Asianajotoimisto Evershedsillä on käytössään Tietokeskuksen SOC-palvelu (Security Operations Center), jossa tietoturvauhkia valvotaan 24/7. Teknologiana SOC:in konepellin alla pyörii Microsoft Sentinel ja Defender. Tietokeskuksen SOC-tiimin lisäksi teknologia käy läpi asiakkaan dataa automaation avulla ja tunnistaa, onko aihetta nostaa SOC-hälytyksiä.
SOC on paljon laajempi asia kuin virustorjunta. Se kattaa niin käyttäjien identiteetin ja palvelimien lokitiedon hallinnan kuin Internetin suojauksen.
– Eversheds on osa kansainvälistä Eversheds Sutherland -ketjua. Käyttöönotettu SOC-palvelu täyttää myös ketjun asettamia tietoturvasuosituksia, kertoo Evershedsin tietohallintopäällikkö Mika Jääskelä.
– 24/7-valvonta on tärkeää, koska työntekijämme matkustavat paljon ulkomailla ja tietoturvauhka voi realisoitua mihin aikaan tahansa.
SOC on tehostanut tietoturvauhkien valvontaa ja pienentänyt avainhenkilöiden poissaolosta johtuvia riskejä.
– Olemme havainneet SOC-palvelun avulla sellaisia tietoturvapoikkeamia, joita emme olisi itse huomanneet. Pienelle sisäiselle IT-tiimille on myös tärkeää, että on olemassa taustavalvontaa, varsinkin kun omat työntekijät ovat lomilla tai sairaana.
Evershedsin kaikki alustat, palvelimet ja päätelaitteet on kytketty palveluun.
– Olemme olleet tyytyväisiä Tietokeskuksen palveluun ja heidän tietoturvaosaamisensa on korkealla tasolla. Ostovaiheessa Tietokeskuksen referenssit energia-alan yritysten tietoturvasta antoivat kuvan luotettavasta kumppanista.
Vaatimuksenmukaisuuden reseptinä toimiva SOC
Tietoturvauhkien torjumisen lisäksi SOC vastaa tietoturvan vaatimustenmukaisuuteen. Toimiva SOC-palvelu vastaa esimerkiksi NIS2-direktiivin vaatimuksiin tietoturvapoikkeamien raportoinnista. Aikaa raportoinnille on kaksi vuorokautta poikkeaman jälkeen, muutoin maksettavaksi koituu sanktioita.
– SOC-palvelusta on ollut hyötyä myös ISO 27001 -sertifiointihankkeessa. Palvelu kattaa samoja asioita, joita ISO 27001 -standardi vaatii.
Perustietotekniikka toiselta kumppanilta ei estänyt SOC-palvelun hankintaa Tietokeskukselta
IT-tukea ja SOC-palvelua ei tarvitse välttämättä hankkia samasta paikasta. Eversheds hankkii “perustietoturvan” muualta ja on järjestelyyn tyytyväinen.
– Alussa käyttöönotto vaati ponnisteluja, jotta molemmilta toimittajilta saatiin oikeat ihmiset samaan aikaan pöytään. Käyttöönotossa kesti ajallisesti pitkään, ja välillä koettiin, että toinen osapuoli astuu toisen tontille. Vastuunjakotaulukot auttoivat kuitenkin tehtävänjaossa.
Käyttöönoton jälkeen yhteistyö on helpottunut ja yhteinen tekemisen tapa löytynyt.
– Nyt kun palvelu on käytössä, hälytykset kulkevat sujuvasti Tietokeskuksen kautta kumppanin helpdeskiin ja sisäiseen IT-osastoon.
Näin yhteistyö toimii
Yhteistyö Evershedsin ja Tietokeskuksen asiantuntijoiden välillä tapahtuu pääasiassa Teams-palavereiden kautta. Tietoturvapoikkeamien ennakoinnin ja niihin reagoinnin lisäksi Tietokeskus avustaa tietoturvan kehittämisessä: se osallistuu tarvittaessa projekteihin, joiden tavoitteena on tietoturvan kehittäminen sekä ottaa käyttöön tietoturvateknologioiden uusia ominaisuuksia.
– Kuukausipalaverissa käymme yhdessä läpi tietoturvapoikkeamia ja pohdimme mahdollisia jatkotoimenpiteitä. Tietokeskus tutkii ja analysoi jatkuvasti lokia. Tietokeskus voi myös nostaa tiketin, jos Defenderistä tulee heräte. Olemme sopineet valtuuksista, jotta Tietokeskus voi tarvittaessa ryhtyä toimiin tietoturvatapahtumien sattuessa.
Evershedsin henkilöstölle SOC ei juurikaan näy, mutta he tietävät sellaisen olemassaolosta. Heille on kerrottu, että Tietokeskus voi ottaa heihin henkilökohtaisesti yhteyttä, jos jotain hälyttävää löytyy. Esimerkiksi epäilyttävän kirjautumisen tai sovelluksen käytön vuoksi Tietokeskus voi ottaa suoraan yhteyttä kyseiseen käyttäjään. SOC-palvelu onkin edistänyt henkilöstön tietoisuutta tietoturvasta ja mahdollistaa nopean reagoinnin esimerkiksi kalasteluyrityksiin.
