Testissä Suomen selviytyminen vakavista kyberhyökkäyksistä
Vakavassa kyberhäiriötilanteessa tietoa häiriön aiheuttajasta ja laajuudesta saattaa olla vähän, mutta silti pitäisi pystyä toimimaan nopeasti ja tehokkaasti. TIETO22-harjoituksen intensiivivaiheessa testattiin huoltovarmuuskriittisten organisaatioiden toimintaa tällaisesta painetilanteessa. Kävimme harjoituksessa seuraamassa, mitä osallistujat kolmen pelipäivän aikana oppivat.
Somessa hälistään jostain elintarviketurvallisuuteen liittyvästä ongelmasta. Onko siinä perää vai onko kyse disinformaatiosta? Eri kanavia pitkin tulee tietoa myös palvelunestohyökkäyksestä ja tietoliikennekin takkuilee.
Helsingin Vallilassa logistiikka- ja turvallisuuspäällikkö Juha Strang ja ICT-johtaja Harri Kujansuu ovat linnoittautuneet neuvotteluhuoneeseen läppäreidensä kanssa näiden huolestuttavien tietojen äärelle. He pohtivat, mihin tietoihin kannattaa reagoida ja mitkä jättää huomiotta tai myöhemmin hoidettaviksi. Pitää myös selvittää, vaikuttavatko tapahtumat yrityksen toimintakykyyn tai sopimuskumppanien toiminnan jatkuvuuteen.
Avainasemassa tilannekuvan hallinta
On alkanut TIETO22:n intensiivivaihe. TIETO22 on Suomen suurin viranomaisten ja yritysten yhteinen kyberturvallisuuden yhteistoimintaharjoitus. Pelillisessä harjoituksessa testataan kolmen päivän ajan yhteiskunnan keskeisiä palveluita tuottavien organisaatioiden valmiutta ja kykyä yhteistoimintaan ja selviytymiseen erilaisista kyberhäiriötilanteista.
Juha Strang ja Harri Kujansuu ovat tilannepelissä kuvitteellisen elintarvikealan yrityksen työntekijöitä. Samassa tiimissä on mukana viisi muuta oikeassakin elämässä elintarvikealan eri sektoreilla työskentelevää. Kaikilla on näkymät samoihin viestikanaviin, yhteinen viestintäalusta ja tiimille lähtötiedot avaava pelikirja. Tavoitteena pelissä on selvitä yhteistyöllä jatkuvasti päälle vyöryvistä kiperistä tilanteista. Kaiken kaikkiaan harjoitukseen osallistuu lähes 500 henkilöä 165 eri organisaatiosta ja 17 toimialalta.
Pelin kuvitteellisessa miniyhteiskunnassa toimii 75 mielikuvitusorganisaatiota 11 eri toimialalta. Keskiössä ovat selviytyjät eli Blue teamit, joille pelin pahikset eli Red teamit laativat häiriötilanteita ratkottaviksi. Lisäksi pelissä on White teameja, jotka edustavat eri viranomaistahoja ja valtion johtoa. Nekin antavat oman toimialansa Blue teameille syötteitä.
Äärimmäisten kyberhäiriötilanteiden turvallista testaamista
Tosielämässäkin Strang ja Kujansuu työskentelevät elintarvikealalla, Meira Oy:n palveluksessa. Pelissä he ovat kuvitteellisen leipomoalan yrityksen työntekijöitä.
“Olemme vuosia varautuneet ja harjoitelleet turvatoimia oikeassa elämässä. Todella vakavia tilanteita tulee kuitenkin harvoin eteen. Pelissä saamme ainutlaatuisen tilaisuuden kokeilla osaamista ja kykyämme selviytyä oman alamme osaajien kanssa”, kuvailee Kujansuu.
“On hyvä testata todella hankalista tilanteista selviämistä harjoitustilanteessa. Se antaa varmuutta, ja tositilanteessa toiminta tulee sitten helpommin suoraan selkärangasta”, Strang sanoo ja kehuu sitä, että hyvin suunnitellun harjoituksen skenaariot ovat niin vahvasti kiinni ajassa ja todellisuudessa.
Pelin kautta syntyvät yhteydet ovat myös hyödyllisiä tosielämässä.
“Kynnys soittaa ja kysyä jatkossa asioita madaltuu.”
