Tietoverkkorikosten torjunta yhteistyössä on voimaa

Transkriptio

1 Tietoverkkorikosten torjunta yhteistyössä on voimaa Opas tietoturvallisuuden kehittämiseksi

2 Tämän oppaan tarkoitus 2 Tietotekninen kehittyminen on mahdollistanut uusia, entistä tehokkaampia tapoja käsitellä ja siirtää suuria tietomääriä. Monikansallisista yrityksistä on tullut globaalin talouden keskeisiä toimijoita. Globaalitaloudessa kansainväliset riskit kasvavat myös yrityksen koosta riippumatta. Riski liittyy muun muassa haavoittuviin tieto-, tele- ja energiaverkkoihin. Maailmanlaajuinen tietoverkko mahdollistaa myös entistä vakavamman rikollisen toiminnan. Rikollisten taidot murtautua järjestelmiin ovat kehittyneet jatkuvasti nopeammin kuin tietokoneiden kyky estää automaattisesti luvattomat tunkeutumiset. Taustalla vaikuttaa yhä useammin järjestäytynyt rikollisuus. Oppaan on tarkoitus auttaa yrityksiä ja muita organisaatioita varautumaan tietoverkkorikoksiin ja minimoimaan mahdollisen tietoverkkorikoksen aiheuttama haitta. Poliisin ja yritysmaailman välistä yhteistä kieltä ja ymmärrystä tarvitaan erityisesti kriisitilanteissa, joissa yritys on päättänyt kääntyä poliisin puoleen. Tietoverkkorikollisuudella tarkoitetaan tässä yhteydessä seuraavanlaisia tekoja: 1. tekoja, joilla pyritään estämään tietoliikennettä (esim. kotisivuille) 2. tekoja, joissa tunkeudutaan tai valmistellaan tunkeutumista yrityksen sähköiseen ympäristöön (tietoverkko, tietojärjestelmät, sähköpostitilit, kotisivujen suojatut osat ym.) 3. tekoja, joilla aiheutetaan vahinkoa 4. tekoja, joilla otetaan oikeudettomasti haltuun yrityksille kuuluvia tietoja tai viestejä. Kriisitilanteita tai niihin varautumista varten yritykset voivat laatia tietoturvallisuussuunnitelman, jossa on mahdollista käsitellä yrityksen haluamalla tavalla yrityksen tietotekninen ympäristö, vastuukysymykset ja esimerkiksi yhteistyö poliisin kanssa. Etukäteen harkitulla toiminnalla on mahdollista helpottaa myös poliisin suorittaman esitutkinnan aloittamista ja todisteiden keräämistä. Yhteisenä päämääränä voidaan pitää työympäristöä, jossa kaikki tietorikokset voidaan selvittää ja tekijät löytää. Jos kiinnijäämisen riski kasvaa, rikokseen syyllistymisen kynnys nousee. Tällä oppaalla ei ole tarkoitus vaikuttaa yrityksen ja tietoturvallisuusalan palveluntarjoajan välisiin tietoturvallisuussopimuksiin tai niiden sisältöihin, vaan ainoastaan tietoturvallisuustyön kehittämiseen ja vakavan verkkorikollisuuden torjumiseen. CERT.FI on Viestintäviraston alaisuudessa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. Poliisi, kuten tämä opaskin, keskittyy rikosten ennaltaehkäisyyn ja esitutkintaan. KUN KAIKKI TYÖYHTEISÖN JÄSENET TIETÄVÄT, MITÄ TEHDÄ TIETOVERK- KORIKOKSEN TAPAHTUESSA, OSA VAHINGOISTA VOIDAAN VÄLTTÄÄ JA MAHDOLLISEN RIKOSPROSESSIN EDELLYTTÄMÄ TODISTUSAINEISTO SAADA TALTEEN.

