Security

X-Force Command – Cyber Tactical Operation Center

Share this post:

Siinä se nyt on pihalla. Musta rekka, joka on syönyt 23:n tonnin edestä tavaraa. Sisältä löytyy mm. yli 6 km kaapelia, oma konehuone, 47kW:n edestä sähkögeneraattoreita, omat satelliittiyhteydet, videoseinä, täydellinen toimitila 20 hengen itsenäistä toimintaa varten ja paljon muuta. Näinpä monen osallistujan ensikommentti sisään astuessaan olikin ”Wau”, vaikka se perustuneekin enemmän isoihin näyttöihin ja näyttävään RGB-ledinauhan käyttöön kuin rekan varsinaisiin kyvykkyyksiin.

Noh, silmäkarkki sikseen, näin tietoturva-ammattilaisen näkökulmasta oli mielenkiintoista seurata eri harjoituksia viikon aikana. Tilassa kävi harjoittelemassa sekä yksittäisiä organisaatiota että sekalaisia ryhmiä, jotka muodostuivat usean eri organisaation edustajista. Nopeasti ajatellen voisi kuvitella, että parhaiten selviäisivät sellaiset organisaatiot, joissa osallistujat pelaavat omassa roolissaan. Yllättävää kuitenkin oli, että myös toisilleen täysin tuntemattomat ihmiset onnistuivat välillä organisoitumaan hyvin nopeasti ja ihmiset pystyivät pelaamaan rooleja, jotka olivat kaukana heidän omasta mukavuusalueestaan.

Harjoituksia seuratessani jäin miettimään seuraavia asioita:

  • Kesto: Nyt harjoitus oli suunniteltu tiiviiksi ja se kesti vain noin kolme tuntia. Tämän takia tiettyjä mutkia jouduttiin oikomaan ja esimerkiksi kaikki osallistujat pystyivät olemaan koko ajan käytettävissä. Toimintaa ei siis tarvinnut keskeyttää esimerkiksi lasten tarhasta hakemista varten. Todellisuudessa tilanteet kuitenkin kestävät päiviä, joten organisaation on kyettävä rakentamaan toimintansa niin, että se mahdollistaa riittävän lepoajan henkilöstöille ja että toiminta ei heikkene dramaattisesti, kun joku avainhenkilö on (hetkellisesti tai pidempään) poissa.
  • Oikean ja väärän tiedon erottaminen: Usein kriisissä on useita toisiinsa liittyviä tai liittymättömiä tapahtumia, ja haasteena on suodattaa oleellinen tieto. Lisäksi, kuten ensiaputoiminnassa yleensäkin, niin yleensä heillä, jotka huutavat kovimpaan on monesti ”pienin” hätä. Kuinka siis luokitella tapahtumat loogisesti, tunnistaa mitkä tapahtumat todellisuudessa liittyvät toisiinsa ja mitkä tapahtumista ovat oikeasti kriittisiä.
  • Maineenhallinta: Sosiaalinen media (ja valitettavasti myös välillä muukin media) rakastaa draamaa. Monet kärkevät kommentit lausutaan ilman tarkkaa tietoa tapahtumasta tai sen taustoista. Tämän johdosta organisaatio saatetaan vetää mukaan tapahtumaketjuun, johon se ei suoranaisesti liity ja johon sillä ei ole varsinaisesti tarvetta reagoida. Mikäli organisaatio kuitenkin jättää reagoimatta, se tulkitaan monesti selkärangattomaksi ongelman piilotteluksi, vaikka toisaalta myöskään kaikkiin myrskyihin vesilasissa ei kannata ottaa kantaa. Näinpä haaste onkin löytää sopiva tasapaino viestinnän suhteen.

