Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Miksi tietoturvapoikkeaman selvittäminen on tärkeää ja miksi asiasta kannattaa ilmoittaa viranomaiselle?

Tietoturva Nyt!

Julkaistu

Tietoturvapoikkeama voi osua suoraan tai välillisesti mihin tahansa organisaatioon. Vaikka tietoturvaan olisi panostettu, järjestelmät olisivat päivitysten osalta ajan tasalla ja prosessit kunnossa, voi poikkeama silti päästä yllättämään. Kerromme, miksi organisaation CISO:n on hyvä pitää huolta siitä, että poikkeaman syy selvitetään ja miksi asiasta on hyvä ilmoittaa myös viranomaiselle.

Tietoturvapoikkeaman selvittäminen

Tietoturvapoikkeama on hyvä paikka oppia uutta ja kehittää toimintaa. Kattavalla selvityksellä on mahdollista havaita, mitä tapahtui ja missä olisi kehitettävää. Tilanteen perinpohjainen selvittäminen antaa organisaatiolle mahdollisuuden hioa prosessejaan sekä varmuutta poikkeamatilanteesta viestimiseen.

Seuraavien kohtien pohtiminen tutkinnan aikana tukee organisaatiota prosessien kehittämisessä, sekä pienentää riskiä seuraavan tietoturvapoikkeaman sattumiseen.

1

Poikkeaman havaitseminen

Millä tasolla organisaatiossanne pystytään havaitsemaan tietoturvapoikkeamia, kuten kirjautumisyrityksiä tai liikennettä vieraista IP-osoitteista, haitallisia liitetiedostoja sähköpostissa tai haittaohjelmia työasemalla? Onko havainnoissa sellaisia tunnisteita, joita voi hyödyntää havainnoinnissa jo ennen kuin poikkeamaa pääsee sattumaan?

Onko organisaation henkilöstölle määritelty ohjeet, miten poikkeamista tulisi raportoida? Kaikkia poikkeamia ei pystytä havaitsemaan koneellisesti, joten myös loppukäyttäjien vastuulla on ilmoittaa heidän havaitsemistaan poikkeamista.

2

Vahinkojen rajoittaminen

Miten organisaationne kykenee rajoittamaan vahingon laajenemista poikkeaman havaitsemisen jälkeen esimerkiksi eristämällä saastuneen työaseman tai lukitsemalla tietojenkalastelulla haltuun saadun käyttäjätunnuksen?

Onko selvää, ketkä ovat vastuussa käytännön teknisestä tekemisestä, johtamisesta ja viestinnästä? Poikkeamatilanteen varalta on hyvä olla määriteltynä etukäteen vastuutahot ja yhteyshenkilöt, jotka vastaavat poikkeamaan liittyvien osa-alueiden hoitamisesta. Tämä sujuvoittaa ja selkeyttää poikkeamatilanteessa toimimista.

3

Todisteiden kerääminen

Millä tasolla organisaationne tallentaa lokitiedostoihin omassa infrastruktuurissaan tapahtuvia asioita? Mitä kattavampi lokitus on, sitä paremmin poikkeamatilanteet pystytään analysoimaan.

Tärkeitä lokitietoja ovat mm:

  • Käyttäjätoiminnot, eli käyttäjätilien kirjautumiset ja kirjautumisyritykset. Seurannan avulla voidaan havaita tunkeutumisyritykset ja epäilyttävä toiminta tunnuksilla.
  • Verkkoliikenne, jossa tärkeitä seurattavia tietoja ovat IP-osoitteet, käytetyt protokollat ja liikennemäärät. Seurannan avulla voidaan havaita epäilyttävä tai poikkeava toiminta verkossa.
  • Järjestelmätoiminnot, eli järjestelmien käynnistykset, sammutukset, ohjelmistopäivitykset ja järjestelmävirheet. Seurannan avulla voidaan havaita mahdollisia haavoittuvuuksia tai vikatilanteita.

On myös tärkeää, että lokitiedoista havaituista poikkeamista nousee hälytyksiä, mikä mahdollistaa poikkeamiin reagoinnin.

