Kyberharjoitusskenaariot: tietovuodot

Henkilötietojen tietovuoto

Tietosuojaan liittyvät prosessit ja viestinnän merkitys tietovuototapauksessa.

Skenaario

Tunnetun lehden toimittaja soittaa ja kertoo, että verkossa on esitystenjakopalvelussa ladattavissa organisaation sisäinen PowerPoint-esitys, johon on liitetty Excel-taulukko.

Taulukkoa muokkaamalla siitä paljastuu henkilöstöä koskevia arkaluontoisia tietoja, muun muassa palkka- ja työsuhdeasioihin liittyviä yksityiskohtia.

Tiedostoa on ladattu sivuston mukaan 127 kertaa.

Soveltaminen

Skenaario soveltuu tietovuotoon ja tietosuojaan liittyvien prosessien harjoitteluun. Skenaariossa korostuu myös ulkoisen ja sisäisen viestinnän merkitys. Taustalla on vahingossa verkkoon ladattu dokumentti, jota ei ole sanitoitu huolellisesti.

Lisähaaste

Vuotaneet tiedot sisältävät erittäin arkaluontoisia tietoja työntekijöistä, kuten terveystietoja. Joukossa on myös asiakkaiden liikesalaisuksiina pidettäviä tietoja.

Julkinen tietokantavuoto

Alihankintaketjuihin liittyvien vastuiden määrittelyt ja sopimussisällöt sekä yrityssalaisuuden suojaaminen.

Skenaario

Organisaation viestintä saa kyselyn tunnetun lehden toimittajalta internetin keskustelupalstoilla leviävistä mahdollisista organisaation asiakastiedoista. Selvityksen jälkeen ilmenee, että tiedot ovat peräisin yrityksen tietokannasta. Tietokantaa ylläpitää palveluntoimittaja. Tietokantaa hyödyntää organisaatio itse sekä kaksi organisaation asiakasta. Kaikilla kolmella on tietokantaan täydet oikeudet.

Soveltaminen

Skenaario alkaa tilanteesta, jossa tietojen lähde tunnetaan, mutta vuotokohta on epäselvä. Skenaarion avulla voidaan harjoitella monen käyttäjän järjestelmän suojaamiseen liittyviä seikkoja. Skenaariossa korostuu myös yhteisen tietoturvapolitiikan ja -ohjeiden noudattaminen monen toimijan ympäristössä.

Lisähaaste

Tietokantapalvelimien lokit ulottuvat vain kolmen viikon päähän, mutta data vaikuttaa vanhemmalta. Muut tietokantaa käyttävät tahot käyttävät EU:n ulkopuolisia maita palvelujen toteuttamiseen.

Käytöstä poistettu monitoimilaite

Laitehallintaan ja tietosuojaan liittyvät prosessit tietoteknistenlaitteiden koko elinkaaren ajalla.

Skenaario

Yrityksen tulostamiseen ja skannaukseen käytetty monitoimilaite uusitaan. Vanha monitoimilaite myydään edelleen käytettyjä toimistotarvikkeita välittävän yrityksen kautta. Monitoimilaitteen kiintolevyä ei ollut tyhjennetty tietoturvallisesti. Keltaisessa mediassa julkaistaan uutinen, jossa paljastetaan yrityksen luottamuksellisia dokumentteja löytyneen internetin keskustelupalstoilta. Yksittäinen kansalainen on ostanut käytetyn laitteen ja tutkinut sen kovalevyn, jolta löytyneitä skannattuja ja kopioituja dokumentteja on jaettu verkossa.

Soveltaminen

Skenaariossa käsitellään tiedon turvalliseen hävittämiseen liittyviä asioita. Lisäksi skenaariossa käsitellään tapausta, jossa yrityksen sisäisiä dokumentteja vuotaa julkisuuteen.

Lisähaaste

Skannausten joukossa on runsaasti henkilökunnan arkaluontoisia tietoja, kuten terveystietoja. Osa työntekijöistä on kopioinut henkilökohtaisia papereitaan, joista ilmenee arkaluontoisia tietoja. Osassa tiedoista on työntekijän rikokseen viittaavaa sisältöä.

Tietojen jakaminen sosiaalisessa mediassa

Henkilöstön tietoturvaan ja tietosuojaan liittyvä koulutus sekä viestintään liittyvät säännöt.

