Harjoitus tekee mestarin – myös kyberturvallisuudessa 

Organisaatiot ovat pitkään torjuneet fyysisiä uhkia turvallisuusharjoituksilla. Tietoverkkojen merkityksen lisääntyessä tarvitaan kyberturvallisuusharjoituksia, jotka valmistavat taistelemaan verkkouhkia vastaan. 

^{TEKSTI | TUOMAS I. LEHTONEN   KUVA | MIKKO KUPARINEN}

Tietoverkkojen yleistyminen altistaa organisaatiot kyberrikollisuudelle. Automatisoidut haittaohjelmat etsivät jatkuvasti verkon ”heikkoja lenkkejä” ja tunkeutuvat sinne, minne helpoiten pääsevät. Uhka joutua verkkorikollisen uhriksi on yhtä todellinen niin suurille kuin pienillekin organisaatioille. 

Jyväskylän ammattikorkeakoulun (JAMK) IT-instituutin kyberturvallisuuden tutkimus-, kehitys-ja koulutuskeskus JYVSECTECin palveluliiketoimintavastaavan Jarno Lötjösen mukaan nyt tehtaillaan rikoksia, joissa tietokoneiden tehoja ryövätään kryptovaluuttojen, kuten Moneron, louhintaan tai yritysten tietokoneita lukitaan lunnasrahojen toivossa. Yritysten sähköisiä liiketoimintaprosesseja voidaan myös käyttää rikollisiin tarkoituksiin ja niin sanotut toimitusjohtajahuijaukset ovat arkipäivää monelle yritykselle. 

Uhkiin tulisi varautua 

Lötjösen mielestä yritysten tulisi varautua harjoittelemalla erilaisiin kyberuhkiin ennakolta, jotta vaaranpaikat havaittaisiin ajoissa. JYVSECTECissä on tartuttu härkää sarvista ja rakennettu ainutlaatuinen RGCE-kybertoimintaympäristö (Realistic Global Cyber Environment), jossa voidaan järjestää turvallisesti kyberturvallisuusharjoituksia. 

– RGCE toimii oikean internetin tavoin ja simuloi todellista verkkoliikennettä. Ympäristöön voidaan luoda teollisuusyrityksen realistinen bisneslogiikka ja ohjausjärjestelmä sekä käyttää harjoituksissa oikeita haittaohjelmia, tunnettuja haavoittuvuuksia ja erilaisia hyökkäyksiä. RGCE on kuitenkin eristetty ympäristö, joten harjoituksissa ei vaaranneta oikeita tuotantoympäristöjä, tuotantoverkkoja tai tuotantokäytössä olevia järjestelmiä. 

Räätälöity harjoitus 

Harjoitukset suunnitellaan asiakasorganisaation yksilöllisten tarpeiden ja tavoitteiden mukaisesti. Asiakaskartoituksen jälkeen JYVSECTECin asiantuntijat valitsevat sopivan harjoitustyypin ja kehittävät uhkamallintamisen pohjalta sopivan harjoituskokonaisuuden. Harjoitus voi olla kevyimmillään keskustelutyyppinen, mutta tarpeen vaatiessa JYVSECTEC rakentaa vaativia, räätälöityjä teknis-toiminnallisia malleja. Ne yhdistävät organisaation arkitekemisen keksittyyn taustatarinaan ja pelillisiin elementteihin. 

– On hyvin tärkeää saada osallistujat kiinnittämään huomionsa mahdollisiin turvallisuuden poikkeamiin, löytämään ongelmat ja ratkaisemaan niitä. Harjoitukseen voi osallistua eri henkilöstöryhmiä, joista jokainen osallistuja ratkoo harjoituksessa oman työtehtävänsä haasteita. Kun henkilöstö oppii oikeat toimintamallit, organisaation toiminnan jatkuvuus on turvattu mahdollisten uhkien realisoituessakin, Lötjönen selventää. 

Kyberturvallisuusharjoitukset päätetään harjoituksen yhteiseen läpikäyntiin, jossa käydään läpi onnistumiset ja parhaat toimintatavat. Osallistujat saavat koulutuksen suorittamisesta todistuksen. Koulutussuoritusta voi hyödyntää esimerkiksi tietoturvahallinnon henkilösertifioinnin ylläpitämiseen.