Kyberharjoitusskenaariot: toimitusketju ja toimintaympäristön riskit

Pitkäkestoinen hyökkäys

Omien järjestelmien havainnointi. Tietoturvapoikkeamien tunnistamiseen liittyvät prosessit sekä menetelmät.

Skenaario

Harjoituksen vuoksi tehdyssä lokianalyysissa tulee ilmi seikkoja, jotka aiheuttavat kumppaniyrityksen tietoturva-asiantuntijassa ihmetystä. Tarkempi lokianalyysi osoittaa, että organisaation verkkoon on tunkeuduttu jo vuotta aiemmin, ja hyökkääjät ovat hiljalleen keränneet ja siirtäneet omalle palvelimelleen organisaation tietoja, mm. henkilöstöön ja taloushallintoon liittyviä dokumentteja. Aktiivisia vastatoimia ei ole aloitettu, eikä hyökkääjä tiedä tulleensa havaituksi.

Soveltaminen

Skenaario soveltuu tietomurron alkutoimien suunnitteluun. Skenaariossa korostuvat hallittu ja suunniteltu vaste havaittuun vakavaan poikkeamaan. Skenaarion osana voidaan harjoitella viranomaisten kanssa toimimista aktiivisen hyökkäyksen torjunnassa.

Lisähaaste

Hyökkääjä havaitsee, että hänet on huomattu, ja alkaa tuhota yrityksen tietoja ja peittää jälkiään poistamalla lokitietoja ja käytettyjä tunkeutumistyökaluja.

Yritysvakoilu

Yrityssalaisuuden suojaamiseen liittyvät henkilöstöhallinnon prosessit ja sopimukset.

Skenaario

Työntekijän työsuhde on päättynyt. Vaikka henkilön käyttöoikeudet onkin poistettu yrityksen omista järjestelmistä, kriittisestä pilvipalvelusta niitä ei ole huomattu poistaa. Työntekijä siirtyy vastaaviin tehtäviin kilpailevaan yritykseen ja varastaa tietoja entisen työnantajansa pilvipalvelusta, hyödyntäen niitä uudessa tehtävässään. Entisen työntekijän toimet huomataan sattumalta auditoinnin yhteydessä tapahtuvassa käyttöoikeuksien ja lokien tarkastelussa.

Soveltaminen

Skenaariossa käsitellään käyttöoikeuksien hallintaa, palveluiden ulkoistamiseen liittyviä haasteita ja toimintaa selkeässä rikostapauksessa, jossa epäilty on tiedossa.

Lisähaaste

Väärinkäytökseen syyllistynyt tekijä ei ole organisaatiosta lähtenyt, vaan siihen saapunut työntekijä. Kilpailijalta varastettua tietoa on käytetty oman organisaation eduksi.

Yrityskauppa

Tietojärjestelmäturvallisuus ja haasteet erilaisten tietoteknisten ympäristöjen yhdistämisessä.

Skenaario

Yrityskaupan jälkeen yritysten verkot yhdistetään nopealla aikataululla. Hiljattain ostetun yrityksen verkot eivät olleet tarpeeksi tietoturvallisia, minkä seurauksena emoyhtiön verkkoon pääsee haitallista liikennettä. Tänä aamuna verkonvalvonta huomaa huomattavan määrän ulospäin menevää tuntematonta liikennettä. Yrityksen kriittiset järjestelmät ovat vaarassa, ja tuntematon hyökkääjä on saanut jalansijan verkkoon. Juuri ostetun yrityksen verkko on puutteellisesti dokumentoitu.

Soveltaminen

Skenaariossa käsitellään ongelmaa, joka johtuu kahden erilaisen turvallisuuskulttuurin yhdistämisestä ja isoista, nopeista muutoksista verkkoinfrastruktuurissa.

Lisähaaste

Ostetussa yrityksessä ei ole tehty minkäänlaista verkonvalvontaa. Ostetun yrityksen palvelut on tuotannollisista syistä saatava nopeasti mukaan organisaation emoverkkoon. Aikaa kunnolliselle turvallisuusauditoinnille ei ole.

Organisaatio haktivistiryhmän tähtäimessä

Kyberpoikkeamatilanteen viestintätoimet.

Skenaario

Organisaation tietoturvapäällikkö saa viranomaisilta tiedustelutietoa, että varteenotettava haktivistiryhmä on keskustellut internetfoorumilla laajamittaisesta kyberhäirintäkampanjasta organisaatiota kohtaan. Ryhmän motivaatio hyökkäykseen perustuu sosiaalisessa mediassa levitettyihin vääriin tietoihin organisaatiosta. Ryhmä on tunnettu pitkäkestoisista kampanjoistaan, joilla aiheutetaan runsaasti vahinkoa uhriorganisaatioille. Sillä epäillään olevan kytköksiä valtiollisiin toimijoihin.

