Kõige olulisemad küberturbe lauaõppuste stsenaariumid

Avaldatud: juuli 24, 2025

Ainult plaan ei kaitse intsidendi eest

Kui organisatsioon soovib olla valmis ootamatuks küberintsidendiks, ei piisa pelgalt headest dokumentidest ja kriisiplaanidest. Otsustavaks saab see, kui hästi suudetakse reaalses olukorras reageerida, infot jagada ja õigesti ressursse kasutada. Just seetõttu on lauaõppused (ingl tabletop exercises) asendamatu osa organisatsiooni küberturvalise terviku loomisel.

Lauaõppus on struktureeritud arutelu, kus võtmeisikud (juhtkond, IT, kommunikatsioon, õigus, andmekaitsespetsialistid ja teised) simuleerivad mõnd päriselulist intsidenti ning võtavad vastu otsuseid selle lahendamiseks. Tegemist ei ole tehnilise proovilepanekuga, vaid juhtimis- ja koostööprotsesside läbiharjutamisega, mille juures mängib olulist rolli hea stsenaarium. Järgnevalt tutvustame kuut kõige olulisemat küberturbe lauaõppuse stsenaariumit, mis aitavad organisatsioonil valmistuda just nendeks levinud ja potentsiaalselt suure mõjuga intsidentideks.

Lunavararünne

Organisatsioonis selgub ühel hommikul, et kõik organisatsiooni failid on krüpteeritud ja töö on seiskunud. Ilmunud on vaid teade: “Teie andmed on lukus. Maksa 5 bitcoini, et need tagasi saada.” Veelgi keerulisemaks muutub olukord siis, kui see juhtub organisatsiooni jaoks kõige ebamugavamal ajal, näiteks jõulupühade, suvepuhkuste või nädalavahetuse öötundide ajal. Kes on sel hetkel kättesaadav? Kellel on volitused langetada  otsuseid? Kas määratud on ka kriisimeeskond, kes vajadusel töötab ka väljaspool tööaega?

Selle stsenaariumi kaudu saab hinnata:

  • kui kiiresti tuvastatakse juhtunu ja kaasatakse õiged osapooled
  • kas varukoopiate strateegia võimaldab süsteeme taastada ilma lunaraha maksmata
  • kuidas käib otsustamine kriitilistes olukordades, kus info on ebaselge ja ajasurve suur
  • milline on kommunikatsioon töötajate ja klientidega, kui äritegevus on seiskunud

See küberturbe lauaõppuse stsenaarium sobib igas suuruses organisatsioonidele, sest küsimus lunavararünde puhul ei ole “kas” vaid “millal”.

Andmeleke pilveteenusest

Organisatsioon saab teate, et tema pilves talletatud andmebaasist on lekkinud isikuandmed või ärisaladused, mis on nüüd vabalt leitavad tumeveebis. Klientidelt hakkavad tulema küsimused, meedia uurib olukorda ja riiklik andmekaitseasutus nõuab seletusi.

See stsenaarium keskendub sellele, kuidas:

  • toimub esmareageerimine ja sisene teavitus otsustajatele
  • valmistatakse ette teade andmekaitse järelevalveasutusele, järgides etteantud ajaakent
  • kommunikeeritakse juhtunut avalikkusele nii, et see taastaks usalduse, mitte ei suurendaks kahju
  • hinnatakse edasisi samme, sealhulgas kahjustuste piiramist ja klientide teavitamist

See küberturbe lauaõppuse stsenaarium aitab organisatsioonil mõista, et andmeleke on eelkõige usalduse kriis, mitte ainult tehniline juhtum.

Siseoht

Turvaoht ei pruugi organisatsiooni kimbutada alati väljastpoolt. Siseohu stsenaarium keskendub olukorrale, kus avastatakse, et organisatsiooni praegune või endine töötaja (kellelt pole ligipääsu organisatsiooni süsteemidele ära võetud) on hakanud koguma või edastama andmeid väljapoole pahatahtlikul eesmärgil, teadmatusest või isiklikust huvist lähtuvalt.

Selle lauaõppuse stsenaariumiga saab hinnata:

  • millised mehhanismid aitavad sellise tegevuse varakult tuvastada
  • kuidas toimub koostöö personaliosakonna, juristide ja andmekaitse spetsialistide vahel
  • kuidas juhtkond tegeleb usalduse taastamise ja võimalike juriidiliste tagajärgedega
  • kas organisatsioonil on olemas kindlad reeglid ja eetiline raamistik, mida sisemised töötajad mõistavad ja järgivad

Tegemist on küberturbe lauaõppuse stsenaariumiga, mis aitab parandada sisemist läbipaistvust ja järelevalvet.

