksessa luodaan fiktiivinen, mutta realistinen skenaario, jossa yritys joutuu hyökkäyksen uhriksi. Kriisiryhmä kokoontuu ja saa tietoa tilanteesta syötteillä. Tehtäväksi jää tilanteen analysointi, tarvittavien lisätietojen selvittäminen, oikeiden johtopäätösten tekeminen sekä korjaavien toimenpiteiden käynnistäminen. Kaikki ei ole sitä, miltä se näyttää ja relevantin tiedon erottaminen taustakohinasta on aina haaste, sekä harjoituksessa että tositilanteessa. 3–4 tunnin sessiolla voidaan jo toteuttaa skenaario, johon liittyy vakavan kriisin kaikki ulottuvuudet.
Kyberharjoitus alkaa skenaarion huolellisella suunnittelulla. Tätä tehdään yhteistyössä asiakkaan kanssa varmistaen, että skenaario on mahdollisimman realistinen. Itse harjoituksessa on johtoryhmän lisäksi paikalla harjoituksen johtaja ja tarkkailija. Harjoituksen aikana tarkkaillaan mm. miten ryhmää johdetaan ja miten se työskentelee, miten saadut tiedot analysoidaan ja kuinka hyvin tunnetaan eri sidosryhmien tarpeet. Löydökset kootaan raporttiin. Samaan projektiin voi myös kuulua kriisinhallinnan ohjeiden ja prosessien katselmointia ja kehittämistä, riippuen asiakkaan tarpeista.
Palautekeskustelu heti harjoituksen jälkeen on tärkeä. Moni osallistuja kokee, että harjoitus oli silmiä avaava. Harjoitus antaa paremman kuvan siitä, mitä kyberkriisi voi olla käytännössä ja antaa hyvät eväät toimia oikein tositilanteessa. Samalla havaitaan yleensä puutteita ja parannettavia kohtia ohjeistuksessa, jotka ilman harjoitusta olisivat jääneet huomaamatta. Tehokkaasti ja oikein toimiva kriisiryhmä varmistaa, että yritys ei laiminlyö ilmoitusvelvollisuuksiaan ja minimoi kielteisestä julkisuudesta syntyvän mainehaitan sekä mahdollistaa IT:n keskittymisen omaan osuutensa rauhassa.
Regulaatio nostaa kyberharjoittelun tärkeyttä
Regulaatiota kehittävät viranomaiset ovat myös havainneet kuinka tärkeätä on valmistautua poikkeustilanteisiin ja varmistaa järjestelyiden toimivuus todellisessa kyberkriisissä. Poikkeustilanteiden hallinta huomioidaan tämän vuoksi standardeissa ja esimerkiksi EU-direktiiveissä. Hyvänä esimerkkinä toimii finanssialan DORA-regulaatio, joka kiinnittää paljon huomiota jatkuvuuden varmistamiseen. Tämä luo vielä yhden hyvän syyn miettiä vakavasti sitä, millä tasolla yrityksen kyky hallita kyberkriisiä todellisuudessa on.
Mikael Albrecht
Mikael toimii 2NS:llä tietoturva-konsulttina ja 2NS:n CISO:na.