Soveltaminen

Skenaarion taustana on julkisesti levitetyt virheelliset tiedot organisaation epäeettisestä tai laittomasta toiminnasta. Skenaariossa on vahva kriisiviestinnällinen näkökulma. Kyberhyökkäyksiin varautuminen edellyttää toimenpiteitä.

Lisähaaste

Organisaatio on juuri ulkoistamassa keskeisiä toimintojaan pilveen. Osa väitteistä joita organisaatiosta esitetään, pitävät paikkansa. Organisaatio on juuri ostanut yrityksen ulkomailta, ja integroi sen toimintoja parhaillaan omiinsa.

Alihankkija vaihtaa omistajaa

Kriittisen tiedon hallinta ulkoistetuissa palveluissa.

Skenaario

Organisaation käyttämä alihankkija, kuten pilvipalveluita tuottava yritys, myydään EU/ETA-alueen ulkopuolelle. Organisaation omiin asiakassopimuksiin on kirjattu, että tietoja säilytetään EU:n tietosuoja-asetuksen (GDPR) piirissä.

Soveltaminen

Skenaariossa käsitellään organisaation kriittisen tiedon hallintaa ja EU:n tietosuoja-asetuksen vaikutusta. Tietosuojan osalta myös organisaation käyttämät VPN-ratkaisut, AV-virustuotteet, kommunikointialusta voivat myös joutua tarkastelun alle.

Lisähaaste

Ilmenee, että pilvipalvelun ostaja on vihamielisiä pyrkimyksiä omaava valtio (tai muu epäilyttävän valtion vaikutuksen alla oleva taho). Kauppa tapahtuu pikaisella aikataululla.

Kriittisten tietojen dokumentointi

Jatkuvuudenhallinta ja tietojärjestelmiin liittyvän dokumentaation merkitys.

Skenaario

Organisaation koko tietoverkko ja sen ylläpito on yhden henkilön käsialaa. Verkkoa 40 vuotta rakentanut asiantuntija ei ole pitänyt kirjallista dokumentointia toiminnastaan, vaan tieto on lähinnä hänen päässään. Henkilö joutuu sairaalaan pitkäksi aikaa.

Soveltaminen

Skenaariossa käsitellään dokumentaation tekemistä ja sen turvallista säilyttämistä ja saatavuutta. Organisaation toiminnan kannalta kriittisiä tietoja sekä toiminteita kannattaa jakaa. Turvaamalla tiedon saatavuus ja eheys kasvatetaan samalla organisaation resilienssiä.

Lisähaaste

Verkkoa ylläpitävä henkilö menehtyy sairaalassa, eikä hänen muistissa olevia tietoja ehditty dokumentoimaan.

Riippuvuudet ulkoisista toimijoista

Tietojärjestelmien omavaraisuusasteeseen liittyvät haasteet jatkuvuudenhallinnan näkökulmasta.

Skenaario

Pilvipalvelussa on käyttökatko. Syyksi ilmoitetaan konfiguraatiovirhe. Yhteyksien palautuessa huomataan, että kaikki varmuuskopiot ovat korruptoituneet. Käyttökatko keskeytti myös juuri alkaneen varmuuskopioinnin, jonka seurauksena tuotantopalvelimen tiedostojärjestelmä koki häiriöitä ja osa tiedoista muuttui käyttökelvottomaksi. Palvelun tarjoaja ilmoittaa, että heillä on tärkeämpiä asiakkaita etusijalla ja että tässä tapauksessa varmuuskopioiden palauttamiseen menee viikko.

Soveltaminen

Skenaariossa ilmenee oman verkonhallinnan ulkopuolinen ongelma. Tapahtuma ilmentää organisaation liiketoiminnan jatkuvuuden riippuvuutta ulkoisista tekijöistä, joihin ei aina välttämättä voida vaikuttaa. Miltä osin organisaation pitäisi pyrkiä tietojärjestelmien osalta omavaraisuuteen? Mitkä ovat niitä liiketoiminnan kannalta kriittisimpiä osa-alueita, joita ilman organisaatio ei pärjää? Pitääkö sopimuksia tarkentaa?

Lisähaaste

Palveluntarjoaja ilmoittaa, että organisaation varmuuskopiot eivät ole enää palautettavissa.

Valtiollinen vakoilu

Laitehallintaan ja fyysiseen turvallisuuteen liittyvä tietoturva.

