Tietoturvaharjoitus on tapahtuma, jossa organisaatio voi testata, mitata sekä kehittää omaa suorituskykyään. Harjoituksen kohteeksi voidaan valita esimerkiksi erilaisiin tietoturvapoikkeamiin varautuminen ja reagointi. Tietoturvaharjoitukset eivät kuitenkaan ole pelkästään IT-harjoituksia, vaan niissä harjoitellaan myös esimerkiksi johtamista ja viestintää, joka hyödyttää organisaatiota myös muilla tasoilla.
Harjoittelu tarjoaa monenlaisia hyötyjä, jotka eivät rajoitu pelkästään henkilöstön osaamisen kehittämiseen, sillä ne soveltuvat myös erilaisten prosessien testaamiseen ja kehittämiseen. Harjoituksia voidaan myös käyttää jo suunnitteluvaiheessa, jolloin pyritään tunnistamaan ja muotoilemaan vaatimuksia sekä ratkaisuja esimerkiksi tietoturvapoikkeamien käsittelylle.
Edellä mainittujen hyötyjen lisäksi tietoturvaharjoitus on erittäin hyvä väline eri organisaatioiden välisen yhteistyön kehittämisessä. Tämä korostuu erityisesti tilanteissa, joissa yhteistyö on normaalisti vähäistä. Harjoitukset ovat myös hyviä avaamaan silmiä aikaisemmin tunnistamattomien riskien löytämiseksi, sekä myös uusien toimintavaihtoehtojen tunnistamiseksi.
Mitä ovat toiminnalliset tietoturvaharjoitukset?
Toiminnallinen harjoitus toteutetaan realistisilla syötteillä, kuten viesteillä, puheluilla ja teknisillä hälytyksillä, joita harjoitteleva joukko pyrkii käsittelemään. Toiminnallisissa harjoituksissa muun muassa aikapaine on selkeästi tiukempi, sillä harjoituksessa käsitellään ajastettuja syötteitä. Syötteet pelataan harjoitukseen osallistuville harjoittelijoille ennalta laaditun käsikirjoituksen mukaisesti ja harjoitteleva joukko ratkoo niitä omien prosessiensa mukaisesti. Yleensä syötteillä on suunniteltu haluttu käsittelytapa ja tulos, joiden avulla harjoituksen edistymistä voidaan seurata. Näiden havaintojen avulla voidaan tehdä johtopäätöksiä toiminnan tasosta ja kehittämiskohteista.
Toiminnallista harjoitusta kevyemmässä muodossa, eli työpöytäharjoituksissa, ei yleensä ole ajastettuja syötteitä, vaan ne ovat luonteeltaan enemmänkin prosessien läpikäyntiä. Työpöytäharjoituksiin verrattuna toiminnalliset harjoitukset edellyttävät parempaa valmistautumista sekä tilanteen ja skenaarion räätälöintiä harjoitusorganisaatiolle soveltuvaksi.
Toiminnalliset harjoitukset eivät edellytä yhteistä fyysistä tilaa ja niitä voidaan järjestää soveltaen esimerkiksi virtuaalisten työtilojen kautta. Vaikka tietoturvaharjoituksen järjestelyt edellyttävät valmisteluja, eivät toiminnalliset harjoitukset juurikaan työllistä harjoitukseen osallistuvaa henkilöstöä etukäteen.
Harjoituksen suunnittelu ja valmistelut
Tietoturvaharjoituksen suunnittelu ja järjestäminen on kokonaisuus, jossa huomioidaan tavoitteiden ohella harjoituksen reunaehdot, kuten aika, paikka, resurssit ja osallistujat sekä harjoituksen kohde.
Kun harjoituksen tavoitteet ja reunaehdot ovat selvillä, voidaan valita soveltuvin harjoittelumuoto. Tässä kirjoituksessa käsitellyn toiminnallisen harjoittelun lisäksi on olemassa muitakin harjoitusmuotoja, kuten esimerkiksi työpöytäharjoituksia, CTF (capture the flag) harjoituksia sekä teknisiä harjoituksia.
