Salaista kyberturvahyökkäystä harjoitellessa
Eläketurvakeskuksessa eteen on harvemmin osunut salaisia projekteja, mutta viime vuonna sellainen tehtiin kyberturvallisuuden testaamiseen liittyen. Kyberturvallisuudesta huolehtiminen on muutenkin hyvä asia, mutta varsinkin tässä maailmantilanteessa se on erityisen tärkeää.
Viime vuoden projektissa oli kyse Suomen pankin ylläpitämän TIBER-FI -mallin mukaisesta tietoturvatestauksesta, jossa kehittynyt hyökkääjä tekee kohdennetun murtoyrityksen hyödyntämällä kohteesta keräämäänsä tietoa. TIBER-FI on kyberturvallisuuden ajantasaiseen uhkatietoon pohjautuva testausmalli Suomen finanssialan toimijoiden käyttöön ja sillä varmistetaan organisaatioiden toimintavarmuutta kohdennettujen kyberhyökkäysten varalle.
Kyberturvallisuuden testauksessa simuloitiin tilannetta, jossa jokin taho haluaisi hyökätä juuri meidän kimppuumme. Testauksen tavoitteena oli päästä murtautumaan ympäristöömme siten, että puolustusreaktiot ovat mahdollisimman aitoja. Tällöin voidaan varmistua, että kyberturvallisuuteen liittyvät prosessit ovat kunnossa. Testissä hyökkääjä keräsi meistä mahdollisimman paljon tietoa, kehitti kerättyyn tietoon pohjautuen aidot tietoturvan hyökkäysskenaariot, sekä toteutti varsinaisen hyökkäyksen.
Ihan salassa projektia ei pystytty pitämään muun muassa tietosuoja-asioiden käsittelyn takia. Tiedon keräämisen ja varsinkin hyökkäyksen ajankohdat pyrittiin pitämään kuitenkin mahdollisimman salaisina ja pelkästään testausta koordinoivan White teamin tiedossa. Tiedon kerääjänä ja hyökkäyksen toteuttajana, eli Red teaminä, toimivat ulkopuoliset tietoturva-asiantuntijat. Puolustajana, eli Blue teaminä toimivat taas Eläketurvakeskuksen omat asiantuntijat ja toimittajakumppanit.
Valmistelua ja tiedon keräystä tehtiin kevään ja kesän aikana ja varsinaiset hyökkäysskenaariot toteutettiin syksyllä 2021. Hyökkäysskenaarioiden etenemistä oli mielenkiintoista seurata sivusta samalla pyrkien olemaan tietämätön asioiden oikeasta laidasta.
Hyökkäysskenaarioilta puolustautuminen onnistui mainiosti. Testauksen lopputuloksena saatiin onnistumisten lisäksi listaa parannettavista ja korjattavista asioista. Näitä on toteutettu kevään 2022 aikana. Testaus oli erinomaisen hyödyllinen harjoittamaan aidon tuntuista kyberhyökkäystilannetta. Kyberturvallisuus on ehdottomasti alue, jossa harjoittelua ja kehittämistä tulee tehdä jatkuvasti.
