Küberturbe kriisiõppus

Harri Uljas

Küberturbe ärisuuna müügiinsener

Viimased kaks nädalat on möödunud sinu jaoks nagu märulifilmis. Oled igapäevaselt kujundlikult kustutanud tulekahjusid ning kõige selle kõrval püüdnud hoida ettevõtet täielikust kokkukukkumisest. Sinu ettevõtte IT-meeskond on veetnud unetuid öid, et aru saada, mis juhtus, kuid täpne põhjus on jätkuvalt teadmata. Sa ei uskunud, et pealtnäha tühine küberintsident võib tekitada doomino-efektina sellise kaose. Kuidas siit edasi minna?

Selline kirjeldus võib algselt tunduda küll ülepaisutatud hirmutamisena, kuid reaalsus on see, et küberohud on muutunud ettevõtetele suurimaks äririskiks. Kaalul on ettevõtte maine ning sellega koos ka klientide usaldus, mis peegeldub otseselt tulevastes finantstulemustes. Kuidas jääda sellises olukorras kaine mõistuse juurde ning tegutseda metoodiliselt ja efektiivselt? Lihtne vastus – sa pead selleks lihtsalt valmis olema. Küberrünnaku ajal on kõigil paanika ning inimestel on vaja teada, kes mille eest vastutab ning kuidas kogu järgnev tegevus hakkab välja nägema. Lühidalt – on vaja täpset tegevusplaani.

Mis on küberturbe kriisiõppe harjutus?

Tegemist on simuleeritud intsidendiga, mille eesmärk on testida organisatsiooni valmisolekut ohusituatsioonis. Sellised õppused toovad välja nõrkused ja kitsaskohad intsidentidele reageerimise plaanis ning tekitavad elavat arutelu erinevate osapoolte vahel selle parandamiseks.

Miks seda vaja on?

  1. Ettevalmistus ja teadlikkus
    Kriisiõppus parandab sinu meeskonna valmisolekut tegutseda reaalses ohuolukorras kiirelt ja efektiivselt. Õppus loob teadlikkuse võimalikest nõrkustest küberintsidendi haldamise protsessis ning võimaldab seda ühise laua taga parandada.
  2. Koostöö ja kommunikatsioon
    Kiire reageerimine eeldab koostööd erinevate osapoolte vahel. Kommunikatsioon sellises kitsas ajaraamis peab olema läbipaistev ning eelnevalt kirjeldatud. Kes mille eest vastutab? Kuidas õigete inimestega ühendust saada? Millal ja kuidas kedagi väliselt teavitatakse? Intsidendi ajal valitseb organisatsioonis kaos ning sellel ajal peab kõigil olema teada, kuidas tegutseda. Tähtis osa plaanist on ka väliste partnerite kaardistus. Kes haldab teie IT süsteeme? Millistesse keskkondadesse on välistel osapooltel ligipääs? Kas teil on olemas IT-partner, kes suudab teid aidata küberintsidendi lahendamisel? Kõik need kontaktid peavad kommunikatsiooniplaanis olema kirjeldatud.
  3. Järjepidev koolitamine
    Töötajad vajavad küberturbeteemalisi koolitusi. Nad peavad teadma, kuidas käsitleda tundliku sisuga informatsiooni, kuidas reageerida näiteks intsidendi ajal olukorrale, kus nendega võtab ühendust meedia. Kriisiõppus võimaldab kõik sellised punktid põhjalikult läbi analüüsida ning sellega koos tõsta töötajate turbeteadlikkust.

Eduka kriisiõppuse elemendid:

  1. Realistlik stsenaarium
    Kõik ettevõtted on erinevad ning õppuse eesmärk on keskenduda reaalelu ohtudele, mis kõnetavad vastavat tegevusala või valdkonda. Mida realistlikum on õppus, seda paremini suudavad erinevad osapooled õppuse ajal selle olukorraga samastuda.
  2. Rollid ja vastutus
    Õppuse üheks peamiseks eesmärgiks on jagada osalejad rollidesse, mis võimaldab kõigil aru saada oma tiimi liikmete vastutusest. Samuti võimaldab rollipõhine lähenemine luua või täiustada kommunikatsiooniplaani.
  3. Intsidendile reageerimise plaan
    Küberintsidendile reageerimise läbimängimine võimaldab koostada detailse plaani. Kõige hullem, mis reaalses olukorras juhtuda saab, on see, kui kõik tegutsevad kõigega. Plaan võimaldab keskenduda intsidendi lahendamisel metoodiliselt. Intsidendi tuvastus, piiritlemine, asitõendite kogumine ja hilisem analüüs on kõik selle plaani osad.
  4. Treeningujärgne kokkuvõte
    Pärast õppust on vajalik võtta kokku kõik see, mis võimaldaks eelnevat protsessi parandada. Järjepidev kriisiplaani täiendamine on hädavajalik, kuna meie IT-taristu, töötajad ja ettevõte üldiselt on pidevas muutumises ning samuti muutuvad sellega koos ka ohufaktorid. Küberpätid ei maga!

Tuleme tagasi olukorra kirjelduse juurde, kuid võtame nüüd valemisse muutujad, kus teil oli olemas selge tegevusplaan.

Viimased kaks nädalat on möödunud sinu jaoks nagu märulifilmis. Küberturbe keskus avastas kahtlased tegevused kasutajakontode õiguste muutmises ning koheselt läks käiku intsidendi reageerimise plaan. Teavitati nii serverite- kui võrguadministraatoreid, kes suutsid tuvastada rünnaku ulatuse. Tegevustesse kaasati väline küberturbe partner, kes lisaks kaitsemeetmete rakendamisele kogus hilisemaks juurdluseks vajalikud logid ja muud asitõendid. Taasteplaani järgi veenduti ka varunduslahenduse tööseisundis. Kogu juhtkonda hoiti pidevalt olukorraga kursis ning nende nõusolekul võeti osad teenused ajutiselt offline. Kliente teavitati häiretest teenuste töös ning lisaks edastati rünnaku info ka CERT-EE meeskonnale, kes said hakata üleriigiliselt jälgima sarnase sisuga intsidente. Nüüd, kaks nädalat hiljem, tegeleme oma süsteemide veel turvalisemaks muutmisega ja jätkame kriisiplaani järjepidevat täiendamist.

Digitaalne maastik on täis erinevaid väljakutseid ja ootamatuid olukordi, mida küberrünnakud omakorda täiendavad. Õige ettevalmistus võimaldab ootamatusi leevendada või teatud juhtudel isegi täielikult vältida. Soovitan sul julgelt pöörduda meie poole ning viime teie kübervalmisoleku uuele tasemele!

Harri Uljas

Linkedin

Küberturbe ärisuuna müügiinsener