Teenustõkestusrünne (DDoS) avaliku teenuse vastu

Organisatsiooni poolt hallatav veebipõhine teenus, mida töötajad, kliendid või partnerid igapäevaselt kasutavad, muutub äkitselt kättesaamatuks. Uurimisel selgub, et tegemist on suure teenusetõkestusründega (DDoS), mis on halvanud kogu teenuse.

See stsenaarium võimaldab hinnata:

  • koostöövõimet IT-meeskonna ja teenusepakkujate (ennekõike internetiteenuse pakkuja ehk ISP) vahel
  • kui kiiresti suudetakse teenus taastada või ajutine lahendus tööle panna
  • milline on kommunikatsioon klientidega, kes ei pruugi mõista tehnilisi üksikasju, kuid ootavad selgust
  • millised on järgmised sammud maine ja usaldusväärsuse taastamiseks

See küberturbe lauaõppuse stsenaarium on eriti oluline just nendele organisatsioonidele, kelle digiteenused on ühiskondlikult kriitilised.

0-päevanõrkuse (0-Day) tuvastamine

Organisatsiooni infoturbe meeskond saab teada, et organisatsioonis kasutatavas tarkvaras on tuvastatud seni teadmata turvaauk, mida on juba hakatud aktiivselt rünnetes ära kasutama. Avalikkus ja küberturbevõrgustikud (näiteks tarkvara tarnija, CERT meeskonnad jne.) hoiatavad nullpäeva turvaaugu ärakasutamise (ingl zero-day exploit) eest, millele veel pole ametlikku turvapaika. Pole teada, kas organisatsiooni on juba rünnatud, kuid oht on reaalne ja ajasurve suur.

Selle stsenaariumi abil saab läbi harjutada:

  • kiiret otsustamist, kas võtta teenus ajutiselt maha või mitte
  • koostööd CERTi, tarkvarapakkujate ja infoturbe meeskonnaga
  • riskide hindamist olukorras, kus info on veel puudulik
  • ennetavat kommunikatsiooni partnerite ja klientidega

See küberturbe lauaõppuse stsenaarium sobib eriti organisatsioonidele, kelle jaoks kolmandate osapoolte haavatavused on oluline riskitegur.

Kombineeritud küberturbe lauaõppuse stsenaarium

Stsenaarium ühendab mitut kriisi korraga. Näiteks algab intsident 0-päevanõrkuse kaudu, mida kasutatakse sissetungiks ettevõtte süsteemidesse. Seejärel käivitatakse lunavararünne, mis halvab äritegevuse. Samal ajal avastatakse, et ründajad on jõudnud varastada ka tundlikke kliendiandmeid. Kõige tipuks tabab teenust massiivne DDoS-rünne, mis takistab isegi teavituste edastamist klientidele ja koostööpartneritele.

Sellise stsenaariumi eelised:

  • Mitmekihiline kriis katab tehnilise, operatiivse ja strateegilise tasandi,
  • Reaalne test intsidendi eskaleerumise haldamisel,
  • Annab võimaluse harjutada paralleelselt töötamist erinevate vastutusalade vahel: IT, seadusandlus, kommunikatsioon, juhtkond.

Seda tüüpi küberturbe lauaõppuse stsenaarium sobib kõige paremini nendele organisatsioonidele, kes on juba varasemalt lihtsamate stsenaariumidega tööd teinud ja soovivad minna järgmisele tasemele.

Kuidas küberturbe lauaõppuse stsenaariumit valida ja kohandada?

Iga küberturbe lauaõppuse reaalne väärtus sõltub sellest, kui hästi see haakub organisatsiooni tegeliku profiili ja riskidega. Seetõttu tuleks stsenaariumite valikul arvesse võtta:

  • organisatsiooni suurust ja küpsusastet
  • tegevusvaldkonda ja selle regulatiivset keskkonda
  • õppimise eesmärki – kas harjutatakse otsustamist, koostööd, kriisikommunikatsiooni või tehnilist reageerimist
  • olemasolevaid nõrkusi või varem toimunud intsidente

Soovitatav on kaasata stsenaariumi ettevalmistusse ka erinevad osakonnad, et harjutus oleks realistlik ja kõnetaks kõiki osalejaid.