Harkitsetteko tai oletteko kilpailuttamassa CSOC tai tuttavallisemmin SOC-palveluita? Yleistyvässä määrin organisaatiot ovat ulkoistamassa verkkonsa kybervalvontaa, sillä usein oma 24/7 valvonta on liian kallis ratkaisu ja resurssien lisäksi toiminta edellyttää myös korkean tason erityisosaamista. Palvelun ulkoistaminen tarjoaa ratkaisun näihin ongelmiin, mutta SOC-palvelun kilpailutus on myös oma prosessinsa, jossa on hyvä ottaa huomioon useampi näkökulma.
Kilpailutus on tarkka prosessi, jossa ostajan pitää onnistua joka kerta, mutta erityisen tärkeää onnistuminen on pitkissä yhteistöissä, kuten SOC -palveluissa. Kun tiedetään, että valitun toimittajan kanssa on edessä pitkäaikainen yhteistyö, on tahtotilana varmasti löytää omaan tilanteeseen paras ratkaisu ja toimittaja. Mitä onnistunut SOC -palveluiden kilpailuttaminen vaatii? Millaisia asioita on hyvä huomioida toimittajaa valittaessa? Miten saadaan pitkäaikainen yhteistyö toimittajan kanssa onnistumaan sujuvasti? Jos etsit vastausta näihin kysymyksiin, lue lisää!
Mikä on SOC ja mitä hyötyä se tuo yritykselle?
SOC eli suomeksi kyberoperaatiokeskus on toiminto, joka valvoo organisaation kyberympäristön tilaa ja turvallisuutta. SOC havainnoi ympäri vuorokauden tietoliikenneverkon, järjestelmien ja päätelaitteiden tapahtumia ja tutkii ilmenneet kyberhavainnot sekä reagoi mahdollisiin kyberpoikkeamiin. Kyberpoikkeamien havainnoinnin lisäksi SOC voi hoitaa myös esimerkiksi haavoittuvuushallintaa ja tuottaa tilannekuvaa kybertapahtumista.
SOCin tärkein ominaisuus on organisaatiota vastaan kohdistuneiden kyberhyökkäysten havaitseminen. Lisäksi hyvä toimittaja pystyy auttamaan organisaatiota hyökkäysten torjunnassa, vaikutusten minimoimisessa, palautumisessa sekä selvitystyössä. Hyvä toimittaja pystyy myös sparraamaan asiakasta ja tukemaan tietotekniikkaympäristön kehittämisessä entistä turvallisemmaksi.
SOCissa valvontaa toteutetaan usein 24/7 periaatteella, joka tuokin organisaatiolle valmiutta olla jatkuvasti hereillä mahdollisten kyberhyökkäysten varalta. Jatkuvasta valvonnasta ei kuitenkaan ole hyötyä, mikäli valittu toimittaja on kykenemätön erottamaan hyökkääjän toimintaa normaalin toiminnan seasta tai mikäli se nostaa jatkuvasti hälytyksiä normaalista toiminnasta. Toimittajan on osattava rakentaa havainnointikyky riittävän kattavaksi, joka vaatii, että ostaja tuntee oman ympäristönsä ja tietää, mihin suojaus ja havainnointikyky halutaan kohdentaa. Käytännössä SOC -palveluiden ulkoistaminen vaatiikin asiakkaalta resursseja palvelun scopen määrittelyssä ja jatkuvaa sekä osaavaa valvontaa siitä, että toimittajan palvelut todella toimivat niin kuin niiden pitäisi.
Yhteistyö sujuvaksi – Mitä ottaa huomioon toimittajaa valitessa?
Kilpailutukseen lähdettäessä on hyvä huomioida, että onnistunut SOC kilpailutus edellyttää esiselvitystä ja vaatimustenmäärittelyä, jossa tulee ottaa huomioon useita näkökulmia. SOCin ulkoistaminen ei ole halpaa ja palvelun kustannukset voivat nousta vuositasolla satoihin tuhansiin euroihin. On siis hyvä tehdä esiselvitykset ja vaatimustenmäärittelyt huolella. Tässä voi käyttää apuna esimerkiksi tietoturvan asiantuntijayritystä, joka auttaa tilaajaorganisaatiota selvityksessä ja vaatimustenmäärittelyssä, jotta asiakas saa omia tarpeitaan vastaavan SOC -palvelun. Asiantuntijayrityksen käyttö toki maksaa, mutta huomattavasti vähemmän kuin pieleen mennyt kilpailutus. Esimerkiksi 2NS tarjoaa konsultointia liittyen SOCin ulkoistamiseen ja sen vaatimustenmäärittelyyn. Kun esiselvitys ja vaatimustenmäärittely on tehty huolella, voidaan olla varmempia ulkoistuspalvelusta myös sen tuottamien kustannusten osalta.
