[Teema] Vieraskynä: Valtion kyberturvallisuuden valvontaa 24/7/365

Ennakoi, estä, havaitse ja reagoi! Kybertorjunnan perusopit toimivat valtionhallinnossa, liike-elämässä ja kotona. Miltä valtionhallinnon kyberturvallisuuden valvonta ja yhteistyö näyttävät Valtion tieto- ja viestintätekniikkakeskuksen Valtorin silmin, siitä kirjoittaa tietoturvapäällikkö Olli Joronen.

Kirjoittaja on Valtorin tieto- ja kyberturvallisuusyksikön päällikkö, tietoturvapäällikkö Olli Joronen.

Valtionhallinnon kybertoimintaympäristöä valvotaan 24/7 vuoden jokaisena päivänä Valtorin tietoturvavalvomossa. Tänä vuonna toteutetaan merkittävä kehityshanke, kun käyttöön tulee valtionhallinnon keskitetty yhteinen lokienhallinta-, SIEM- (security information and event management) ja kybertilannekuvaratkaisu. Ratkaisu tehostaa merkittävästi kyvykkyyttämme valvoa koko valtiohallinnon toimintaympäristöä sekä havaita ja reagoida kyber- ja tietoturvallisuuspoikkeamia. Ratkaisu on käytössä tämän vuoden loppuun mennessä. Työnkulun ja häiriönhallinnan seurantaa ja automatisointia kehitetään myös vuonna 2019.

Löytyykö tieto ja osataanko uhkia ennaltaehkäistä?

Tietoa toimintaympäristöistä on tähänkin asti ollut saatavilla runsaasti, mutta tiedon hyödyntäminen on ollut hidasta ja työlästä. Tarvittava tieto on levittäytynyt hajanaisesti satoihin tuhansiin eri laitteisiin, järjestelmiin ja sovelluksiin.

Kybertoimintaympäristöjen tapahtumiin liittyvät tiedot makaavat liian usein omissa siiloissaan erillisten laitteiden ja järjestelmien muisteissa ja lokitiedoissa. Näitä laitteita ja järjestelmiä ylläpidetään useiden eri toimittajien, kymmenien erilaisten asiantuntijaroolien ja tuhansien asiantuntijoiden voimin. Kun varoitus epäilyttävästä turvallisuuspoikkeamasta on saatu, tarvittavan tiedon saanti saattaa kestää tunteja tai pahimmillaan päiviä. On odotettava, kunnes oikea järjestelmäasiantuntija on saatu paikalle kaivamaan tarkemmat tiedot järjestelmän uumenista.

Digiympäristössä tämä toimintatapa on aivan liian hidas. Lisäksi yksittäistä hälytystä osataan harvoin yhdistää isompaan kokonaisuuteen siitä, mitä todella on tapahtumassa. Valitettavan usein hyökkääjä on jo tehnyt tekonsa, ennen kuin sitä edes havaitaan. Jälkiselvittelyssä usein nähdään, että niin sanottuja heikkoja signaaleja ja varhaisia varoituksia tunkeutujan ensiaskeleista on jo aiemmin ollut havaittavissa, jopa yllättävänkin selkeästi. Ensiaskeleita ei vain ole kyetty tunnistamaan riittävän nopeasti, ja ne ovat hukkuneet muiden hälytysten joukkoon. Näissä oloissa ei ole mahdollista reagoida tehokkaasti käynnissä oleviin hyökkäyksiin.

Toimintaa on muutettava niin, että tapahtumiin pystytään reagoimaan reaaliajassa ja ne saadaan vahvistettua sekunneissa tai vähintään minuuteissa. Tapahtumat on myös kyettävä näkemään osana isoa kuvaa, koska ensivaste kyberhyökkäykseen on tärkeää. Aikainen interventio perustuu juuri noiden heikkojen signaalien ja varhaisten varoitusten tunnistamiseen sekä oikea-aikaisen tilannekuvan muodostamiseen. Keskitetyssä kybertilannekuvaratkaisussa tarpeellinen data kerätään kaikkien toimintaympäristöjen eri laitteiden ja järjestelmien tuottamista siiloista yhteen. Kerätty data korreloidaan ja käsitellään automaattisesti helposti käytettävään ja ymmärrettävään muotoon. Tämän jälkeen tietoa vielä rikastetaan, jotta siitä saadaan muodostettua oikea-aikainen ja kattava kyberympäristön tilannekuva.

Hyvin toteutettu tilannekuva esittää päätöksenteon kannalta oleellisen tiedon mahdollisimman nopeasti ja luotettavasti päätöstä tekeville henkilöille. Kun fokuksessa on oleellisten riskien ja uhkien ennaltaehkäisy, silloin tietoturvallisuustoimenpiteet ovat kaikista tehokkaimpia ja laadukkaimpia.

Vain oikeilla työkaluilla voi seuloa tehokkaasti valtavia tietomassoja

Miten varmistamme, että aidot tietoturvallisuuspoikkeamat pystytään havaitsemaan tietomassoista riittävän nopeasti ja luotettavasti? Tämä vaatii työkalujen yhteentoimivuutta ja pitkälle vietyä automatisointia.

Liian useasti näen käytettävän monia työkaluja, jotka eivät ole keskenään yhteensopivia. Tämä vaikeuttaa merkittävästi sitä työtä, jota varten työkalut on hankittu. Niistä syntyy yksinkertaisesti aivan liian paljon hälytyksiä, joista iso osa osoittautuu vääriksi. Niin sanotut väärät hälytykset vievät asiantuntijoiden ja analysoijien ajan ja huomion helposti pois merkittävistä tapahtumista.

Ongelmaan ei ole olemassa hopealuotia. Kaikilla kyberuhkien ja tietoturvapoikkeamien havainnointiin ja tutkimiseen tarkoitetuilla eri tekniikoilla on edelleen paikkansa. Esimerkiksi virustorjunta on edelleen tehokas melun poistaja tunnettujen uhkien torjuntaan, mutta tuntemattomilta uhkilta se ei suojaa. Koneälystä on apua tuntemattomia uhkia vastaan, mutta se taas tuottaa helposti valtavan määrän vääriä hälytyksiä.

Oikeaa tekniikkaa on käytettävä oikeassa kohtaa ja oikeaan aikaan. Kun kaikki tekniikat saadaan yhdisteltyä niin, että ne toimivat yhteen, saadaan tehokas ja riittävän luotettava lopputulos. Siten voimme aidosti tehostaa ja automatisoida havainnointia ja tuoda asiantuntijoiden ja analysoijien pöydälle juuri ne tapaukset, jotka pitää käydä läpi huolellisesti.

Osaavat asiantuntijat pystyvät kyllä paikkaamaan puutteellisia ja huonosti yhteen sovitettuja työkaluja, mutta se on resurssihukkaa ja rajallisen asiantuntijamäärän väärinkäyttöä. Näinä automatisoinnin ja tekoälyn aikoina yhä valitettavan moni analysoija hakee ja yhteensovittaa tietoa manuaalisesti. Automatisointi ja koneäly tekevät työstä paljon nopeampaa ja tehokkaampaa, jolloin varsinaiselle analyysityölle jää enemmän aikaa. Uuden kybertilannekuvaratkaisun avulla pystymme tarjoamaan yhden ruudun kautta näkymät ja pääsyt suoraan oleelliseen tietoon, jota varten aikaisemmin tarvittiin kymmeniä konsoleita, ruutuja ja ohjelmia sekä useampi asiantuntijakin.

Tiedot ja palvelut turvaan ja saataville kybertorjunnan perusopein

Turvallisuus on kokonaisuus, johon kuuluu teknologia, ihmiset ja prosessit. Oikea tekninen valmius on vain yksi osa.

Valtori on luonut 24/7- valvontaan sovitetun poikkeamanhallintaprosessin kaikkiin tietoturvallisuustapahtumiin. Prosessi huomioi myös EU:n tietosuoja-asetuksen vaatimukset ja ilmoitusvelvollisuudet. Lisäksi erittäin tärkeässä roolissa ovat osaavat asiantuntijat, joita meillä valtionhallinnossakaan ei ole koskaan riittävästi. Tästä syystä yhteistyö kaikkien sidosryhmiemme kanssa on elinehto.

Teemme tiivistä kansallista ja kansainvälistä yhteistyötä erityisesti Viestintäviraston Kyberturvallisuuskeskuksen kanssa. Kaikkein hankalimmissa ja monimutkaisimmissa tapauksissa kyberturvallisuuskeskuksen asiantuntijat pyritään ottamaan mukaan tutkimuksiin välittömästi.

Lisäksi jaamme tietoa valtionhallinnon ISAC-tiedonvaihtoryhmässä (Information Sharing and Analysis Centre) ja osallistumme aktiivisesti sen toimintaan. Pyrimme siihen, että yhteisissä tapaamisissamme on aina edustaja tieto- ja kyberturvallisuusyksikkömme SOC-tietoturvavalvomosta. Jos tilanne sitä vaatii, saamme myös pikapalaverin pystyyn tilannetiedon jakoa varten. Ryhmän avulla pystymme jakamaan, mutta myös kehittämään tilannetietoisuuttamme eri organisaatioilta saamiemme tietojen perusteella.

EU:n tietosuoja-asetus vaatii ilmoittamaan turvallisuuspoikkeamasta 72 tunnin määräajassa, minkä täyttäminen on vaativaa, jos mahdollinen poikkeama havaitaan esimerkiksi perjantaina kello 18 ja varsinainen tutkinta päästään aloittamaan vasta maanantaina. Luotettava kokonaistilannekuva ja poikkeamiin reagointi paranee ja nopeutuu, kunhan mahdollisimman moni valtionhallinnon organisaatio liittyy uuteen keskitettyyn kybertilannekuvaratkaisuumme. Kyky selvittää tapahtumat nopeasti on yhä kriittisempää. Ilman vahvaa, kaikki kerrokset läpäisevää ja keskitettyä näkymää, se ei onnistu. Tietoturvapoikkeamien juurisyiden selvitys vaatii aina riittävän syvälliset, kattavat ja luotettavat tiedot. Juurisyyt ymmärtämällä voimme yhdessä varmistaa, että toimintaympäristömme on kyvykäs sietämään erilaisia hyökkäyksiä.

Valveutuneilla kansalaisillakin on roolinsa. Oma verkkoidentiteetti ja omat laitteet pitää suojata. Perusasioita on myös tietokoneen ja älylaitteiden käyttöjärjestelmän, selaimen ja sen laajennosten päivityksistä huolehtiminen. Riittävän pitkien salasanojen käyttämistäkään ei pidä unohtaa.

Kybertorjunnan perusoppi ennakoi, estä, havaitse ja reagoi toimii valtionhallinnossa, liike-elämässä ja kotona.


Valtionhallinnon ISAC-ryhmän toimintaa käsittelevät teema-artikkelit

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Organisaatio , Riskienhallinta , Verkosto , Teema , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248