Harjoitusmuodon ohella toinen merkittävä päätös on harjoitusskenaarion valinta. Harjoitusskenaario tulee valita siten, että valittu skenaario tukee harjoituksen tavoitteita sekä soveltuu organisaation normaaliin toimintaan. Yksi tärkeä valintakriteeri on myös, että valittu skenaario tuottaa riittävästi mielekkäitä harjoitussyötteitä. Harjoituksen suunnitteluvaiheessa valittu skenaario ja syötteet räätälöidään harjoitusorganisaation teknologioihin ja infrastruktuuriin, prosesseihin, henkilöstöön, harjoituksen ajankohtaan sekä harjoitusorganisaation toimintaan.
Harjoitusvaihe
Itse tietoturvaharjoitus voidaan järjestää fyysisesti samassa tilassa tai virtuaalisesti esimerkiksi Teamsin välityksellä. Sujuvan harjoituksen takaamiseksi harjoitteleva joukko tulee perehdyttää riittävällä tasolla harjoitteluun ja harjoitusympäristöön.
Harjoituksen pelimestarilla ja pelaajilla on tärkeä merkitys harjoituksen onnistumiselle ja harjoitustavoitteiden saavuttamiselle. Vaikka harjoitussyötteet voidaan suunnitella etukäteen, on ihmisten reagointi kuitenkin aina yksilöllistä ja pelimestarin on tarvittaessa muokattava harjoituksen käsikirjoitusta ja tuotettava lisää tarvittavia syötteitä.
Harjoituksen tavoitteiden saavuttamiseksi havainnoijat ovat tärkeässä roolissa, jotta esimerkiksi puutteet testattavissa prosesseissa tulevat dokumentoiduksi. Virtuaalityötiloissa järjestetyissä harjoituksissa voidaan myös hyödyntää teknisiä lokeja sekä nauhoituksia harjoituksen dokumentoinnissa.
Harjoituspalaute ja harjoituksista oppiminen
Harjoitukset eivät ole itsetarkoituksia vaan harjoituksissa kerätyt havainnot ja kehitysajatukset on käsiteltävä sekä jalkautettava organisaation toimintaan. Tämä edellyttää harjoitushavaintojen dokumentointia, analysointia sekä käsittelyä organisaation sisällä. Harjoitustulosten hyödyntäminen on aina helpompaa, mikäli se on huomioitu jo harjoituksen tavoitteissa.
Hot wash-up on harjoituksen jälkeen välittömästi järjestettävä palautetilaisuus, jossa harjoittelijat saavat nopean palautteen toiminnasta sekä voivat itse tuoda esiin omia havaintojaan. Havainnoinnin ja hot wash-upin lisäksi palautetta voidaan kerätä erilaisilla kyselyillä.
Varsinainen palautetilaisuus pidetään erikseen, kun harjoitushavainnot on saatu käsiteltyä ja priorisoiduiksi kehitystehtäviksi. On muistettava, että suoranaisten tavoitteiden ohella tietoturvaharjoitukset tuottavat usein myös välillisiä hyötyjä, joita voivat olla henkilöstön tutustuminen, kokemuksen karttuminen sekä yleinen tietoturvallisuuden paraneminen.
Tukea toiminnallisiin harjoituksiin
Mikäli organisaatiollasi on halua ja tarvetta järjestää tietoturvaharjoitus, muttei vielä osaamista eikä aikaa suunnitteluun, kannattaa harjoittelussa lähteä liikkeelle ulkopuolisen kumppanin kanssa.
2NS tarjoaa valmiin harjoitusprosessin, jonka avulla on helppo lähteä liikkeelle suunnittelemaan omaa harjoitusta. Meillä on kokemusta toiminnallisten harjoitusten järjestämisestä virtuaalisesti, jolloin harjoitukset voidaan toteuttaa normaalien työpäivien sisällä.
Lisätietoa harjoittelusta löydät myös Kyberturvallisuuskeskuksen kyberharjoitusoppaasta sekä kyberharjoitusskenaarioista, joita myös 2NS on ollut laatimassa.
Pasi Hakkarainen
Tietoturva-asiantuntija, 2NS