Skenaario

Organisaatiolla on pitkään ollut avoimen viestinnän kulttuuri ja työntekijät ovat mm. ”somettaneet” aktiivisesti työhön ja työyhteisöön liittyviä asioita. Viime aikoina organisaation avainhenkilöt ovat saaneet henkilökohtaisilla some-kanavillaan paljon omituisia seuraajia ja tiedusteluja työasioihin liittyen. Kohdistettu tietojenkalastelu on lisääntynyt voimakkaasti. Henkilökunnan käyttämillä pikaviestikanavilla ei ole aktiivista käyttäjävalvontaa, vaikka siellä keskustellaankin työasioista. Kilpailijat ovat viime aikoina vieneet tarjouskilpailuja viime metreillä ja organisaation työntekijöitä on rekrytoitu kilpailijoiden palvelukseen paremmalla palkalla.

Soveltaminen

Skenaario soveltuu tietovuotoon, jossa organisaation työntekijät itse jakavat tarpeettoman paljon tietoa omasta työyhteisöstään ja työasioistaan niin, että se haittaa liiketoimintaa. Skenaariossa korostuvat organisaation sisäisen ja ulkoisen viestinnän säännöt ja rajoitteet, sekä ymmärrys liikesalaisuuden piiriin kuuluvasta tiedosta ja sen levittämisestä.

Lisähaaste

Organisaatiota vastaan on tehty rikosilmoitus yrityssalaisuuden loukkauksesta. On ilmennyt, että työntekijät ovat vuotaneet sosiaalisen median kanavilla NDA:n alaisia tietoja sopimuksiin liittyen.

Maksujärjestelmän tietovuoto

Alihankintasopimusten sisältö ja vastuut sekä tietoturvapoikkeamatilanteen hallintaprosessit.

Skenaario

Organisaatio saa kiristysviestin, jossa uhataan maksujärjestelmässä olevien asiakastietojen julkaisulla. Asiaa aletaan tutkimaan tarkemmin ja ilmenee, että maksetut laskut ovat ohjautuneen väärille ulkomaisille tileille jo jonkin aikaa. Tapahtumien alku näyttäisi sijoittuvan uuden maksujärjestelmän käyttöönottoon. Maksujärjestelmä tilattiin ulkopuoliselta konsultilta, jonka asiaan liittyvä toimeksianto on päättynyt kuusi kuukautta sitten.

Soveltaminen

Skenaario alkaa tilanteesta, jossa aletaan tekemään kiristykseen liittyvää uhka-arviota. Myöhemmin ilmenee, että kiristys oli ehkä vain hämäystä, jolla peiteltiin rahavirtojen ohjausta väärille tileille. Skenaarion tarkoituksena on harjoitella sopimuksiin ja turvalliseen tuotekehitykseen liittyviä prosesseja. Se ilmentää myös dokumentaation merkityksellisyyttä pitkän ajan jälkeen ongelmia selvitettäessä.

Lisähaaste

Tietosuojan piirissä olevia asiakastietoja julkaistaan Pastebinissä.

Tietomurto

Tietomurron tutkiminen ja tietosuoja.

Skenaario

Organisaatiossa havaitaan tietomurto ja sen hallinnoimia arkaluontoisia asiakastietoja on vuotanut vääriin käsiin. Tekijän kiristää organisaatiota uhkaamalla julkaista tiedot jos lunnasvaatimusta ei täytetä. Tietomurtoa tutkittaessa ilmenee, että tietoja viety usealla eri kerralla viimeisen kahden vuoden aikana. Haasteena lieneekin nyt on selvittää, että mitä on tapahtunut missäkin vaiheessa.

Soveltaminen

Skenaariossa käsitellään lokien hallintaa ja tutkimisen haasteita sekä organisaation teknistä kyvykkyyttä löytää tekijän jättämiä jälkiä omista tietojärjestelmistä. Skenaario myös testaa organisaation prosesseja ja toimintaa epäillyssä rikostapauksessa, jonka tekijä on ainakin toistaiseksi tuntematon.

Lisähaaste

Tietovuoto paljastuu medialle ja organisaatiolta odotetaan nopeita vastauksia kysymyksiin, kuka on teon takana ja mitä asialle aiotaan tehdä.

Tietoja sähköpostilla väärään osoitteeseen

Tietoturva ja organisaation salasanojen hallintaan liittyvät prosessit.

Skenaario

Organisaation tietohallinto lähettää tahattomasti työntekijöiden käyttäjätunnukset ja salasanat sähköpostilla väärään osoitteeseen organisaation ulkopuolelle. Asiaa selvitettäessä ilmenee, että samainen tietohallinnon työntekijä on aiemminkin lähettänyt arkaluontoisia tietoja samaan osoitteeseen, koska luuli sen kuuluvan toiselle henkilölle.

Soveltaminen

Skenaariossa tarkastellaan tahattoman sisäisen tietovuodon käynnistämää prosessia organisaatiossa. Tapahtumaa voi soveltaa miettimällä työntekijöiden oma-aloitteisuutta tietovuodon ilmoittamisessa, jos vuotanut tieto olisikin vähemmän sensitiivistä. Ilmoittaisivatko työntekijät tietovuodosta yhtä matalalla kynnyksellä, ja mitä he mainitsisivat ilmoituksessa?

Lisähaaste

Asiaa selvitettäessä ilmenee, että työntekijä on lähettänyt viestin omassa sähköpostiohjelmassa oikeaan osoitteeseen, mutta mitä ilmeisimmin sähköpostipalvelimella on haittaohjelma, joka muuttaa kohdeosoitteen.

Arkaluontoisen testidatan vuotaminen

Testausympäristöihin ja testaamiseen käytettävään tietoon liittyvät tietoturvakysymykset.

Skenaario

Ulkoiset toimijat ilmoittavat organisaatiolle verkossa olevasta palvelusta, jossa on saatavilla organisaation tietojärjestelmiin liittyvää testidataa. Testidata on muodostettu pohjautuen osittain oikeaan dataan ja sisältää muun muassa puhelinnumeroita sekä muuta henkilöllisyyttä yksilöivää tietoa, joita yhdistelemällä voidaan tehdä päätelmiä oikeasta tiedosta.

Soveltaminen

Skenaario soveltuu tietovuodon käsittelyyn ja arkaluontoisen tiedon kasautumisvaikutuksista muodostuvan uhkan realisoitumiseen. Skenaariossa harjoitellaan kehittämiseen liittyvän testauksen, tiedonhallinnan ja viestinnän prosesseja. Tarkoituksena on pohtia eri tietokantojen ja niiden sisältämien tietojen yhteyttä toisiinsa sekä tiedonjakamisprosesseja yhteistyötoimijoiden kanssa, sekä sitä, miten palvelujen elinkaariajattelu on organisaatiossa suunniteltu. Skenaariolla harjoitellaan myös hyökkäyspinta-alan pienentämistä, verkossa olevien palveluiden ja testausprosessien dokumentointia sekä päättämistä oikein.

Lisähaaste

Testattu palvelu ei ole kuulunut ylläpidettäviin palveluihin ja sen sovellusrajapinta on muuttunut haavoittuvaksi ajan myötä. Testipalveluun on myös ollut useita vuosia pääsy alihankkijoilla, jotka toimivat EU:n ulkopuolella.

Tietovuoto dokumentin metatiedoissa

Dokumenttien sisältämän metatiedon käsitteleminen tietoturvallisesti.

Skenaario

Organisaatio on koonnut tarjouspyyntöasiakirjaan ennen sen julkistamista taustatiedoksi ei-julkista tietoa, joka sisältää muun muassa historiatietoja ja kokemuksia potentiaalisista tarjouksen tekijöistä. Tarjous lähetetään eteenpäin word-muotoisena, jolloin yksi tarjoajista selvittää historiatiedoista dokumentin aiemmat muokkaukset ja saa sitä kautta kilpailuedun omaa tarjousta tehdessään.

Soveltaminen

Skenaario keskittyy dokumentin- ja tiedonhallintaan liittyvien prosessien tarkasteluun organisaatiossa. Skenaariossa korostuu eri ohjelmien toiminnan tunteminen ja tietoisuus niiden tallentamien metatietojen (ei-näkyvä-tieto) olemassaolosta ja leviämisen mahdollisesti aiheuttavasta tietoturvariskistä.

Lisähaaste

Tarjousasiakirjan mukana on myös henkilötietoja.