SOCia ulkoistettaessa organisaation on kyettävä integroimaan toimittajan prosessit omaan toimintaan, samalla kuitenkin toimivaltuudet huomioiden. Lisäksi on esimerkiksi varmistuttava, että toimittaja kykenee ottamaan huomioon organisaation erityispiirteet ja integroimaan havainnointikykynsä olemassa oleviin teknologioihin.
Onnistunut yhteistyö valitun toimittajan kanssa edellyttää toimivia prosesseja havaittujen poikkeamien käsittelyssä. Käytännön tasolla on sovittava toimivaltuuksista ja yhteistyökanavista sekä mahdollisesti huomioitava muut verkon ylläpitoon liittyvät yhteistyökumppanit. Kyberhyökkäyksen sattuessa toimivaltuudet ja viestintäkanavat on oltava valmiit ja mielellään jopa harjoiteltuina ja testattuina, jotta kallista aikaa ei hukata käytänteiden setvimiseen. Ulkoistetun SOCin kanssa yhteistoiminnan harjoittelu ja toimintavaltuuksien määrittely korostuu, jotta voidaan olla varmoja palvelun toimivuudesta, jos kohdalle osuu oikea kyberhyökkäys.
SOCin hankintaan liittyy myös sen merkitys organisaation kokonaistietoturvassa. Suorituskykyinen SOC on hyvä lisä tietoturvaan, mutta ei yksinään vielä vastaa kaikkiin riskeihin. Organisaation on siis hyvä tunnistaa mihin tietoturvariskeihin SOC on ratkaisu ja mitä asioita pitää laittaa kuntoon toisilla kontrolleilla.
Toimiihan suorituskyky käytännössä?
Kun toimittaja on viimein saatu valittua ja käyttöönottoprojektikin tehtyä, on vielä hyvä varmistua suorituskyvyn toimivuudesta. Yhteistoimintaharjoitus ja teknisen havainnointikyvyn testaaminen varmistavat toteutuksen onnistumisen. Havainnointikyvyn testaamisessa voidaan tukeutua ulkoisiin toimittajiin, jotta voidaan varmistua testien puolueettomuudesta.
Mikäli teknisessä suorituskyvyssä havaitaan puutteita, voidaan SOCin toimintaa kehittää esimerkiksi niin sanotulla purpleteaming -harjoituksilla, jotka tehdään yhteistyössä testaajien ja SOCin kanssa. Vaikka prosessit ja toimivaltuudet olisi määritelty ja testattu käyttöönottoprojektin yhteydessä, olisi harjoittelusta hyvä tehdä säännöllistä. Kyberhyökkäys kun tulee aina yllätyksenä.
Katse tulevaisuuteen – Mitä tulevaisuuden tietoturvatarpeita SOC ratkaisee?
SOCin hankinta ei ole vain nykyhetken tarpeisiin vastaava ratkaisu, vaan hankinnassa olisi myös aina hyvä ottaa huomioon tulevat muutokset ja varmistaa hinnoittelun sekä palvelun skaalautuvuus tulevaisuuden tarpeisiin. Mikäli esimerkiksi organisaatio tai teknologiat muuttuvat, olisi palvelun hyvä kyetä vastaamaan uusiin haasteisiin.
Tärkeää on myös tunnistaa sekä määritellä koko organisaation tietoturvan tiekartta ja määrittää SOCin asema siinä. Toimiva kyberoperaatiokeskus integroituu osaksi tietoturvallisuuden johtamisjärjestelmää, kehittyy sekä tukee organisaation tietoturvan kehittymistä.
SOC -palvelun ulkoistaminen onkin kokonaisvaltainen prosessi, jonka kilpailutuksessa on hyvä ottaa nykytilanteen lisäksi huomioon myös tulevaisuus. Onnistunut kilpailutus, jossa on tehty laadukkaat esiselvitykset sekä vaatimustenmäärittely takaavat sujuvampaa yhteistyötä osapuolille. Toimittajan valinnan jälkeen on oleellista, että palvelun käytännön toiminnot on suunniteltu ja testattu. Tietoturvansa toimivuutta tilaajaorganisaatio voi myös varmentaa esimerkiksi vuosittaisilla, kolmannelta osapuolelta tilatulla SOC -palveluiden testauksella. Näin voidaan varmentaa, että kilpailutuksessa ja sopimuksissa sovituista asioista pidetään kiinni ja SOCin ulkoistuspalvelu toimii kuten pitääkin.
Pasi Hakkarainen
Tietoturva-asiantuntija, 2NS