Gofore

We offer expert knowledge in digitalization.

PATENTTI- JA REKISTERIHALLITUS

Red Teaming vahvistaa kyberpuolustusta uudesta näkökulmasta

Patentti- ja rekisterihallitus sai tosielämän kyberhyökkäystä simuloivasta Red Teaming -palvelusta konkreettista ja uutta tietoa organisaation kokonaisturvallisuudesta. Tulokset vahvistivat ymmärrystä nykytilasta ja tarjosivat selkeät työkalut tietoturvan johtamiseen.

TAVOITE

Kriittiset palvelut pysyvät toimintavarmoina kyberuhkien keskellä

Patentti- ja rekisterihallitus (PRH) edistää yrittäjyyttä, innovatiivisuutta ja yhteisöllistä toimintaa Suomessa ja kansainvälisesti. Yritysten ja koko yhteiskunnan toiminnan kannalta on kriittistä, että PRH:n vastuulla olevat rekisterit toimivat häiriöttä ja luotettavasti. Siksi viraston tietoturvan täytyy olla korkealla tasolla.

Osana systemaattista tietoturvatyötään PRH oli aiemmin testannut puolustuskyvykkyyttään pistemäisillä murtotestauksilla eli penetraatiotestauksilla. Nyt tavoitteena oli saada vieläkin kattavampi ja realistisempi kuva organisaation kokonaisturvallisuudesta, kyvystä havaita ja torjua uhkia sekä mahdollisista kehityskohdista.

”Halusimme edistää tietoturvaamme varmistamalla, että toimintamme todella on halutulla tasolla eikä järjestelmiimme tai prosesseihimme ole jäänyt piileviä haavoittuvuuksia”, kertoo PRH:n tekninen johtaja Sakari Karstu, joka vastaa viraston tuotantojärjestelmien tietoturvasta.

“Red Teaming -harjoitus toi varmuutta tekemiseemme ja vahvisti näkemystämme siitä, missä olemme nyt. Se auttoi myös hahmottamaan, mihin tietoturvan kehittämistä kannattaa jatkossa suunnata.”

Sakari Karstu, tekninen johtaja, PRH

RATKAISU

Simuloitu hyökkäys paljastaa totuuden tietoturvasta

Goforen Red Teaming -palvelu vastasi PRH:n tarpeeseen. Kyse on laaja-alaisesta hyökkäyssimulaatiosta, joka eroaa huomattavasti murtotestauksesta. Siinä missä murtotestauksessa kohteena on ennalta rajattu yksittäinen järjestelmä, tarkastelee Red Teaming koko organisaatiota ulkopuolisen hyökkääjän silmin.

”Tavoitteena on simuloida tosielämän kyberhyökkäyksiä ja testata, huomaako kohdeorganisaatio hyökkäykset ja miten se osaa niiltä suojautua. Red Teaming sopii PRH:n kaltaisille organisaatioille, joilla on jo vahva tietoturvan johtamisjärjestelmä”, kertoo Goforen Cybersecurity Service Owner Minna Lehmustalo.

Kun pelisäännöt ja selvitettävät tiedustelukysymykset oli määritelty PRH:n kanssa, Gofore toteutti hyökkäyssimulaation hyödyntäen kaikkia tunnetuimpia menetelmiä ja haavoittuvuuksia. Eettiset hakkerit etsivät haavoittuvuuksia organisaation järjestelmistä, verkoista, fyysisestä tilasta tai työntekijöiden toiminnasta.

Gofore kokosi havainnot loppuraporttiin, jossa niitä analysoitiin, luokiteltiin ja priorisoitiin. Niiden pohjalta laadittiin myös eri sidosryhmien tarpeisiin kohdennetut kehitysehdotukset.

”Harjoitus sujui odotetun hyvin, eikä se aiheuttanut keskeytyksiä työhömme. Pääsimme testaamaan ja havainnoimaan haluamiamme asioita. Meille oli tärkeää, että raportissa huomioitiin työntekijöiden yksityisyydensuoja ja yksilöiden sijaan keskityttiin toimintamallien kehittämiseen”, Karstu kommentoi.

LOPPUTULEMA

Varmuutta nykyhetkeen ja selkeyttä tulevaisuuteen

Red Teaming -palvelun avulla PRH sai arvokasta tietoa todellisesta kyvystään selviytyä kyberrikollisten hyökkäyksistä sekä omien järjestelmiensä ja prosessiensa turvallisuudesta.

”Goforen Red Teaming -harjoitus toi varmuutta tekemiseemme ja vahvisti näkemystämme siitä, missä olemme nyt. Se auttoi myös hahmottamaan, mihin tietoturvan kehittämistä kannattaa jatkossa suunnata”, Sakari Karstu toteaa.

Hyökkäyssimulaation havainnoista tehty raportti toimii jatkossa tiedolla johtamisen työkaluna, joka vastaa niin teknisten tiimien käytännönläheisiin tarpeisiin kuin johtoryhmän liiketoimintavaikutuksia koskeviin kysymyksiin.

Projektin kohokohdat

Tavoite

Patentti- ja rekisterihallituksen palvelut ovat kriittisiä suomalaiselle yhteiskunnalle, minkä vuoksi viraston tietoturvan täytyy olla korkealla tasolla. PRH halusi saada hyökkäyssimulaation avulla perusteellisen kuvan organisaation kokonaisturvallisuudesta, kyvystä havaita ja torjua uhkia sekä mahdollisista kehityskohdista.

Ratkaisu

Tarpeeseen vastattiin Goforen Red Teaming -palvelulla. Goforen asiantuntijat ja PRH määrittivät ensin yhdessä tiedustelukysymykset, joihin etsittiin vastauksia tosielämän kyberhyökkäyksiä simuloivalla kokonaisvaltaisella harjoituksella. Havainnot koottiin loppuraporttiin, joka tarjosi myös kehitysehdotuksia eri sidosryhmien tarpeisiin.

Lopputulos

Red Teaming antoi PRH:lle arvokasta tietoa kyvystä selviytyä kyberrikollisten hyökkäyksistä sekä järjestelmien ja prosessien turvallisuudesta. Loppuraportista muodostui tiedolla johtamisen työkalu, joka selkeytti tietoturvallisuuden johtamista.

OSAAMINEN

Projektissa käytetyt kyvyt

  • Kyberturva
  • Red Teaming
  • Hyökkäyssimulaatio
  • Tietoturvaraportti

Ota yhteyttä!

Iris Alanen

Digitaalinen yhteiskunta

iris.alanen@gofore.com

040 163 6485

Sinua saattaa kiinnostaa myös seuraavat asiakastarinat

Kela

Sujuvampi pääsy terveystietoihin OmaKanta-sovelluksella

Fimlab

Terveydenhuollon näytteenoton tietojärjestelmän suunnittelu

Fimlab

Laboratoriotulokset turvallisesti mobiilissa

Takaisin ylös