Liikenne- ja viestintäviraston Kyberturvallisuuskeskus pitää sisällään monenlaisia kyberturvallisuuteen liittyviä toimintoja. Ulospäin näkyvimpiä roolejamme ovat tilannekeskuksen tietoturvapäivystys sekä erilaiset tilannekuvatuotteet, kuten kybersää ja julkiset varoitukset. Näistä toiminnoista vastaavien tilannekeskus- ja tilannekuvaryhmien toiminta on hyvin kansainvälistä, sillä valtaosa tiedosta johon työmme perustuu, tulee ulkomailta.
Kansallisten tietoturvaviranomaisten keskinäinen yhteistyö Euroopan sisällä ja laajemmin ympäri maailmaa on keskeisessä roolissa globaalien tietoturvauhkien torjunnassa. Käytännön kyberturvallisuustyö edellyttää ajantasaista uhkatietoa, jota saadaan ja jaetaan hyvin toimivissa tiedonvaihtoverkostoissa.
Yhteinen kyberharjoitus Viron kanssa: FINEST19
Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on viime aikoina pyrkinyt kiinnittämään yhä enemmän huomiota harjoittelun merkitykseen osana organisaatioiden kyberturvallisuustyötä, joten päätimme elää kuten saarnaamme ja järjestää itse itsellemme kyberharoituksen alkuvuodesta 2019.
Idea FINEST19-harjoituksen (Ulkoinen linkki) järjestämisestä lähti liikkeelle yhteistyötapaamisessa virolaisten kollegoittemme kanssa. Totesimme yhdessä, että voisimme pyrkiä vahvistamaan ja testaamaan yhteydenpitoamme ja tietoturvaloukkaustilanteen selvittelyprosessia harjoituksen avulla. Oppisimme varmasti molemmat uutta niin kansainvälisestä yhteistyöstä kuin omistakin organisaatioistamme.
Virolaiset kollegamme työskentelevät Viron valtion tietojärjestelmävirastossa RIA:issa (Ulkoinen linkki) (Riigi Infosüsteemi Amet). RIA pitää sisällään mm. CERT-EE-yksikön, joka vastaa asemaltaan ja tehtäviltään suunnilleen Kyberturvallisuuskeskuksen tilannekeskusta, eli toimii kansallisena tietoturvaviranomaisena. Vakavien tietoturvaloukkaustilanteiden koordinointi hoidetaan CERT-EE:ssä samoilla yleisillä periaatteilla kuin meillä Kyberturvallisuuskeskuksessa. Molempia maita koskevan kyberongelman selvittelyssä CERT-EE ja Kyberturvallisuuskeskus tekisivät luonnollisesti yhteistyötä.
Harjoitusskenaarion keskiössä Estlink-merikaapelin kyberhäiriö
FINEST19-harjoituksen käytännön työ lähti liikkeelle suunnittelutapaamisesta Virossa, jossa harjoituksen tavoite, laajuus ja harjoittelevat organisaatiot määriteltiin. Harjoituksen keskiöön päätettiin ottaa Suomen ja Viron yhteen kytkevä Estlink-kaapeli, johon kohdistuisi kyberhäiriö. Estlink-kaapeliin kohdistuvan häiriön päälle oli luontevaa rakentaa skenaario, jossa molemmilla mailla oli oma keskeinen roolinsa. Suomen ja Viron kantaverkkoyhtiöt Fingrid (Ulkoinen linkki) ja Elering osallistuivat harjoituksen suunnitteluun ja toteutukseen korvaamattomalla panoksellaan, olihan harjoituksen keskiössä heidän omistamansa kaapeli.
Harjoitusskenaarion valmistelu, eli harjoituksen tapahtumien kautta paljastuvan juonen käsikirjoittaminen, päätettiin tällä kertaa tehdä Kyberturvallisuuskeskuksessa. Skenaarion piti pitää sisällään tietoturvaongelma, joka oli samalla riittävän monimutkainen, että sen käsittely vaati yhteistyötä ja ajattelua, mutta kuitenkin riittävän yksinkertainen muodostaakseen loogisen kokonaisuuden. Skenaarion hahmottelussa päädyttiin yhdistämään niin fyysisen kuin sähköisen rajapinnan hyökkäyksiä uskottavan uhkatilanteen mallintamiseksi.
Lopulta skenaarion ytimeksi muodostui tarina rikollisesta, joka pyrkii kiristämään kantaverkkoyhtiöitä kyberhyökkäyksen avulla. Hyökkäyksessä hyödynnettiin niin luvatonta tunkeutumista tiloihin kuin tietoverkkojenkin yli tapahtuvaa vaikuttamista. Hyökkäystä ja sen seurauksia kuvaavat tapahtumat kerättiin syötetaulukkoon, johon kirjattiin jokainen sähköposti, puhelu tai muu tapahtuma millä pelitapahtumia pelaajille mallinnettiin. Syötetaulukosta tuli tulostettuna lähes kaksi metriä pitkä!
Päivä täynnä intensiivistä toimintaa Tallinnan ja Helsingin pelikeskuksissa
Harjoittelijoille tarina paljastui pala kerrallaan. Helsinkiin ja Tallinnaan perustettiin harjoituspäivän aamuna pelikeskukset, joista käsin kummassakin maassa ohjattiin paikallista peliä. Varsinainen harjoitus alkoi Suomen pelikeskuksesta käsin klo 09:15 Kyberturvallisuuskeskukseen saapuneella puhelinsoitolla, jossa pyydettiin apua Fingridiin kohdistuneen kyberhyökkäyksen selvittämisessä. Seuraavat tunnit pelikeskuksista käsin lähetettiin kymmeniä sähköpostiviestejä ja soiteltiin useita puheluita. Suomen pelikeskuksessa Fingridin edustaja puhui päivystäjän kanssa puheluita ja roolipelasi tilanteen selvittelyä omassa organisaatiossaan.
