”Kiskokaa johdot irti!” muistan huutaneeni aikoinaan, kun 24-tuntia sarjassa Jack Bauerin johtama Counter Terrorist Unit oli kyberhyökkäyksen kohteena. Tarunhohtoinen kuva tummasta suuresta huoneesta täynnä näyttöjä ja intensiivisesti työskenteleviä ihmisiä on kaukana arkipäivän kriisinjohtokeskuksesta.
Kun ensimmäisen kerran itse jouduin mukaan tietoturvapoikkeaman selvittelyyn, johtokeskuksen roolia näytteli pieni ja hylätty, romua täynnä oleva neukkari joka ei ollut kelvannut kenellekään edes avokonttorin väärinmitoituksen kulta-aikana. Surkea ilmastointi piti kovaa ääntä mutta ei tuottanut kylmää, ja rikkinäiset tuolit sekä fläppitaulu ilman paperia kruunasivat kokonaisuuden. Ihmiset, joiden piti kertoa tilannekuvaa, nojailivat käytävällä ja pelasivat matopeliä.
Yhteyksiä ei ollut tarjolla, koska langaton verkko ei konttorin hylättyyn nurkkaan kantanut: lähin tukiasema oli kuulemma viety parempaan käyttöön – pelkkä johto törrötti seinästä. Ensimmäinen kaveri, joka kytki läppärinsä pistorasiaan pimensi loputkin verkkoyhteydet ja myöhemmin sama kaveri onnistui pimentämään lähes koko kerroksen etsiessään ”toimivaa” pistorasiaa, mutta se on toinen tarina. Näistä lähtökohdista lähdimme selvittämään, onko palkanlaskennan palvelimelle murtauduttu vai ei.
Etsinnässä kyberturvan tilannekuva, ja mitä sillä tehdään (vai tehdäänkö mitään)
Kriisitilanteissa johtaminen ja kyky kommunikoida korostuvat. Digitalisaation aikakaudella tavat viestiä eivät ole vähissä, paremminkin niitä on jopa liikaa. Jokainen käytössä oleva teknologia varmasti ratkaisee ongelman jota varten se on alun perin kehitetty, mutta onko ongelman kuvaus oikea esimerkiksi tietoturvapoikkeamien kontekstissa?
Hyvin harvoin meitä kiinnostaa se, että ostettu teknologia täyttää arvolupauksensa ja poistaa 99.9 % pahuudesta. Kiinnostavampaa on ihmisten ja teknologioiden keskustelu siitä 0.1 % osuudesta, joka menee puolustukselta ohi.
”Kokoustamisen elämänkaari on tärkeää ymmärtää, ennen kuin sännätään ostoksille” sanoi eräs asiantuntija aikoinaan, ja sama pätee tietoturvapoikkeamien hoitamiseen kriisitilanteessa. Mistä elementeistä kyberturvan kriisinjohtokeskus jatkossa koostuu? Pitääkö ihmisten kertoa jossain tilannekuvaa vai pitääkö tilannekuvaa etsiä, ja lopuksi miettiä mitä asialle tehdään? Miten poikkeama dokumentoidaan? Nämä ovat kysymyksiä, joihin on ehkä otettu kantaa varautumissuunnitelmassa – tai sitten ei. Mitäpä jos asia käännetään päälaelleen: Ihmiset chattilevat joten miksei teknologia tekisi myös niin? Chattiryhmästä löytyy tallessa koko draaman kaari.
Jatkuva ihmisten ja teknologioiden välinen keskustelu epävarmuustekijöistä on oleellinen osa nykyajan tehokasta kyberpuolustusta
Tilannekuva mielletään usein aivan liian suppeana, yleensä irrallisena toiminnallisuutena kyberpuolustuksesta. Kriisikeskuksessa on tarjolla pääasiassa irrallista todistusaineistoa, mitä tilanteessa kuvitellaan tapahtuvan.
Tilanne voisi olla toisin: siinä missä ihmiset keskustelevat sovellusten välityksellä, kyberpuolustusteknologia voisi osallistua keskusteluun erilaisten bottien eli robotiikan avulla. Yrityksen it:n kanavalla voi ja tulisi olla ihmisten ja teknologioiden välistä viestintää siitä, mitä ympäristössä tapahtuu. Tarvittaessa teknologioilta voi myös kysyä, mitä ne parhaillaan tekevät, tai mitä mieltä ne ovat kyberpuolustuksen toimivuudesta kyseisellä hetkellä. Tällainen kanava on kuin jatkuva kriisinjohtokeskus taskussa, ja se on käytössä jo ennen kuin mitään kriisiä on syntynyt.
Ei tieteisfiktiota vaan kyberpuolustuksen tätä päivää
Webex-keskustelukanavalle ilmestyy viesti: ”Moi, nimipalveluiden suojaus täällä huutelee. Poistin juuri 435 haitallista kyselyä käyttäjiltä, mutta 47:nen kohdalla en ollut varma. Tai no, olin mutta varmuus on välillä 43-67 %. Mitäs tehdään?” lähettäjä Cisco Umbrella BOT.
Tämä ei ole tieteisfiktiota, vaan tätä päivää. Jatkuva ihmisten ja teknologioiden välinen vuoropuhelu epävarmuustekijöistä on oleellinen osa nykyajan tehokasta kyberpuolusta. Hyvin harvoin meitä kiinnostaa se, että ostettu teknologia täyttää arvolupauksensa ja poistaa 99.9 % pahuudesta. Kiinnostavampaa on ihmisten ja teknologioiden keskustelu siitä 0.1 % osuudesta, joka menee puolustukselta ohi.
Ennen kriisin sattuessa mentiin kriisinjohtokeskukseen, nyt keskus tulee kriisin luokse jo ennen kriisiä. Kyberturvan ”NG War Room” on jatkuva keskustelukanava, jossa tilannekuvaa louhitaan ihmisten ja teknologioiden näkemyksistä, jo ennen kuin tilanne eskaloituu.
Ja kyllä, botille kannattaa opettaa sarkasmia, ironiaa ja kettuilua, kuten ”Näin juuri jotain jännää ympäristössä, mutta en kerro mitä se oli. Jos olisitte taistelleet tietoturvabudjetin puolesta oikeasti, en olisi tätä nyt täällä kertomassa”.