Tilannekuva kyberstrategiassa ja yritysmaailmassa
Yhdistetyn tilannekuvan muodostaminen on isossa roolissa eilen julkaistussa Suomen kyberturvallisuusstrategiassa [PDF]. Sen rakentaminen on yksi strategian kymmenestä linjauksesta ja sillä pyritään tehostamaan yhteiskuntaamme kohdistuvien kyberhyökkäysten havainnointia sekä torjuntaa. Yhdistettyyn tilannekuvaan kortensa kekoon kantaa tyypillisten valtiollisten toimijoiden ja kriittisen infrastruktuurin tarjoajien lisäksi myös poliisi.
Tilannekuva on terminä tuttu sodankäynnistä ja sen muodostaminen onkin erityisen tärkeää nopeasti muuttuvissa taistelutilanteissa. Toisaalta nykypäivänä tilannekuvalla voidaan tarkoittaa myös uimahallin aulassa olevaa infotaulua, joka kertoo lähimmältä pysäkiltä lähtevien bussien aikataulut, nopeasti ohikulkeville ihmisille.
Voidaankin siis todeta, että tilannekuva on työkalu, joka esittää päätöksenteon kannalta oleellisen tiedon mahdollisimman nopeasti ja luotettavasti päätöstä tekevälle henkilölle. Tilannekuva on näin ollen myös riippuvainen tehtävästä päätöksestä, eli kaikkien tarpeisiin soveltuvaa yhtä tilannekuvaa on mahdoton luoda.
Tietoturvan tilannekuvassa periaate on sama. Toimintaympäristö ja sen uhat muuttuvat nopeasti ja isot tapahtumamäärät edellyttävät automaattista seurantaa. Ilman jonkinlaista tilannekuvaa ei voida olla varmoja ympäristön toiminnasta ja päätöksenteko perustuu olettamuksiin. Tietopääoman suojaamisesta tulee näin ollen kaiken aikaa vaikeampaa.
Koska kyseessä on päätöksentekoa tehostava työväline ei tietoturvan tilannekuvan muodostamista kannata unohtaa myöskään yritysmaailmassa. Sen edut ovat selkeät turvallisuutta mitattaessa, sekä palveluiden optimoinnissa.
Tapoja tilannekuvan muodostamiseen on monia. Usein sen mielletään liittyvän teknisiin SIEM-ratkaisuihin, hallinnollisempiin GRC-ratkaisuihin tai tietoturvan toimiviin tahoihin, kuten Security Operation Centereihin (SOC). Ratkaisun ei kuitenkaan tarvitse olla näin raskas, vaan monissa tilanteissa alkuun riittää kevyempi tilanteen seuranta käyttäen esimerkiksi IPS-laitteita tai seuraavan sukupolven palomuureja (NGFW). Täydellisessä maailmassa ratkaisu olisi näiden kaikkien, sekä usean muun tietoa keräävän sensorin yhdistelmä. Ratkaisun tulee olla kuitenkin suhteessa käsiteltävän tiedon luokitteluun sekä ympäristön moniulotteisuuteen.