Mitä tapahtuu Valtorin tietoturvavalvomossa?
Kyberturvallisuuskeskusteluissa nousee nykyään nopeasti esiin lyhenne "SOC", joka ei välttämättä kyberkuplan ulkopuoliselle kerro vielä mitään. Kyberturvallisuuden maailmassa tuolla akronyymillä viitataan siis "Security Operations Centeriin", joka taas useimmin kääntyy suomeksi muotoon tietoturvavalvomo.
Tässä blogitekstissä avataan hieman sitä, miksi ja miten Valtorissa tietoturvavalvonta on järjestetty ja mitä kaikkea tällaisessa tietoturvavalvomossa sitten tapahtuukaan.
Laki velvoittaa
Liekö kirjoittajan vuodet valtionhallinnossa syynä, kun pohjimmainen peruste tietoturvavalvomon olemassaoloon löytyy tietenkin laista – ainakin siis, jos täältä kysytään. Jotta ei harhauduttaisi täysin otsikon aiheesta, niin todettakoon lyhyesti, että mm. lait sähköisen viestinnän palveluista, julkisen hallinnon tiedonhallinnasta sekä julkisen hallinnon turvallisuusverkkotoiminnasta velvoittavat Valtoria huolehtimaan käyttämiensä ja tarjoamiensa palveluiden tietoturvallisuudesta ja sen valvonnasta.
Tietoturvavalvomon rooli tietoturvallisuuden ylläpitämisessä
Aloitetaan maalaamalla hieman kuvaa siitä toimintaympäristöstä, jossa Valtori operoi: noin 80 000 loppukäyttäjää ja työasemaa, tuhansia palvelimia, tuhansia verkkolaitteita, valtava määrä ympärivuorokautista viestintää sähköpostitse, pikaviesteillä, videoneuvotteluratkaisuilla ja satoja erilaisia tietojärjestelmiä niin omissa konesaleissa kuin kaikissa suurimmissa pilvipalveluissa… eli ainakin Suomen mittakaavassa "aika paljon kaikkea".
Valtori operoi vastuullaan olevia toimintaympäristöjä noin 1 500:n oman ammattilaisen voimin sekä tietenkin hyödyntäen isoa joukkoa osaavia kumppaneita. Eri järjestelmien ja teknisten taustapalveluiden ammattilaisilla on luonnollisesti paras ymmärrys oman osa-alueensa tietoturvallisuuden ylläpitämisestä ja sen vaatimuksista, mutta ei liene yllätys, että tietoturvavalvonta on tämän kokoisessa toimintaympäristössä enemmän tai vähemmän pakollista keskittää.
Tietoturvavalvomo siis tarjoaa omille palveluillemme ympärivuorokautisen valvonta- ja reagointikyvykkyyden tietoturvahavaintoihin, jota olisi hajautetulla mallilla käytännössä mahdotonta kestävästi ratkaista.
Valtorin tietoturvavalvomon arkea
Valtorin tietoturvavalvomossa työskentelee nykytilassa noin 20 asiantuntijaa kolmella erilaisella tehtäväkuvalla. Suurin osa tästä porukasta tekee töitä ympärivuorokautisesti vastaten erilaisten havaintojen ja hälytysten ensivasteesta ja mahdollisista välittömistä rajaus- ja vastatoimista.
Loput, hieman alle kymmenen asiantuntijaa taas työskentelevät normaaliin virka-aikaan ja heidän ensisijaisena vastuunaan on tapausten vaativampi tutkinta, uhkametsästys, toimintaohjeiden kehitys ja osin myös valvonnan hienosäätö parempaan suuntaan.
Tähän päälle valvomon toimintaa tukee tietoturvatapahtumien koordinointi -funktio (CSIM), jonka vastuulla on merkittävien tai kriittisten tietoturvatapahtumien selvityksen johtaminen ympärivuorokautisesti.
Tietoturvavalvomo seuraa lukuisista lähteistä tulevia signaaleja ja hälytyksiä, ottaa ne käsittelyynsä, luokittelee ja priorisoi tapahtumat, tekee toimintaohjeissaan ("pelikirjat") määritellyt lisäselvitys- ja/tai vastatoimet sekä lopulta ratkaisee tapahtuman.
Usein selvityksiin kutsutaan mukaan tietoturvavalvomon ulkopuolisia asiantuntijoita, jotka tuntevat parhaiten omat järjestelmänsä ja kykenevät tekemään niissä korjaavia toimenpiteitä. Tietoturvavalvomossa tehdään lisäksi läheistä yhteistyötä Valtorin häiriönhallinnan kanssa.
Perustehtävän lisäksi tietoturvavalvomon tehtävälistaan voi heittää mukaan myös teknisten haavoittuvuuksien hallintaan osallistumisen, Internetiin näkyvien resurssien seurannan, tietoturvaharjoituksiin osallistumisen, kouluttautumisen sekä aktiivisen viranomaisyhteistyön.
Tietoturvavalvonta ja tietosuoja eivät ole vihollisia keskenään
Ajoittain tietoturvavalvonta herättää myös kriittistä keskustelua ja pohdintaa tietosuojanäkökulmasta - joskus käyttäjän huolenaiheena saattaa olla "kytätäänkö toimintaani" -tyyppinen ajatus. Tähän liittyen onkin hyvä muistuttaa, että Valtorin tietoturvavalvomossa toiminta ei missään nimessä ole tällaista yksilöön kohdistuvaa seurantaa, vaan valvonta perustuu pääsääntöisesti automaattisesti nostettuihin hälytyksiin ja manuaalinen tutkinta on poikkeustilanne. Henkilötietoja käsitellään vain siinä laajuudessa ja tarkoituksessa kuin se on pakollista kuvatun tietoturvavalvonnan suorittamiseksi.
Valvontapalvelu SOC on tarkoitettu asiakkaille
Omalla vastuullaan olevien palveluiden ja ympäristöjen lisäksi Valtori toimittaa tietoturvavalvomopalvelua myös asiakkailleen palvelunimellä "Valvontapalvelu SOC". Palvelun avulla asiakkaat voivat siis hankkia omistamiinsa järjestelmiin ja tietojenkäsittely-ympäristöihin tässä artikkelissa kuvattua palvelua, jossa Valtorin tietoturvavalvomon henkilöstö hallitsee tietoturvatapahtumia asiakkaan ympäristössä, käyttäen asiakkaan tähän tarkoitettuja työkaluja.
Yhteenvetona voitaneen siis todeta, että Valtorin tietoturvavalvomossa tapahtuu varsin paljon, eikä meno näy ainakaan rauhoittuvan. Valtorin tietoturvavalvomon toiminnalla on vielä lyhyehkö historia ja kehittämistä riittää vielä paljon tuleviksi vuosiksi. Matka on kuitenkin jo hyvässä vauhdissa ja allekirjoittaneen mielestä voidaan täysin perustellusti uskoa, että kehitys jatkuu suotuisana ja tietoturvavalvomo pystyy tuottamaan kasvavaa lisäarvoa sekä Valtorin sisäisesti että asiakkailleen.
PS: Hieman teknisemmältä kantilta Valtorin tietoturvavalvomoon liittyviä työkaluja ja havainnointitapoja käsiteltiin vuoden 2023 Disobey-tapahtumassa.
Blogitekstin kirjoittaja Henri Aalto toimii tietoturva-arkkitehtina Valtorissa.
