Teknologian sokaisema kybertilannekuva, osa 1/3 – Inhimillinen tekijä

Kyky ymmärtää ympäröivän toimintakentän tapahtumia ja niihin liittyviä elementtejä voidaan tiivistää sanaan tilannekuva. Yleisesti käytetty esimerkki aiheesta on autoa ajava ihminen. Ajamisen kannalta on tärkeää havaita ja ymmärtää ympäröivät esteet, muiden kulkuneuvojen liikkeet sekä niiden välinen dynamiikka. Muodostettu ymmärrys mahdollistaa auton ajamiseen liittyvät päätökset ja toiminnan. Kybertilannekuvalla viitataan digitaalisesta toimintaympäristöstä muodostettuun tilannekuvaan, jonka merkitys teknologiariippuvaisessa tietoyhteiskunnassa on korostunut. Se on ennen kaikkea johtamisen työkalu, jolla on sidos myös onnistuneeseen tietoturvapoikkeamien hallintaan.

Herätemäärän käsittely on ihmiselle lähes mahdotonta

Kybertilannekuvan muodostamisessa merkittävä haaste – erityisesti teknisten herätteiden näkökulmasta – on eri tietojärjestelmistä kumpuavien herätteiden määrä. Herätteellä tarkoitetaan tietototurvaherätettä, tietojärjestelmän tuottamaa lokitietoa tai muuta vastaavaa indikaatiota muutoksesta toimintaympäristössä. Käytännönesimerkki herätteestä on tietojärjestelmään kohdistunut onnistunut tai epäonnistunut kirjautumisyritys. Laajoissa tietojärjestelmätoteutuksissa herätteitä voi muodostua useita sekunnissa. Näin suuren herätemäärän käsittely on ihmiselle lähes mahdotonta. Keskeinen inhimillinen tekijä tilanteessa on huomion rajallisuus, eli kyky työstää lähimuistissa useita kokonaisuuteen liittyviä osa-alueita. Huomiota vaativat erityisesti käsityksen muodostaminen, tulkinta, päätöksenteko sekä päätökseen perustuva toiminta. Mikäli herätteiden määrä on valtava, pelkästään käsityksen muodostaminen ylittää yksilöllisen huomiokyvyn saturaatiopisteen, jolla on suora negatiivinen vaikutus yksilön päätöksentekokykyyn. On myös inhimillistä, että jatkuva herätepaine johtaa hälytysten huomiotta jättämiseen (Alert Fatigue) – heräte menettää merkityksensä.

Ratkaiseeko SIEM ongelman?

Osaltaan kyllä. SIEM-ratkaisun (Security Information and Event Management) keskeisiä ominaisuuksia ovat kyky keskittää ja jalostaa saatavilla olevaa herätemassaa astetta pidemmälle, sekä rikastaa kerättyä aineistoa vaikkapa ulkopuolisella uhkatiedolla. Yksittäinen heräte yksittäisestä järjestelmästä voi ihmiselle näyttää merkityksettömältä, tai on vähintäänkin haastava yhdistää tilannekuvaan. SIEM-järjestelmän rooli on tarkastella herätteitä isommassa kuvassa ja nostaa lippu pystyyn, kun tilanne vaatii ihmisen tarkastelua. Tarkastelu tapahtuu kuvattujen käyttötapausten perusteella, jotka ovat käytännössä sääntöpohjaisia tapahtumasarjojen tunnisteita. Kuvattujen käyttötapausten lisäksi mukana voi olla koneoppimista, joka karkeasti yksinkertaistettuna mahdollistaa toimintaympäristön tyypillisten elementtien oppimisen ja sitä kautta automaattista reagointia niissä tapahtuviin muutoksiin. Voidaankin sanoa, että SIEM on loistava työkalu kybertilannekuvan muodostamisessa.

Huld on mukana Cyber Security Nordic 2019 -tapahtumassa. Tulethan moikkaamaan ja keskustelemaan aiheesta lisää.

Teksti: Jouni Ihanus, Senior Consultant (Information & Cyber Security)