Kujansuu ja Strang pitävät siitä, että harjoituksen viestikanavat ja lomakkeet vastaavat tosielämän vastaavia. Harjoituksessa pääsee myös testaamaan yhteydenpitoa viranomaisiin, esimerkiksi poliisiin. Tosielämässä poliisin juttusille pääsee harvemmin.
Tilannekuva hahmottuu tietoja vaihtamalla
Jotta pelin skenaarioista selviää, on osattava myös etsiä, tuottaa ja jakaa tietoa.
“Tiedonvaihto on olennainen osa tilannekuvan rakentamista. Yhdellä on yhtä tietoa ja toisella toista. Jos Blue teamin pelikirjassa ei ole kerrottu vaikka vesihuollon yhteistyökumppania ja vedenjakelu loppuu, heidän on osattava etsiä tietoa”, sanoo yhdessä elintarvikealan White teamissa pelaava Jyri Valmu, joka työskentelee Elintarviketeollisuusliiton ja sen yhteydessä toimivan elintarviketeollisuuspoolin valmiuspäällikkönä.
TIETO22-harjoitus paljastaa pelaajille, miten tärkeää on verkoston ymmärtäminen sekä tiedonvaihto sidosryhmien ja alihankkijoiden kanssa. Tämä on oleellista tilanteen ja sen vaatimien toimenpiteiden ymmärtämiseksi.
“TIETO-harjoituksissa on aina keskiössä tilanneymmärryksen ylläpito, johtaminen ja viestintä. Yritysten toiminnot ovat yhä enemmän hajaantuneet useille eri alihankkijoille. Esimerkiksi leipomo ei tuota itse ICT- tai vartiointipalveluitaan, eikä vesi tule omasta kaivosta tai sähkö kellarin generaattorista. Maksupalveluiden on toimittava tai sen enempää palkanmaksu kuin kaupankäyntikään ei onnistu. Olennaista on siis ymmärtää keskinäisriippuvuudet sekä alihankkijoiden ja niiden kanssa tehtyjen sopimusten merkitys varsinkin häiriötilanteissa”, muistuttaa pelin Red teamia johtava Jaakko Wallenius, Elisan turvallisuusjohtaja.
Pelin skenaarioissa havainnollistuu miten vaikka jonkun pienen ja etäisen alihankkijan toimintojen häiriö voi vaikuttaa suurestikin monen muun yrityksen toimintaan. Siksi myös alihankkijoiden varautumisen taso on oltava tiedossa.
“Meille tuli pelissä vastaan esimerkiksi laatuun liittyvä häiriötilanne, josta ei tiedetty syytä eikä laajuutta. Kiivasrytmisellä elintarvikealalla ei voi jäädä yhtään odottamaan, vaan tiedonvaihto ja sekä ulkoinen että sisäinen viestintä on aloitettava heti. Näin toimimme pelissä ja tosielämässäkin”, Juha Strang kertoo.
Miltä näytti harjoitusten pääkallopaikalla ensimmäisen päivän päätteeksi? Ovatko pelaajat tehtäviensä tasalla?
“Joukkueet ovat päässeet hyvin kiinni tilanteisiin ja reagoineet aktiivisesti. Harjoituksen kuvitteellinen poliisiorganisaatio on saanut pelisyötteiden pohjalta muun muassa 25 rikosilmoitusta ja Kyberturvallisuuskeskus 35 tietoturvaloukkausilmoitusta. Pelaajat ovat hyvin hereillä”, kertoo Antti Nyqvist, TIETO22-harjoituksen taustalla olevan Digipoolin valmiuspäällikkö.
Hyvät opit mukaan TIETO22-harjoituksesta
Kujansuun ja Strangin Blue team selvisi hyvin kolmipäiväisestä harjoituksesta.
“Pelissä pääsee testaamaan myös, onko omassa oikeassa työpaikassa satsattu oikeisiin asioihin varautumisen suhteen. Samalla tunnistaa myös kehityskohteet”, Strang sanoo.
Selkeät opit lähtevät harjoituksesta mukaan: Kriisinhallintatiimin ja roolitusten pitää aina olla tiedossa, harjoitella pitää säännöllisesti, alihankkijoiden varautumisen taso pitää olla tiedossa, sisäisen ja ulkoisen viestinnän on oltava hallussa, häiriöihin ja poikkeamiin pitää reagoida nopeasti ja matalalla kynnyksellä, tiedonhankinta ja -jako asianosaisten kanssa alkaa heti, kun poikkeama on havaittu.
