Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Mitä tehdä, kun tietoturvaloukkaus osuu omalle kohdalle?

28. syyskuuta 2017

Kuva_Kysymysmerkkejä

Organisaatiot ovat pikkuhiljaa heränneet tarpeeseen havainnoida ja suojautua tietoturvaloukkauksilta. Vaikka tietoturvaloukkausten ennaltaehkäisy ja niiltä suojautuminen ovat ehdottoman tärkeitä, eivät nekään takaa täyttä turvaa tietomurron uhalta. On siis hyvä miettiä, mitä sitten jos/kun jotain tapahtuu.

Nojaa toipumissuunnitelmaan

Ensinnäkin voit onnitella itseäsi tietomurron havaitsemisesta (jos tieto ei tullut organisaation ulkopuolelta), sillä tyypillinen tietoturvaloukkauksen havaitsemisaika voi olla useita kuukausia sen tyypistä riippuen – eikä kaikkia tietomurtoja edes huomata. Organisaatiolla tulisi olla tietoturvaloukkausten varalle suunnitelmat, joista ilmenee kuka ottaa johdon asiassa ja mikä on asiaa hoitava tiimi sekä etenemisprosessi. Koska tietoturvaloukkauksia on erilaisia, on hyvä olla toipumissuunnitelmat yleisimpien tilanteiden, kuten haittaohjelmatorjunnan, palvelunestohyökkäyksen ja tietojen varastamisen varalle. Toipumissuunnitelmat pohjautuvat usein tietojen ja järjestelmien luokitukseen, joista ilmenee niiden arvo, kriittisyys ja riskit. Jos suunnitelmaa ei ole laadittu, on se aika laittaa tehtävälistalle.

Kirjaa toimet ja kerää todisteaineistoa

Poikkeamatilanteessa tulee pysyä rauhallisena ja ryhtyä pitämään kirjaa kaikista tehdyistä toimista. Tällä taataan, että myöhemmin mahdollisten hyökkääjien toimet voidaan erottaa ylläpitäjien tekemistä toimista. Samalla on hyvä listata tilanteen aikana kerättyä todisteaineistoa, josta on apua poikkeaman ymmärtämisessä, mahdollisessa rikosprosessissa ja toimintojen kehittämisessä vastaavanlaisten tilanteiden estämiseksi.

Tietoturvapoikkeaman analysointi – lähde, levinneisyys ja vakavuus

Kun tietoturvaloukkaus havaitaan, tiedetään sen lähteestä, levinneisyydestä ja vakavuudesta hyvin vähän. Poikkeaman analysointi onkin siksi ensisijaisen tärkeää. Analyysissä on tärkeää pyrkiä erottamaan syyt ja oireet toisistaan, jotta korjaustoimenpiteet voidaan ensisijaisesti kohdistaa ongelman lähteeseen ja poikkeama pystytään nopeasti eristämään.

Poikkeaman vakavuus riippuu sen nykyisestä ja potentiaalisesta vaikutuksesta organisaation järjestelmiin ja tietoverkkoihin, ja näiden kriittisyydestä toiminalle sekä niiden sisältämien tietojen merkityksellisyydestä. Tietoturvaloukkaus voi olla uhka käytettävyydelle (esim. palvelunestohyökkäys), eheydelle (esim. haittaohjelmat) tai luottamuksellisuudelle (esim. hakkerointi) ja voi täten vaikuttaa organisaation toimintaan eri tavoin.

Jotta poikkeamaa kyetään analysoimaan, on oltava dataa, jota analysoida. Useat järjestelmät tuottavat lokitietoa, mutta niiden muoto ja säilytysajat vaihtelevat. Jotta organisaatio pystyy hyödyntämään näitä tietoja poikkeamien analysoinnissa tehokkaasti, tulisi organisaatiolla olla keskitetty lokienhallintajärjestelmä, joka edesauttaa niin poikkeaman havaitsemista kuin sen tutkimista jälkikäteen. Uutena tuotteena markkinoilta löytyy Lastlinen Breach Defender, joka tarjoaa markkinoiden ainoana ratkaisuna dynaamisen kuvan hyökkäyksen etenemisestä tietoverkossa helpottaen uhan laajuuden ja vaikutuksen arviointia sekä ongelman rajaamista, kun tietoturvapoikkeamia esiintyy.

Käytä ulkopuolista apua

Tietoturvapoikkeaman tapahduttua, voi olla hyvä myös ottaa mukaan selvitystyöhön ulkopuolinen asiantuntija. Ulkopuolisen toimijan etuna on vankka asiantuntemus vastaavista tilanteista. On myös hyvä huomioida, että poikkeama on tapahtunut nykyisen IT:n silmän alla, jolloin koko totuus saattaa jäädä piiloon. Tilanteeseen voi myös saada apua ulkopuolisilta sidosryhmiltä, kuten CERT-toimijoilta ja poliisiviranomaisilta.  

Sisäinen ja ulkoinen viestintä

Tietoturvaloukkauksen sattuessa on tärkeää viestiä tilanteesta selkeästi. Informoi henkilökuntaa tapahtuneesta, siitä miten se vaikuttaa heidän työskentelyynsä ja mitä heidän pitäisi huomioida kunnes ongelma saadaan korjattua. Jälkikäteen on myös hyvä käydä tapahtunutta läpi ja keskustella siitä, miten vastaavat loukkaukset voidaan tulevaisuudessa estää.

Joissakin tapauksissa myös asiakkaiden ja median kanssa viestiminen tulee tarpeelliseksi, tällöin on tärkeää valmistautua vastaamaan heidän kysymyksiinsä. Nopea ja avoin kommunikointi auttaa säilyttämään asiakassuhteet ja lieventämään maineriskejä.

Tietoturvaloukkauksesta ilmoittaminen

Jos on syytä epäillä, että teon taustalla saattaa olla rikos, tulee tietoturvapoikkeamasta olla yhteydessä poliisiin. Viestintäviraston alaiseen CERT-toimijaan kannattaa eritoten olla yhteydessä, kun poikkeama vaikuttaa esimerkiksi Internet-verkon runkopalveluihin, merkittävä palvelu on uhattuna tai tilanne vaikuttaa laajalle levinneeltä. Vaikka organisaatio ei haluasikaan näiden toimijoiden apua eikä tehdä rikosilmoitusta, ottavat nämä tahot mielellään tietoa vastaan tilastointimielessä.

Myös lait ja asetukset saattavat vaatia ilmoituksen tekoa eri tahoille. Esimerkiksi EU:n uusi tietosuoja-asetus velvoittaa ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta valvovalle viranomaiselle 72 tunnin sisällä loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä.

Normaalitoiminnan palauttaminen, raportointi ja toiminnan kehittäminen

Kun tilanne on halussa ja poikkeama saatu eristettyä sekä rajattua, on tärkeää pyrkiä palauttamaan toiminta mahdollisimman pian normaaliksi, jotta liiketoiminta ei kärsi turhaan. Ongelman analysointi ja raportointitehtävät saattavat toiminnan palauttamisesta huolimatta jatkua omalla radallaan taustalla. Erittäin tärkeää on tapahtuneen jälkeen koostaa tapahtuneesta raportit ja opitut asiat, jotta vastaavat tapahtumat voidaan ennaltaehkäistä. Raportteja ei tule haudata pöytälaatikkoon, vaan ne tulisi käydä läpi johdon kanssa ja sisällyttää kehityssuunnitelmiin.   

 

Mikäli aiheesta tai tilanteestanne heräsi kysymyksiä, ota yhteyttä, niin keskustelemme mielellämme asiasta kanssanne.