3 Sisältö A. Varautuminen Tietoturvallisuussuunnitelma Käyttöoikeuksien tunnetuksi tekeminen Milloin on suositeltavaa ottaa yhteys viranomaiseen? Lokitiedostojen turvaaminen Tietoverkkorikoksesta koituvien kustannusten mittaaminen... 8 B. Tietoverkkorikoksen tapahduttua tai sellaista epäiltäessä Kun havaitaan tietoverkkorikos tai rikosta epäillään Kun tietoverkkorikos on tapahtunut Kun asiasta on tehty rikosilmoitus Digitaalisen todistusaineiston käsittely C. Poliisin ja yrityksen välinen tietoturvallisuusyhteistyö Viranomainen Yrityksen velvollisuudet Julkisuuskysymykset tietoturvallisuusyhteistyössä

4 A. Varautuminen Työnantaja varmistaa, että kaikki yrityksen työntekijät tuntevat tietoturvallisuussuunnitelman. TAVOITE: Kaikki työyhteisön jäsenet tietävät, mitä tehdä tietoverkkorikoksen tapahtuessa. Yritys voi pyytää tietoturvasuunnitelman laatimisessa tarvitsemaansa asiantuntija-apua paikalliselta poliisiviranomaiselta ja/tai viestintäviraston tietoturvayksiköltä CERT.FI:ltä (ks. kohta B / Tavoite / HUOM!). 1. Tietoturvallisuussuunnitelma Yrityksessä laaditaan tietoturvallisuussuunnitelma, jossa määritellään työyhteisön tietotekninen maailma, arkkitehtuuri ja vastuuhenkilöt. Suunnitelmassa käsitellään yrityksen turvallisuusjärjestelyt ja annetaan henkilöstölle ohjeet niin työkuin kotikoneen käyttöön liittyvissä tietoturvallisuuskysymyksissä. Tietoturvallisuussuunnitelmassa on hyvä määritellä seuraavat kohdat: Johdon tehtävät, velvollisuudet ja vastuut? Tietoturvallisuuden parissa työskentelevien henkilöiden tehtävät, velvollisuudet ja vastuut? Muun henkilöstön velvollisuudet ja vastuut? Jokaisen yrityksen työntekijän on tiedettävä, kehen hän tietoturvallisuusriskin havaitessaan ottaa yhteyttä. Tietoturvallisuussuunnitelmassa on hyvä tuoda esille myös, keiden tulos- ja kehityskeskusteluissa käsitellään tietoturvallisuuteen liittyvät muutokset ja vastuukysymykset. Yritys huolehtii siitä, että työntekijän henkilökohtaisesta käyttäjätilistä huolimatta tietokoneen käyttöä voidaan selvittää jälkeenpäin. Työnantajan selvitysoikeudet on hyvä määritellä tietoturvallisuussuunnitelmassa. Tietoturvasuunnitelmassa olisi hyvä huomioida myös seuraavat: a. Laatikaa suunnitelma siitä, kuinka tietoverkkorikoksen paljastumiseen tulisi reagoida. Määritelkää, mitä tehdään, jos rikos on meneillään. Entä kun se on loppunut? Mitkä asiat hoidetaan organisaation sisällä, milloin tarvitaan poliisia? Määritelkää kuka tekee minkäkin toimenpiteen. 4

5 b. Ylläpitäkää listaa viruksentorjuntaohjelmista, palomuureista ja muista turvallisuusjärjestelyihin liittyvistä ohjelmista ja niiden päivityksistä. c. Ylläpitäkää listaa sellaisista yrityksen yhteistyökumppaneista, joilla on pääsy järjestelmään. Kuvatkaa yhteistyökumppanin oikeudet. d. Huolehtikaa, että yrityksenne tietoteknisen ympäristön edellyttämä varmuuskopiointi on ajan tasalla. e. Harjoitelkaa toimintaa poikkeus- ja rikostilanteissa. 5

6 2. Käyttöoikeuksien tunnetuksi tekeminen Tietoturvallisuussuunnitelman tulisi olla kaikkien työntekijöiden tiedossa ja yhdessä hyväksymä, tavallaan yhteiset pelisäännöt. Esimiehen ja alaisen tulisi käydä tietoturvallisuuteen liittyvät muutokset läpi esimerkiksi tulos- ja kehityskeskustelujen yhteydessä. Yrityksen tietoturvallisuussuunnitelma on tarkoituksenmukaista myös päivittää tulos- ja kehityskeskustelukierroksen jälkeen. Tulos- ja kehityskeskusteluissa tai vastaavissa esimiehen ja alaisen välisissä keskusteluissa olisi syytä käsitellä ainakin seuraavat asiat: a. Luvallinen käyttö: Työkoneet voivat olla yksinomaan tai pääasiassa työkäyttöön tarkoitettuja. Jos asiasta sovitaan, voi olla sallittua hoitaa myös yksityisiä asioita työkoneelta käsin. Tärkeintä on, että kaikki ovat tietoisia pelisäännöistä. Säännöt on syytä määritellä tietoturvallisuussuunnitelmassa. b. Luvaton käyttö: Työntekijä ei saa esimerkiksi levittää salasanoja ulkopuolisille eikä sellaisille yrityksen työntekijöille, jotka eivät tarvitse niitä varsinaiseen työntekoon lähettää sopimattomia viestejä tai käydä sopimattomilla sivuilla ilman lupaa kirjautua sisään muiden työntekijöiden tietokoneille tai yrittää saada käsiinsä hänelle kuulumatonta tietoa asentaa tai levittää laittomasti kopioituja tai järjestelmän toimivuutta häiritseviä ohjelmia tai viruksia liittyä vertaisverkkoon, jonka kautta ulkopuoliset voivat kopioida tiedostoja yrityksen työkoneelta HUOM! Osa yllä mainituista toimenpiteistä saattaa täyttää myös rikoksen tunnusmerkistön. 6

7 3. Milloin on suositeltavaa ottaa yhteys viranomaiseen? Toimi ensisijaisesti kohdan B / Tavoite mukaan. CERT.FI:llä on ympärivuorokautinen päivystys. Heillä on myös asiantuntemus erottaa erilaiset tietoturvallisuuden ongelmat ja häiriöt varsinaisista rikoksista. CERT.FI suosittelee yrityksen yhteydenottoa poliisiin silloin, kun katsoo sen tarpeelliseksi. Tietoturvallisuussuunnitelmasta on ilmettävä, miten yritys hoitaa poikkeus- ja rikostilanteet sekä kuka päättää mahdollisen rikosilmoituksen tekemisestä. On huomattava, että poliisinkin kanssa voidaan sopia siitä, että yhteyshenkilöön voi olla yhteydessä myös ilman rikosilmoituksen tekemistä. Suunnitelmasta on myös ilmettävä, kehen oman yrityksen henkilöön yksittäisen työntekijän on otettava yhteys havaitessaan rikoksen tai epäillessään sellaisen olevan valmisteilla. Seuraavassa on esimerkkejä rikoksista ja ongelmista, jotka olisi syytä käsitellä tietoturvallisuussuunnitelmassa ja joista tulisi aina ilmoittaa viranomaisille. palvelunestohyökkäykset (eli järjestelmän lamauttaminen suurella määrällä viestejä) huijaustarkoituksissa tietoliikenteen ohjaaminen kotisivujen sijaan rikollisten laatimille sivulle tietomurtotyyppiset tunkeutumiset ja luvaton kirjautuminen sekä luvaton tietokoneviruksen levittäminen IT-resurssien tuhoaminen, liikesalaisuuksien tai henkisen omaisuuden varastaminen sekä sähköpostiviestien ja muiden viestien varastaminen lapsipornon hallussapito (vaikka ei liity yritystoimintaan, saattaa tietojärjestelmiin erinäisistä syistä tallentua materiaalia, jonka hallussapitokin on rangaistavaa). HUOM! Myös järjestelmänvalvoja, jolla on mahdollisuus kirjautua kaikille koneille, voi syyllistyä rikokseen, jos kirjautumisen syynä on halu päästä käsiksi salaisiin tietoihin. Toimenkuvansa mukaisessa ylläpitotehtävässä järjestelmänvalvoja ei syyllisty rikokseen. 7

8 4. Lokitiedostojen turvaaminen Yrityksen tietojärjestelmän tulisi automaattisesti kirjata kaikki tapahtumat lokitiedostoihin. Näitä tietoja voidaan tarvita epäselvyyksien ilmaantuessa. Yrityksen tulee varmistaa, että lokitiedostot eivät tuhoudu, vaikka järjestelmä kaatuu (erillinen lokipalvelu). Varmuuskopioita tulee tehdä jatkuvasti, ja näitä on säilytettävä muualla kuin itse järjestelmässä, esimerkiksi erillisellä tietokoneella. 5. Tietoverkkorikoksesta koituvien kustannusten mittaaminen Tietorikoksista ja tietoverkkorikoksista voi syntyä monenlaisia kustannuksia. Korvausten saamisen kannalta on tärkeää voida perustella arviot vahinkojen suuruudesta, sillä vakuutusyhtiöt ja tuomioistuimet tarvitsevat faktoja päätöksensä perusteiksi. Myös järjestelmässä olevan tiedon arvo on määriteltävä (sisältäen tuotantokustannukset). Onko jokin kone tai ohjelma vaihdettava uuteen? Kuinka monta työtuntia meni järjestelmän palauttamiseen entiselleen? Kuinka kauan ohjelmien asentaminen ja varmuuskopioiden siirtäminen kesti? Mitkä olivat järjestelmän korjaamisen aiheuttamat kustannukset? Ketkä eivät voineet työskennellä ollenkaan tai hyvin vähän normaalin työympäristön lamaannuttua? Kuinka monta työtuntia menetettiin? Minkälaisia epäsuoria kustannuksia syntyi? Kuinka paljon voittoa menetettiin? Tuhoutuiko arvokkaita tiedostoja, joista ei ollut olemassa varmuuskopioita? HUOM! Varsinkin epäsuorien kustannusten suuruus on perusteltava huolellisesti. Yrityksen on hyvä varautua määrittelemään erilaisten rikosten tai muiden ongelmien aiheuttamat vahingot eli taloudellinen tappio. Ne voivat olla arvioituja tai perustua kokemukseen: 8

9 B. Tietoverkkorikoksen tapahduttua tai sellaista epäiltäessä TAVOITE: Tietoverkkorikoksen aiheuttama haitta minimoidaan; kiinnijäämisriski kasvaa ja rikoksiin syyllistymiskynnys nousee. HUOM! Kun yritys kohtaa tässä ohjeessa kuvattuja tekoja tai tapahtumia, joihin yrityksen johto tai vastuullinen työntekijä epäilee liittyvän rikoksen, on yrityksen ensisijaisesti otettava yhteys Viestintäviraston tietoturvayksikköön CERT.FI:hin. Yksikön sähköpostiosoite on ja puhelinnumero Yksikkö palvelee 24 tuntia vuorokaudessa. Jos CERT.FI havaitsee, että kysymyksessä on rikos, antaa se yritykselle ohjeet jatkotoimenpiteistä. 1. Kun havaitaan tietoverkkorikos tai rikosta epäillään Tietoturvallisuussuunnitelmaa ja CERT.FI:n ohjeita noudattaen kun rikos on meneillään, on järjestelmästä vastaavan päätettävä, katkaistaanko yhteys Internetiin vai seurataanko tilannetta on dokumentoitava kaikki tapahtumat sekä myös, kuka tekee mitäkin. Tietoja voidaan tarvita tutkintavaiheessa. 2. Kun tietoverkkorikos on tapahtunut Tietoturvallisuussuunnitelmassa olisi hyödyllistä käsitellä muun muassa seuraavanlaisia asioita: Minkälaisista rikoksista saattaa olla seurauksena poliisin suorittama esitutkinta, koska silloin jo alkutoimenpiteiden dokumentoinnin tulee olla luotettavaa? Milloin ja keiden toimesta on aloitettava sisäinen tutkinta sekä miten suoritetut toimenpiteet ja puhuttelut on dokumentoitava (esim. kirjaamalla ne muistiin)? on turvattava kaikki järjestelmän tallentamat lokitiedostot 9

10 Kenen tai keiden tehtävänä on laatia luettelo kaikista järjestelmän käyttäjistä? Heidän on tehtävä erillinen luettelo myös uusista käyttäjistä sekä niistä, joilla ei enää ole käyttöoikeutta. Luetteloon on otettava mukaan myös yrityksen ulkopuoliset luvalliset käyttäjät. Kenen tai keiden tehtävänä on laatia luettelo niistä henkilöistä ja organisaatioista, joiden kanssa työntekijät ovat olleet yhteydessä? Luettelossa on otettava erityisesti huomioon yhteydet ulkomaille, sillä monet tietoverkkorikokset ja tietorikokset liittyvät kansainväliseen rikollisuuteen ja tietoliikenteeseen. Huom! Tällaisten luetteloiden laatimisessa toimenpide voi kohdistua suureen määrään yrityksen henkilöstöä koskevia tietoja, joilla ei ole mitään tekemistä rikoksen kanssa. Kyse voi siten olla arkaluontoisten tietojen keräämisestä, jota on rajoitettu lainsäädännössä. Poliisin kanssa on syytä tarpeen mukaan sopia, minkälaisia sisäisiä tutkintatoimia ja tutkintamenetelmiä epäillyn rikos- tai väärinkäytöstapauksen johdosta voidaan yksittäistapauksessa käyttää. Kenen tehtävänä on tarkistaa VPN/ LAN/WAN-yhteydet sekä kaikki muut yhteyspisteet (Network Access Points)? Kenen tehtävänä on kopioida tiedot kaikista tietorikoksen tai tietoverkkorikoksen aiheuttamista haitoista ja niistä aiheutuneista valituksista ja reklamaatioista? Kenen tai keiden tehtävänä on kirjoittaa muistiin laitteiden aikaleimat? Aikaleimat poikkeavat usein toisistaan, ja siksi tietoverkkorikosta tutkittaessa voi sekunneillakin olla suuri merkitys! Jos jokin tietokone sijaitsee ulkomailla, on aikaero otettava huomioon. Keiden on selvitettävä, mitä on tapahtunut rakennuksessa ennen rikosta sekä missä eri työntekijät tai muut mahdolliset henkilöt ovat silloin sijainneet? Myös kulunvalvontajärjestelmä on hyvä huomioida tietoturvallisuussuunnitelmassa. Kenen tai keiden tehtävänä on määritellä mahdollisten haittojen rahallinen arvo? 10

11 3. Kun asiasta on tehty rikosilmoitus Tietoturvallisuussuunnitelmassa on mainittava, kehen yrityksen henkilökuntaa kuuluvaan poliisi voi ottaa yhteyttä. Esimerkkejä poliisin esittämistä kysymyksistä: a) Henkilöt Kuka huomasi rikoksen? Kenelle asiasta on kerrottu? Kuka tai mikä taho voisi mahdollisesti olla syyllinen? Mistä niin voidaan päätellä? b) Tapahtumat Mikä sai teidät kiinnittämään huomionne rikokseen (riippumatta siitä, milloin se tapahtui)? Mitä olette tähän asti tehneet? Dokumentoikaa poliisin yhteydenottoa silmälläpitäen tekemänne toimenpiteet kirjallisessa muodossa ja/tai valokuvaamalla. Mitä todisteita teillä on tapahtuneesta? Mitä elektronista todistusaineistoa on saatu talteen? Onko jotakin tuhoutunut ja jos on, niin mitä ja mistä syystä? Onko järjestelmässä rootkit-ohjelmia (joita käytetään, voidaan käyttää tai on käytetty rikokseen ja/tai sen jälkien siivoamiseen)? Onko lokitiedostoista ilmennyt jotakin epätavallista? Mikä on järjestelmän tila? Mitä tunkeilija teki? Mikä oli hänen päämääränsä? Syntyikö vahinkoja ja jos syntyi, niin minkälaisia? Minkälaisia käyttöoikeuksia tekijä on käyttänyt? Riittivätkö peruskäyttöoikeudet, vai tarvittiinko esimerkiksi järjestelmänvalvojan oikeudet? Mikä oli tekijän sisäinen tai ulkoinen IP-osoite? Kuinka tietokoneet on kytketty toisiinsa? c) Ajankohdat Mitä tapahtui rikoksen missäkin vaiheessa (tapahtumien kronologinen järjestys)? Milloin rikos alkoi? Miten ajankohta on määritelty? Milloin huomasitte rikoksen? Kuka, missä, miten ja milloin? 11