4

Palautuminen

Onko organisaatiollanne suunnitelma poikkeamasta palautumiselle? On tärkeää muistaa, että ilman kattavaa analyysiä poikkeamasta ja sen vaikutuksista ei välttämättä voida suorittaa takuuvarmaa palautumista tai olla varmoja vahingon laajuudesta.

Viestintä poikkeamatilanteessa

Kun organisaatio on kohdannut poikkeaman, saattaa siitä viestiminen tuntua hankalalta. Viestimisellä on kuitenkin paljon hyötyjä.

  • Poikkeamasta viestiminen mahdollistaa tapauksen tutkinnalle työrauhan.
  • Avoin viestiminen auttaa säilyttämään asiakkaiden ja sidosryhmien luottamuksen.
  • Julkinen viestiminen mahdollistaa kriisiviestinnän hallitusti. Organisaatio voi itse hallinnoida viestintäänsä poikkeamasta ja tämä auttaa välttämään väärinkäsityksiä ja huhuja.
  • Viestimisellä voidaan suojata myös muita. Esimerkiksi organisaation nimissä lähetetyt kalasteluviestit voidaan tunnistaa huijauksiksi.
  • Viestimällä toimitaan esimerkkinä muille siitä, minkälaisia kyberhyökkäyksiä voi kohdistua muihinkin organisaatioihin.

Analyysi viestinnän tukena

Poikkeaman syväluotaava tutkiminen tarjoaa myös viestinnälliseen puoleen tukea. Viestinnästä vastaavan tahon on kartoitettava, mitä tietoa kukin kohderyhmä tarvitsee ja analyysi toimii tukena tehokkaaseen ja kohdennettuun viestimiseen.

Viestinnän kannalta analyysin olisi hyvä vastata ainakin seuraaviin kysymyksiin:

  • Millaisesta tilanteesta on kyse?
  • Kuinka laajasta tapauksesta on kyse?
  • Mitä sidosryhmiä tapaus koskee?
  • Onko tapauksella välitöntä vaikutusta sidosryhmiin tai liiketoimintaan?
  • Onko tilanne saatu hallintaan?

Viranomaiselle ilmoittaminen

Kyberturvallisuuskeskus käsittelee kaikki tapaukset luottamuksellisesti. Tiedon jakamiseen viranomaisten kesken pyydämme ilmoittajalta aina luvan. Poikkeamista kannattaa ilmoittaa Kyberturvallisuuskeskuksen lisäksi myös Poliisille ja tietosuojavaltuutetulle.

Ilmoita tietoturvaloukkauksesta Kyberturvallisuuskeskukselle
Rikosilmoituksen voit tehdä poliisin verkkoasioinnissa (Ulkoinen linkki)
Tietoturvaloukkauksesta ilmoittaminen tietosuojavaltuutetun toimistolle (Ulkoinen linkki)

Tuki ja neuvonta

Tehtävänämme on tukea ja auttaa organisaatioita tietoturvapoikkeaman sattuessa, esimerkiksi auttamalla poikkeaman selvityksessä, tukemalla palautumisen suunnittelussa sekä tarjoamalla ohjeita poikkeamatilanteissa toimimiseen.

Sivuillamme on laadittuna ohjeita organisaatioille kyberpoikkeamista toipumiseen, sekä niissä toimimiseen.

Tiedonkeruu ja -jakaminen

Kyberturvallisuuskeskuksen tilannekuvatuotteet perustuvat meille tulleisiin ilmoituksiin ja tuotteiden tavoitteena on jakaa tietoja erilaisista kyberturvallisuuteen liittyvistä ilmiöistä.

Kerätyn tiedon perusteella voimme tarjota organisaatioille suosituksia ja ohjeita kyberuhkien ennaltaehkäisyyn ja poikkeamatapauksissa toimimiseen. Ilmoituksista saatavilla tiedoilla voidaan ennaltaehkäistä tietoturvapoikkeamia myös muissa organisaatioissa. Toivomme, että Kyberturvallisuuskeskukseen ollaan yhteydessä matalalla kynnyksellä. Tilannekuvatuotteemme ja eteenpäin jaettu tieto ovat pitkälti riippuvaista saamistamme ilmoituksista, jolloin yksittäinen ilmoituskin saattaa nousta merkittävään rooliin.