Kuinka sitten taklata edellä mainittuja kohtia omassa organisaatiossa? Tämä on hyvä kysymys eikä siihen ole olemassa yhtä ja ainoaa oikeaa vastausta. Oikeat vastaukset ovat aina sidoksissa kulloiseenkin organisaatioon ja sen toimintaympäristöön. Näistä jokaisesta kohdasta voisikin kirjoittaa pitkän tarinan, mutta lyhykäisyydessään haluaisinkin suositella kaikille organisaatiolle seuraavaa:

  • Olemassa olevia kriisisuunnitelmia on syytä harjoitella säännöllisesti.
  • Organisaation henkilöiden on hyvä toimia välillä eri rooleissa harjoituksissa kuin mikä on heidän oikea roolinsa organisaatiossa. Tämä pakottaa ihmiset pois omalta mukavuus alueeltaan ja auttaa heitä näkemään millaisia haasteita muilla ryhmillä on. Tämä puolestaan auttaa heitä ymmärtämään toisten toimintaa kriisitilanteessa ja näin heillä on parempi mahdollisuus muokata viestiään kuulijan kannalta sopivammaksi.
  • (Kyber)kriisin käsittelyn kannalta tärkeämpää on systemaattinen tapahtumien käsittelyn johtaminen, kuin se, toimiiko henkilö omalla vahvuusalueellaan. (Ja näinhän asia muutenkin on; jos esimerkiksi tanssilattialla toinen pystyy viemään tanssia määrätietoisesti, niin tahdissa on helppo seurata vaikkei olisikaan mikään parkettien terävin partaveitsi.)
  • Kriisitilanteessa on tärkeää, että organisaatiolla on yhteinen käytäntö, miten toiminta dokumentoidaan. Jälkikäteisanalyysin tekeminen helpottuu suunnattomasti, kun kahden viikon kuluttua voidaan luotettavasti käydä läpi syitä ja seurauksia eri päätöksistä.

Kuten sanottua, niin loppujen lopuksi tärkeintä on, että organisaatiolla on toimintasuunnitelma ja että sitä testataan. Toisaalta, organisaation on oltava myös valmis soveltamaan ja rikkomaan vanhoja prosesseja tarvittaessa. Vain näin pystytään löytämään uusia tapoja toimia, jotka vievät organisaatiota eteenpäin ja turvaavat liiketoiminnan jatkuvuuden.

Click here to rate this article

Rate this article :

Nordics Regional Lead, X-Force IRIS

More Security stories
By Minna Ääri on Wed, September 11th 2019

Miten tiimisi toimii täyskaaoksessa? Harjoitus, joka on koettava

Jäädynkö mä? Jäädytäänkö me tiiminä? Jännittää jo vuorokautta ennen. Ajatus takoo mielessä, että olisi pitänyt harjoitella enemmän. Vielä muutama askel IBM Security X-Force Command Cyber Tactical Operations Center (C-TOC) -rekkaan ja olemme sisällä simulaatiohuoneessa. Valmiina kyberhyökkäysharjoitukseen. Action Puhelin soi. Soittaja väittää olevansa toimittaja ja suoltaa tekstiä tapahtuneesta tietovuodosta. Ralli alkaa. Se tempaa täysin mukaansa ja […]

Continue reading

By Henri Nuottonen on Thu, August 29th 2019

Tietomurron kustannukset Pohjoismaissa ja globaalisti

Ponemon-instituutin vuotuinen Cost of a Data Breach -tutkimus on julkaistu. Globaalien ja toimialakohtaisten arvojen lisäksi tänä vuonna raportissa on ensimmäistä kertaa eriteltynä myös Pohjoismaisten toimijoiden tulokset. Alla allekirjoittaneen havainnot ja kommentit mielenkiintoisimmista löydöistä. Keskimääräiset kustannukset ovat kasvussa Tietomurroista aiheutuneet kustannukset ovat nousseet maailmanlaajuisesti 12 prosenttia viimeisen 5 vuoden aikana ja maksavat organisaatioille globaalisti keskimäärin 3,5 MEUR, vastaavan luvun ollessa 2,0 MEUR Pohjoismaisille organisaatiolle.   Tietomurrot […]

Continue reading