Määrityksen jälkeen voidaan tutkia mikä tai mitkä asiat ovat sen toiminnan kannalta keskeisiä tai kriittisiä. Miten turvallisuusjärjestelmät tähän liittyvät? Mitä turvallisuusjärjestelmä ylipäätään tarkoittaa?
Turvallisuusjärjestelmät ja riskienhallinta
Lähestytään turvallisuusjärjestelmän tarkoitusta jakamalla termi kahtia; turvallisuuteen ja järjestelmään. Monet sanakirjat tai termipankit määrittelevät turvallisuuden tunteeksi tai olotilaksi siitä, että toimintaan vaikuttavat uhkat ja riskit ovat hallinnassa. Näiden lisäksi allekirjoittanut kokee turvallisuuden tarkoittavan myös sitä, että toimintaympäristön tapahtumat ovat odotettavissa olevia tai ennustettavia jatkumoita, joihin on ollut mahdollista varautua.
Järjestelmä puolestaan voidaan määritellä järjestelmälliseksi ja tehokkuuteen pyrkiväksi menettelyksi, toimintatavaksi, menetelmäksi, metodiksi tai käytännöksi. Yleensä sana järjestelmä johtaa ajattelemaan jotakin digitaalista toiminnan tukena käytettyä ohjelmistoa. Tehokkaan järjestelmän ei välttämättä tarvitse olla digitaalisessa muodossa. Tärkeää ei ole se, miltä järjestelmä näyttää, vaan miten sitä kukin toiminnassaan käyttää. Järjestelmän ja turvallisuuden termistöä yhdistävät turvallisuusjärjestelmät ovat näin ollen järjestelmiä, jotka lisäävät hallinnan tunnetta ja minimoivat keskeiseen toimintaan liittyviä uhkia ja riskejä.
Ensimmäinen ja tärkein turvallisuusjärjestelmä on se, jonka tarkoituksena on huolehtia, että toimintaan vaikuttavat uhkat ja riskit ovat hallinnassa. Tällainen järjestelmä on riskienhallintajärjestelmä. Riskienhallintajärjestelmä mahdollistaa liiketoiminnan tärkeimpien voimavarojen (assettien) tunnistamisen, niihin kohdistuvien uhkien ja riskien havaitsemisen ja priorisoimisen toisiinsa nähden (riskien vaikuttavuus ja todennäköisyys).
Priorisoinnin jälkeen erityisesti tärkeimmille riskeille voidaan määritellä sopivat hallintatoimenpiteet, jotka voidaan vastuuttaa ja aikatauluttaa toteutettavaksi liiketoiminnassa. Riskienhallintajärjestelmä auttaa näin ollen organisaation työntekijöitä ymmärtämään, mitkä voimavarat ovat liiketoiminnan jatkuvuuden kannalta oleellisia, mitä riskejä niihin liittyy ja millä toimenpiteillä niin riskejä kuin toiminnan jatkuvuutta voidaan pyrkiä hallitsemaan.
Riskienhallintajärjestelmä ei edusta yhtä yksittäistä turvallisuuden osa-aluetta, vaan kokoaa yhteen ymmärryksen koko organisaation riskiympäristöstä. Se auttaa liiketoimintaa suuntaamaan ja keskittämään resursseja tehokkaammin turvallisuuden kehittämiseen ja ylläpitämiseen. Sähköinen toteutus helpottaa lisäksi työn orkestroimista sekä riskienhallintatoimenpiteiden aktiivista seurantaa. Luonteensa vuoksi riskienhallintajärjestelmä on tärkeä osa organisaation turvallisuusjohtamista.
Käyttäjähallinta turvaa organisaation pääomaa
Takerrutaanpa seuraavaksi kysymykseen mitä organisaatio tekee. Kun tätä kysymystä tarkemmin pohtii, pitäisi se ehkä muotoilla uudelleen ja esittää seuraavalla tavalla: mitä organisaation työntekijät tekevät? Tämä kysymys itsessään paljastaa yhden organisaation tärkeimmistä voimavaroista – työntekijät. Ilman heitä toiminta ei pyöri. Näin ollen yksi keskeisimmistä turvallisuusjärjestelmistä on järjestelmä, jolla voidaan hallita työntekijöitä eli hallita organisaation tärkeintä voimavaraa.
Mitä sitten työntekijöiden hallinnalla tarkoitetaan? Johtamisen näkökulmasta on oleellista tietää ja tunnistaa, keitä yksilöitä organisaatiossa työskentelee. Lisäksi on tärkeää tietää, millainen rooli kullakin työntekijällä on, mitä he tekevät työkseen ja millaisten asioiden kanssa he painivat päivittäin.
Tänä päivänä tämän ”painin” ymmärtäminen on erityisen tärkeää. Liiketoimintojen siirtyessä enenevässä määrin digitaalisille alustoille, ovat kyberrikolliset seuranneet kohdesegmenttiensä kehitystä ja kehittäneet omaa liiketoimintaansa ajan kuvan mukaiseksi. Rikolliset toimet kohdistetaan pääasiassa digitaalisen liiketoiminnan aarrearkkuun eli tietoon. Jotta kyberrikolliset pääsisivät käsiksi arvokkaaseen tietopääomaan, pyrkivät he löytämään reittejä sisään organisaation järjestelmiin sen työntekijöiden avulla. Tästä syystä nykyaikaiset kyberhyökkäykset kohdistuvat erityisesti järjestelmien käyttäjiin ja heidän käyttötunnuksiinsa (user credentials), jotka ovat ovi liiketoiminnan aarrearkkuun.