Päivän päätteeksi harjoituksen keskeiset tavoitteet oli saavutettu. Suomen ja Viron välille oli muodostettu toimiva viestintäyhteys, jolla jaettiin aktiivisesti tietoa käynnissä olevasta hyökkäyksestä ja sen tutkinnasta. Tieto kulki maiden välillä luontevasti, ja viranomaiset muodostivat yhteisen käsityksen kantaverkkoa uhkaavista tapahtumista. Harjoitukseen olennaisesti kuuluvia yllätyksiäkin saatiin, kun Viron päästä ilmoitettiin, että poliisi on ottanut epäillyn kiinni Tallinnassa. Tämä yllätti täysin myös pelikeskuksen, sillä käsikirjoituksen mukaan "tekijä" jäisi kiinni vasta pelipäivän päätteeksi – Helsingistä. Virheellinen tieto perustui lopulta yhteen kirjoitusvirheeseen. Tapaus osoitti hyvin sen, miten pienikin lipsahdus kriittisessä viestinnässä saa nopeasti aivan oman elämänsä, kunnes huhuilta katkotaan siivet.
Tyytyväisenä sain myös todeta, että Kyberturvallisuuskeskuksen asiantuntijat tutkivat asioita pintaa syvemmältä, sillä esimerkiksi harjoitukseen kuuluneeseen valokuvaan piilotetut koordinaatit löytyivät päivystäjän käsittelyssä. Niiden avulla paljastunut osoite toimitettiin "poliisille", eli pelikeskukseen. Käsikirjoituksen perusteella valokuvaan piilotetusta osoitteesta saatiin kiinni epäilty, joten harjoitus saatiin päätettyä rikollisen kiinnijäämisen.
Harjoituspäivä onnistui - käteen jäi hyviä käytäntöjä ja tietysti myös kehitysideoita
Pelin päättymisen jälkeen tehtiin pikainen laskutoimitus - pelkästään pelikeskuksen ja harjoittelijoiden välillä vaihdettiin päivän aikana yli 60 sähköpostiviestiä, eikä lukuun ole laskettu mukaan pelaajien välisiä viestejä! Aikamoinen viestivilinä yhden päivän harjoitukselle ja hyvä esimerkki kyberhäiriötilainteiden kansainvälisen yhteistyön tiiviydestä.
Harjoituksen päätteeksi Kyberturvallisuuskeskuksen pelaajat raportoivat tapahtumista "valtionhallinnolle", eli pelikeskukselle. Harjoituspäivästä laadittu raportti vastasi harjoituksen käsikirjoitusta, joten tilannekuvan muodostaminen voitiin todeta onnistuneeksi. Harjoituspäivä julistettiin päättyneeksi, mutta keskeisin työ jäi vielä tulevaisuuteen.
Mikä tahansa harjoitus on hyödytön, mikäli siitä saatuja oppeja ei huolellisesti analysoida, muuteta suosituksiksi tai muutoksiksi prosesseihin ja tuoda osaksi käytännön tekemistä. Harjoituspäivänä tunnistettuja puutteita korjataan, hyviä käytäntöjä vahvistetaan ja jatkoharjoituksista sovitaan. Yhteydenpidon vaihtoehtoisia menetelmiä testaavat miniharjoitukset ovat jo suunnittelun alla.
Kyberharjoituksen voi toteuttaa toiminnallisena tai kevyempänä työpöytäversiona
Yksinkertaisenkin harjoituksen suunnittelu vie aikaa ja resursseja, mutta mielestäni se on silti järkevä investointi tulevaan. Harjoitus on usein ainoa tapa hallitusti testata, miten prosessit toimivat käytännössä, mikä niissä on hyvää ja missä on vielä kehitettävää. FINEST-harjoituksen kaltaisen toiminnallisen harjoituksen laatiminen on työlästä, mutta yksinkertaisemman työpöytäharjoituksen voi järjestää vaikkapa osastopalaverin yhteyteen. Siihen tarvitaan vain harjoitteleva joukko ja muutama harjoituskysymys: "Jos meille tapahtuisi vahinko X, miten reagoisimme ja palautuisimme? 30 min aikaa listata keskeiset viisi toimenpidettä." Laajemman toiminnallisen harjoituksen tai jopa teknisen harjoituksen voi aivan hyvin ostaa palveluntarjoajalta, jolloin parhaimmillaan kokemus toimitetaan lähes "avaimet käteen"-periaatteella.
Harjoitus on hallittua kaaosta, jossa parhaimmillaan onnistutaan keksimään täysin uusia ratkaisuja vanhoihin ongelmiin, tai ainakin toteamaan, että vanhat ratkaisut toimivat myös uusiin ongelmiin. Yllättävät tilanteet ja pieni sekoilu tuo tekemiseen todellisuuden tuntua, ja parhaimmillaan pitkäkin harjoituspäivä humahtaa ohi tekemisen innon hämärtäessä ajantajua. Lyhyesti voi aina todeta, että harjoittelu kannattaa aina!
Kirjoittaja Antti Kurittu toimii erityisasiantuntijana Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa.