Kiristyshaittaohjelma (engl. ransomware) on ohjelma, joka estää laitteen tai tietoverkon normaalin käytön ja esittää vaatimuksen lunnaiden maksamisesta rikollisille. Kiristyshaittaohjelma tyypillisesti salaa laitteella olevat tiedostot salausalgoritmilla ja avaimella, joka on vain hyökkääjän tiedossa. Usein hyökkääjä pyrkii myös varastamaan uhrin tietoja ja kiristämään niiden julkaisemisella. Tee tapahtuneesta rikosilmoitus poliisille ja noudata poliisin antamia ohjeita myös tapahtuneesta viestimisessä.
Kiristyshaittaohjelma
Organisaatio havaitsee järjestelmissään kiristyshaittaohjelman. Kaikki tai osa IT-palveluista on poissa käytöstä. Kiristyshaittaohjelmista viestiminen vaatii organisaatiolta uskallusta kertoa avoimesti vakavasta kyberpoikkeamasta. Harkintaan vaikuttaa myös se, halutaanko mahdolliselle kiristäjälle antaa näkyvyyttä. Tee tapahtuneesta rikosilmoitus poliisille ja noudata poliisin antamia ohjeita myös tapahtuneesta viestimisessä.
- Mitkä palvelut eivät ole käytettävissä? Mitkä varajärjestelmät otetaan käyttöön?
- Miten tilanteesta viestitään sisäisesti ja ulkoisesti? Millä järjestelmillä?
- Hyökkääjä saattaa olla varastanut tietoja verkon yli ennen niiden salaamista, jolloin tietosuojalain asettamat ilmoitusvelvoitteet tulee ottaa huomioon (ks. Tietovuoto -viestintäkortti)
- Onko hyökkääjältä saatu lunnasvaatimus? Kiristetäänkö myös varastettujen tietojen vuotamisella?
- Tieto isoista poikkeamista voi vuotaa julkisuuteen myös organisaation valitseman viestintälinjan ohi, joka on tärkeää ottaa huomioon jo kriisin alkuvaiheessa. Tapaus päätynee julkisuuteen viimeistään, jos hyökkääjä julkaisee varastamiaan tietoja verkossa.
Toimenpiteet
- Viesti poikkeamasta ja vaikutuksista sisäisesti, ohjeista henkilöstölle vaihtoehtoiset toimintatavat ja -palvelut. Yllättävä tilanne, jossa normaalit järjestelmät eivät toimi, herättää ihmisissä paljon pelkoja ja tunteita. Henkilöstön toimintaa poikkeustilanteessa on johdettava enemmän kuin normaalitilanteessa.
- Viesti poikkeamasta ja häiriöistä asiakkaille ja sidosryhmille. Muista tietosuojalain asettamat velvoitteet uhreille ja tietosuojavaltuutetulle ilmoittamisesta, mikäli henkilötietoja on varastettu.
- Pohtikaa organisaatiossa tapaa ja termejä etukäteen: miten kuvailisitte kiristyshaittaohjelman tapaista vakavaa poikkeamaa eri sidosryhmille? Miten tapauksesta viestitään, jos normaalit järjestelmät eivät ole käytettävissä?
- Kiinnittäkää huomiota viestinnän ja ohjeiden selkeyteen, ymmärrettävyyteen ja kattavuuteen. Muistakaa viestinnän ja ohjeistamisen tarve uhreille myös tilanteen jälkeen.
- Tehkää tapahtuneesta rikosilmoitus poliisille ja noudattakaa poliisin antamia ohjeita myös tapahtuneesta viestimisessä.
Esimerkkiviesti
Tietomurto vaikuttaa organisaation toimintaan.
Organisaatiotamme kohtaan on tehty tietomurto, joka vaikuttaa toistaiseksi palveluihimme A ja B. Tutkimme tapausta yhdessä palveluntarjoajan kanssa ja tällä hetkellä on syytä epäillä hyökkääjän saaneen käsiinsä mahdollisesti asiakkaisiin liittyvää tietoa. Kerromme lisää tutkinnan edetessä.
Olemme tehneet tapauksesta rikosilmoituksen, ilmoituksen tietosuojavaltuutetulle sekä Traficomin Kyberturvallisuuskeskukselle
Yhteystiedot: esimerkki@organisaatio.fi