Edellä mainituista syistä mielestäni toinen keskeinen turvallisuusjärjestelmä ja yksi tärkeimmistä tietoturvallisuutta rakentavista järjestelmistä on käyttäjähallintajärjestelmä. Se mahdollistaa uusien käyttäjien luomisen, käyttäjätietojen päivittämisen, salasanojen määrittelemisen ja vaihtamisen, oikeuksien ja oikeusryhmien määrittelemisen sekä käyttäjien poistamisen tai käyttöoikeuksien estämisen. Käyttäjähallintajärjestelmän avulla organisaatiossa voidaan varmistua siitä, että työntekijöillä on pääsy vain niihin järjestelmiin ja tietoihin, joita he työssään tarvitsevat. Tätä kutsutaan vähimpien oikeuksien periaatteeksi.
Käyttäjähallintajärjestelmän ja sitä hyödyntävän kohdejärjestelmän avulla saadaan kattava näkemys siitä, miten käyttäjätunnuksilla kyetään liikkumaan lateraalisesti organisaation järjestelmäavaruudessa ja mihin kaikkiin tietoihin käyttäjätunnuksilla pääsee käsiksi. Tämä on arvokasta tietoa erityisesti siinä vaiheessa, jos epäillään kyberrikollisten päässeen sisälle organisaation järjestelmiin hyödyntäen jonkun työntekijän käyttäjätunnuksia. Tällöin nähdään mihin kyberrikollinen on voinut liikkua ja mitkä kaikki tiedot ovat voineet vaarantua. Tutkintaa ja tarkastelua helpottaa esimerkiksi kokonaisarkkitehtuurikuvaukset, joissa organisaation järjestelmäavaruus ja sen tärkeimmät komponentit on räjäytetty auki visuaaliseen muotoon.
SIEM-järjestelmä parantaa tietoisuutta uhkista
Jo käsiteltyjen riskienhallintajärjestelmän ja käyttäjähallintajärjestelmän yhteydessä esitin ajatuksen siitä, miten järjestelmää voitaisiin hyödyntää, jos rikollinen pääsisi uhkaamaan organisaation turvallisuutta ja liiketoiminnan jatkuvuutta. Molemmissa olettamana oli, että tästä uhkasta oltaisiin tietoisia. Ollaanko kuitenkaan aina? Mistä voidaan tietää, että hyökkääjät ovat saaneet pääsyn järjestelmiin ja ovat joko saaneet mahdollisuuden tai jo päässeet anastamaan organisaation arvokasta tietopääomaa?
Tästä päästäänkin kolmanteen keskeiseen turvallisuusjärjestelmään. Järjestelmä, joka antaa yritykselle signaaleja siitä, että jotain epätavallista on tapahtunut tai jotain poikkeavaa toimintaa on mahdollisesti pian tapahtumassa. Tämä järjestelmä on SIEM (Security Information and Event Management System).
SIEM-järjestelmä on kuin hämähäkki verkkonsa keskustassa, jossa se odottelee impulsseja rakentamaansa verkkoon tarttuneista hyönteisistä. Normaalitilassa verkko on tyhjä eikä se liiku, mutta aina toisinaan se värisee hyönteisen lennettyä sitä päin ja takerruttua siihen kiinni. Liike toimii hälytyksenä siitä, että jotain normaalitilasta poikkeavaa on tapahtunut. Tämä ei vielä kuitenkaan ole lupaus herkkuateriasta, vaan hämähäkin on käytävä tarkastamassa, onko kyseessä väärä positiivinen (false positive).
Samalla tavalla kuin hämähäkki, SIEM-järjestelmä tarkkailee siihen yhdistettyjä organisaation tietoverkkoja ja -järjestelmiä, nostaen hälytyksen aina tunnistaessaan organisaation normaalista toiminnasta poikkeavia tapahtumia ja samalla tavoin kuin hämähäkin, on myös tilannetta valvovan operaattorin käytävä tarkastamassa, onko kyseessä todellinen tietoturvauhka vai ei. Mikäli kyseessä on todellinen tietoturvauhka, antaa SIEM-järjestelmä organisaatiolle siitä tiedon reaaliajassa mahdollistaen vahinkojen minimoimisen ja nopean reagoimisen sovittujen hallintamenettelyjen puitteissa. Nopealla reagoinnilla ja hallintamenettelyillä voidaan vahinkojen minimoimisen lisäksi myös varmistaa liiketoiminnan jatkuvuutta.
SIEM-järjestelmän rooli organisaation turvallisuutta lisäävien järjestelmien kokonaisuudessa on tuottaa kokonaisvaltaista tilannekuvaa organisaation kybertoimintaympäristön tilasta. Se yksin ei luo turvallisuutta, vaan se täydentää turvallisuusratkaisujen kokonaisuutta antamalla organisaatiolle lintuperspektiivin puolustuksen tilanteesta. Voidaankin pohtia mitä hyötyä loppujen lopulta on kaikista mahdollisista turvallisuutta luovista järjestelmistä, joita organisaation järjestelmäarkkitehtuuriin on rakennettu, jos sillä ei ole yhtä yhtenäistä kokonaiskuvaa siitä, mitä sen omien ”muurien” sisäpuolella todellisuudessa tapahtuu.
Elina Räisänen
Elina Räisänen työskentelee Installa kyberturvallisuusasiantuntijana. Yhdessä tiiminsä kanssa hän keskittyy tarjoamaan asiakkaille keskitetyn lokienhallinnan palveluita ja ratkaisuja, SIEM- ja SOC-palveluita, loki-/SIEM-asiantuntijapalveluita sekä murtotestausta.