Skenaario

Organisaation palkkaaman konsultin työntekijä on vieraillut ulkomailla työkannettava mukanaan. Konsultin kannettava tietokone kävi tullissa takahuoneessa verhojen takana ”räjähdeskannauksessa”, joka konsultin mukaan kesti luvattoman kauan. Kannettavalla tietokoneella oli organisaation sopimuksia kolmannen osapuolen kanssa tehdyistä kriittistä yrityskaupoista. Kyseinen yrityskauppa on herättänyt kiinnostusta usean eri valtion taholta.

Soveltaminen

Skenaariossa käsitellään luottamuksellisen tiedon käsittelyä sekä fyysistä turvallisuutta. Organisaatioilla on usein haasteena valvoa, miten heidän omistamaansa tietoa käsitellään kumppaneiden tai alihankkijoiden toimesta.

Lisähaaste

Konsultti kertoo asiasta vasta jälkikäteen, kun organisaatio on jo tehnyt sitovia sopimuksia kolmannen osapuolen kanssa.

Yhteistyökumppaniin kohdistuva huhu

Yhteistyökumppaneiden maineen ja toiminnan vaikutukset organisaation omaan maineen- ja jatkuvuudenhallintaan.

Skenaario

Yritystoiminnan kannalta merkittävä organisaatiosi käyttämä palveluntarjoaja yhdistetään huhuun geopoliittisesti kiistanalaisesta tietoturvaongelmasta, jonka johdosta muut yrityksenne merkittävät yhteistyökumppanit kyseenalaistavat asiakassuhteenne luotettavuuden ja vaativat tieltä asiaan liittyvää selvitystä sekä toimia.

Soveltaminen

Skenaariota voidaan pohtia organisaatiossa eri näkökulmista: mitkä huhun tuomat vaikutukset olisivat, jos palveluntuottaja on toimitusketjussanne ainoa palvelun/infran toimittaja; miten turvaatte organisaation toimintakyvyn huhun levitessä; kuinka nopeasti organisaatio kykenisi vaihtamaan palveluntarjoajaa; minkälaisilla viestintäkeinoilla varmistatte muiden yhteistyökumppaneiden ja asiakassuhteiden luottamuksen säilymisen ilman, että sopimussuhde tähän huhun kohteena olevaan palveluntarjoajaan vaarantuu.

Lisähaaste

Muut yhteistyökumppanit katkaisevat sopimussuhteenne ja menetätte pääsyn useisiin organisaation liiketoiminnan kannalta kriittisiin toimintoihin, kuten asiakasjärjestelmään.

Monikansallinen yritys ja pakotteet

Organisaation eri liiketoimintayksiköiden keskinäisriippuvuuksien arviointi.

Skenaario

Organisaatio toimii monikansallisesti ja käyttää samoja tietojärjestelmiä kussakin maassa. Yksi organisaation merkittävistä toimintamaista ja sitä kautta liiketoimintasegmenteistä joutuu pakotteiden alaiseksi. Organisaation on ajettava toimintonsa alas kyseisessä maassa. Alasajo aiheuttaa vaatimuksen tietojärjestelmien osittaiselle uudelleen rakentamiselle ja kohdemaassa olevan tiedon suojaamiselle sekä siirtämiselle.

Soveltaminen

Skenaariossa voidaan miettiä, miten organisaatio kykenee tietovarantojen ja järjestelmien siirtämiseen pois toimipisteistä joita ei enää voida käyttää. Skenaariossa tarkastellaan organisaation eri liiketoimintayksiköiden keskinäisiä riippuvuuksia liiketoiminnan jatkuvuuden näkökulmasta.

Lisähaaste

Pakotteiden alainen valtio ottaa haltuunsa organisaation ja sen tietojärjestelmät.

Laajamittainen epidemia

Toimintaympäristön äkillinen muutos ja sen vaikutukset työskentelytapoihin.

Skenaario

Laajamittainen epidemia pakottaa organisaatiot etätyökäytänteisiin, kun kokoontumista rajoitetaan. Organisaatioiden pitää järjestää nopeasti kaikille etätyövälineet ja antaa ohjeistus tietoturvalliseen etätyöskentelyyn.

Soveltaminen

Skenaario nostaa esiin jatkuvuudenhallintaan ja viestintään liittyviä asioita. Organisaatioiden toiminnan ja resurssien pitää olla joustavia ja normaaleille työskentelytavoille pitää olla kriisiaikana vaihtoehtoiset suunnitelmat.

Lisähaaste

Epidemia puhkeaa rajuna ja organisaation johtoryhmä joutuu ensimmäisenä eristyksiin, eikä voi hoitaa työtehtäviä kunnolla.