Küberturbe drill – mis see on?

Küberintsidendid – mitte “kas” vaid “millal”

Tänapäeva digitaalses maailmas ei ole küsimus enam selles, “kas” küberintsident juhtub, vaid “millal” see juhtub. Sellele arusaamisele tuginedes on küberturbevaldkonnas aina olulisemaks muutunud realistlike harjutuste läbiviimine ning seda mitte ainult IT- ja turvameeskondadele, vaid kogu organisatsioonile. Siin tulebki mängu mõiste cyber drill ehk küberturbe drill. See on võimalus testida oma organisatsiooni valmisolekut päriselulistes tingimustes, kuid ilma tegelike kahjudeta.

Mis on küberturbe drill (Cyber Drill)?

Küberturbe drill on struktureeritud harjutus, mille eesmärk on simuleerida reaalseid küberintsidente, et hinnata ja parandada organisatsiooni võimekust neile reageerida. Olgu tegemist lunavararünde, teenusetõkestusründe (DDoS) või pahatahtliku töötajaga (siseoht), aitab hästi läbi viidud õppus tuvastada puudujäägid ja tugevdada kogu küberturbe ökosüsteemi. Küberturbe drill erineb tavalisest küberturbe õppusest selle poolest, et drilli puhul harjutatakse ja kontrollitakse läbi juba olemasolevaid meetmeid, protseduure ja teadmisi.

Küberturbe drillid võivad kaasata ainult tehnilist meeskonda, ainult juhte või isegi kogu organisatsiooni, sõltuvalt eesmärgist ja harjutuse tüübist. Drillide eesmärk on ennekõike praktiline olukordade läbimäng, kus rakendatakse juba väljatöötatud plaane ja kaitsemehhanisme ning langetatakse otsuseid ka „sisuliste“ tagajärgedega.

Miks on küberturbe drillid olulised?

Küberturbe drilli põhieesmärgid võib jagada kolme kategooriasse:

• Valmisoleku parandamine. Drilli käigus saavad osalejad harjutada oma reaktsioonivõimet ja kohanemisoskust küberintsidendile. Reaalse kriisi saabudes on varasemalt läbiharjutatud tegevused juba tuttavad ja osaliselt lihasmällu treenitud.
• Tehniliste ja juhtimisprotsesside testimine. Kas ja kuhu logid salvestuvad? Kas juhid otsustavad piisavalt kiiresti? Kas varukoopiad töötavad? Küberturbe drilli kaudu selguvad tehnilised ja protseduurilised kitsaskohad.
• Kriisikommunikatsiooni ja koostöö kontroll. Sageli ei tekita väljakutseid küberintsidendi lahendamisel tehniline viga, vaid info liikumise katkemine. Drill testib ka suhtlust IT- ja turvatiimide, juhtkonna, partnerite ja avalikkusega.

Peamised küberturbe drillide tüübid: tehniline vs strateegiline

Küberturbe drille saab jagada kaheks põhiliigiks: tehnilised ja strateegilised õppused.

• Tehnilised küberturbe drillid. Näiteks red team vs blue team stsenaariumid, kus ründemeeskond üritab süsteemi kompromiteerida ja kaitsemeeskond peab sellele reageerima. Sellised drillid viiakse sageli läbi spetsiaalsetel küberharjutusväljakutel (cyber range), kus simuleeritud süsteemid imiteerivad organisatsiooni IT-taristut (digital twin).
• Strateegilised küberturbe drillid. Tuntud ka kui küberkaitse lauaõppused, keskenduvad juhtide, kommunikatsioonispetsialistide ja teiste mittetehniliste võtmeisikute otsustusprotsessidele. Kuidas juhatus reageerib, kui ilmneb kriitiline turbeintsident? Kuidas suheldakse meediaga? Kas rollid ja vastutusalad on paigas?

Parim tulemus saavutatakse siis, kui mõlemat tüüpi õppusi kombineeritakse ning tehniline sügavus ja strateegiline selgus loovad koos tugeva terviku.

Millest küberturbe drillid tavaliselt koosnevad?

Üks hästi planeeritud küberturbe drill koosneb järgmistest komponentidest:

• Stsenaarium. Drill algab loogilise ja realistliku olukorra loomisega. Näiteks: „Organisatsioon saab e-kirja, milles ähvardatakse avaldada varastatud andmed, kui 48 tunni jooksul ei maksta lunaraha.“
• Sündmuste käik ja ajajoon. Sündmused liiguvad kindlas tempos ja kindlas järjestuses. See võib kesta tundidest päevadeni.
• Rollid ja vastutusalad. Igal osalejal on kindel roll: finantsjuht, kommunikatsioonijuht, õigusnõustaja, tegevjuht jne.
• Infokillud (ingl. injects). Juhised, mida õppuse käigus osalejatele edasi antakse, et stsenaarium progresseeruks. Need võivad olla e-kirjad, meediapäringud, tehnilised logid vms.
• Elavad arutelud. Et õppuse infokildudest lihtsalt mitte „läbi joosta“, tehakse regulaarselt peatusi, et arutada valikuid, otsuseid ja mõju.

Levinumad küberturbe drillide stsenaariumud

Realistlikkus on küberturbe drilli õnnestumise võtmetegur. Levinud simuleeritavad stsenaariumid hõlmavad näiteks:

• Lunavara – failide krüpteerimine ja lunaraha nõudmine.
• Teenustõkestus (DDoS) – avalike veebiteenuste halvamine massiivse liiklusega.
• Siseoht (insider threat) – pahatahtlik või hooletu töötaja tekitab lekke või saboteerib süsteeme.
• Andmeleke – tundliku kliendiinfo sattumine avalikkuse ette.
• Tarneahela rünnak – kolmanda osapoole kaudu toimub pahavara levitamine.

Need stsenaariumid põhinevad kaasaaegsel ohumaastikul ning aitavad organisatsioonidel mõista, millised ohud on tõenäolised ja millised oleksid nende mõjud just nende organisatsioonile.

Küberturbe drillist õppimine: järelanalüüs ja täiendusplaanid

Küberturbe drilli tõeline väärtus ei ilmne harjutuse ajal, vaid pärast seda. Järelanalüüs ehk after-action review annab ülevaate sellest, mis toimis ja mis mitte:

• Kas otsused tehti kiiresti ja õigel tasemel?
• Kas kogu vajalik info jõudis õigete inimesteni?
• Kas tööriistad ja protokollid toetasid tegevust?

Hea tava on koostada dokumenteeritud kokkuvõte, milles tuuakse välja soovitused ja täiendusplaanid. Samuti võib koostada edasise tegevuskava (nt töötajate koolitused, varukoopiate audit, uute rollide määramine jne).

Miks peaks iga organisatsioon küberturbe drille läbi viima?

Liiga sageli põhinevad organisatsioonide küberturbeplaanid PowerPoint-esitlustel või Word-dokumentidel, mis paberil tunduvad tugevad, aga päriselus ei tööta. Küberturbe drill on viis neid plaane proovile panna ilma tegeliku kahjuta.

Isegi väiksemad ettevõtted peaksid kaaluma küberturbe drille, sest:

• Küberturvalisus puudutab kõiki, sõltumata suurusest.
• Drill tugevdab organisatsiooni usaldusväärsust ja riskihaldust.
• Vastavusnõuded (nt NIS2 direktiiv) eeldavad reaalseid testimisi ja harjutusi.
• Reageerimiskiirus ja koostöövõimekus paranevad märgatavalt.