Strangin ja Kujansuun tiimi pääsi harjoituksessa testaamaan myös toivomaansa yhteydenpitoa viranomaisiin.
“Saimme muun muassa täyttää rikosilmoituksen”, Kujansuu iloitsee.
Finanssialan kyberhäiriö vaikuttaisi koko yhteiskuntaan
Finanssiala osallistui ensimmäistä kertaa TIETO-harjoitukseen. Finanssiala oli tällä kertaa myös harjoituksen painopiste, sillä vakava häiriö finanssialalla vaikuttaisi nopeasti myös muihin yhteiskunnan toimintoihin. Ensiarvoisen tärkeää on saada kyberhäiriötilanteessa nopeasti hyvä tilannekuva aikaan, painottavat finanssialan osallistujat.
“Tiedon saaminen, tuottaminen ja vaihtaminen on keskeistä kyberhäiriötilanteessa. Finanssialan Blue teamimme aloitti pelissä jo ensimmäisenä päivänä tiedonvaihdon Kyberturvallisuuskeskuksen kanssa, koska siellä rakennetaan kansallinen tilannekuva. Jos finanssialalla on häiriötilanne, Kyberturvallisuuskeskus kasaa, yhdistelee ja välittää tietoa eteenpäin”, kertoo Henri Heinonen, siviilissä Aktian tietoturvajohtaja.
Vaikka finanssialalla on omat säännölliset harjoituksensa, tällainen toimialat ylittävä yhteisharjoitus tarjoaa Heinosen mukaan sellaisia oppeja, joita mikään organisaatio tai toimiala ei pysty yksin saamaan. Vasta käytännön tilanteissa testataan osaaminen ja nähdään kehityspaikat. Varautuminen on aina teoreettista.
Yritysten keskinäiset riippuvuudet on tärkeä tunnistaa
Maksuliikenteessä vakavat kyberhäiriöt pitää saada nopeasti haltuun, sillä ne voivat pahimmillaan järisyttää jopa yhteiskuntarauhaa.
“Erään tutkimuksen mukaan jo muutamassa päivässä syntyy levottomuuksia, jos ihmiset eivät saa rahojaan pankista”, sanoo TIETO22:n Red teamissa operoinut, OP-ryhmän kyberturvallisuuden erityisasiantuntija Catharina Candolin.
Hän muistuttaa, että kyberhäiriö millä tahansa huoltovarmuuskriittisellä toimialalla voi vaikuttaa laajasti yhteiskunnan toimintaan ja toimijoihin. Esimerkiksi ruuan toimitusketju tarvitsee toimivaa sähkönjakelua, tietoliikenneyhteyksiä, maksupalveluita, logistiikkaa ja paikannuspalveluita.
Tämän alojen keskinäisriippuvuuden merkityksen tietää hyvin myös finanssialan Blue teamissa pelannut Petteri Ruohomäki, Ilmarisen tietoturvajohtaja. Vakuutusalan kyberhäiriöt ja -hyökkäykset vaikuttavat suoraan hyvin moniin muihin toimialoihin.
“Vaikka skenaariot olivat pelin tiimeille samoja, ne kohdistuivat hyvin eri tavoin eri organisaatioihin ja sivuvaikutukset vaihtelivat toimialoittain. Yhteydenpito eri toimialojen yli oli tärkeää. Myös median seuraaminen oli pelissä olennaista, koska viestintä vaikuttaa ihmisiin ja näiden toimintaan.”
Candolin muistuttaa myös oman viestinnän tärkeydestä. Tieto on valtaa.
“Jollet itse ota kriisiviestintää haltuun, joku muu tekee sen aina, ja se voi olla myös vihamielinen tai hörhö taho. Asioita ei kannata peitellä, se luo vain hämmennystä. Kultainen sääntö on myös, että älä valehtele. Jos joudut selittelemään, olet ongelmissa.”
TIETO22:n organisoi Huoltovarmuusorganisaation Digipooli yhteistyössä Traficomin Kyberturvallisuuskeskuksen kanssa. Harjoituksen järjestämisestä vastaa Huoltovarmuuskeskus.
Teksti Hanna Kangasniemi I Kuvat Meeri Utti