12 12 Onko järjestelmä vielä käynnissä? Onko se jossain vaiheessa ollut pois päältä ja jos on ollut, niin miksi? Jatkuuko rikos vieläkin tai missä vaiheessa ja miten se päättyi? 4. Digitaalisen todistusaineiston käsittely Tietoturvallisuussuunnitelmassa on erityisesti huomioitava digitaalisen todistusaineiston käsittelyä koskevat ohjeet, olipa sitten kysymys sisäisestä tutkinnasta tai asiasta, josta tullaan todennäköisesti tekemään rikosilmoitus. Jotta sähköisessä muodossa olevaa aineistoa voidaan käyttää todistusaineistona, se on tallennettava ja suojattava luotettavalla tavalla. On huomattava, että parhaat käytännöt muuttuvat ohjelmistojen kehittyessä ajan myötä. Seuraavaksi käsittelemme yleisesti asioita, jotka tulisi huomioida digitaalista todistusaineistoa käsiteltäessä. Kun tietorikos tai tietoverkkorikos on huomattu, on keskityttävä teon tekemisen kannalta olennaisiin tietoihin, kirjattava ne ylös ja dokumentoitava. Kaikki omat toimenpiteet on kirjattava muistiin, sillä ne voivat vaikuttaa aineistoon ja sen myöhempään arviointiin. Yrityksen omista toimista johtuvat jäljet eivät saa sekoittua rikollisen jälkiin, sillä sekoittuminen vaikeuttaa luotettavaa todistelua. a) Mikä aineisto on tutkinnan kannalta olennaista? Mistä olennainen tieto löytyy? Perustelut sille, mitä pidetään olennaisena ja mistä syystä. Ovatko tiedostot kirjoitussuojattuja ja vakaita, vai onko olemassa muuttumisen riski? Olennaista dataa voi löytyä kovalevyjen lisäksi muistitikuilta, CD-levyiltä, kännyköistä ja digitaalikameroista. b) Kuinka todistusaineisto eristetään ja turvataan? Todistusaineistoksi tarkoitettu data ei saa muuttua. Se on tallennettava mahdollisimman alkuperäisessä muodossa. Jos aineistoa on kuitenkin käsitelty tai muutettu, on kaikki voitava jäljittää asiaa koskevasta dokumentoinnista. Tallentakaa kaikki data sekä järjestelmään että sen ulkopuolelle. KAIKKI TOIMENPITEET ON DOKUMENTOITA- VA. KUKA TEKI, MITÄ TEKI, MILLOIN TEKI JA MIKSI TEKI? TOIMEN- PITEET ON KIRJATTA- VA MUISTIIN JA ESIM. VALOKUVATTAVA.

13 c) Kuka tutkii tapausta? Digitaalisen aineiston tutkiminen vaatii erityisosaamista. Tilanteesta riippuen alustava tutkinta tai selvitystyö voidaan suorittaa organisaation sisällä tai mahdollisesti ulkopuolisten avustuksella. Seuraaviin perusvaatimuksiin on yrityksen kuitenkin hyvä varautua: 3. Sisäinen tutkinta Minkälainen asiantuntemus vaaditaan sisäisen tutkinnan suorittajilta? Myös sisäisen tutkinnan tulee lähteä avoimesta syyllisyysajattelusta sekä todisteiden luotettavasta talteenotosta ja käsittelystä. 4. Sisäinen tutkinta ulkopuolisten asiantuntijoiden avulla Kenellä on tarvittava asiantuntemus? Tarvittaessa on keskusteltava asiasta viranomaisen kanssa. Onko organisaatio valmis jakamaan ulkopuolisen kanssa kaiken sen tiedon, joka voi käydä ilmi digitaalisen todistusaineiston sisällöstä tai sen tutkinnan tai talteenoton yhteydessä (huomioitava myös vakuutusyhtiöiden datapalautuspalvelut)? 5. Poliisin suorittama esitutkinta Mikä yksikkö tutkii? Ketkä ovat yrityksen ja poliisin yhteyshenkilöt? Mahdollisen sisäisen tutkinnan tietojen käyttäminen. Onko yrityksellä olemassa muuta mahdollisesti tärkeää aineistoa, josta poliisi ei ole vielä kysynyt? Miten sen kanssa menetellään? 13

14 C. Poliisin ja yrityksen välinen tietoturvallisuusyhteistyö 1. Viranomainen Tietoturvallisuussuunnitelmaa laatiessaan on yrityksen suositeltavaa olla yhteydessä paikalliseen poliisilaitokseen ja selvittää yhteystiedot niiden tapausten varalle, joissa CERT.FI suosittelee rikostutkinnan käynnistämistä tai yritys ottaa suoraan yhteyden poliisiin. 2. Yrityksen velvollisuudet Henkilöstön erilaisten toimenpiteiden laillisuuskysymykset yrityksen on hyvä määritellä tietoturvallisuussuunnitelmassa. Samalla voidaan määritellä myös, miten yritys toimii väärinkäytösten ilmitullessa. Tietoturvallisuussuunnitelmaan voidaan kirjata myös, että epäselvissä tai muutoin arkaluontoisissa tapauksissa yritys keskustelee viranomaisen kanssa ennen toimenpiteistä päättämistä. Laittomuuksia on varottava, koska virheelliset toimet saattavat alentaa myös taltioitavan digitaalisen todistusaineiston arvoa. 3. Julkisuuskysymykset tietoturvallisuusyhteistyössä Yrityksen kannalta oleelliset julkisuus- ja salassapitoperiaatteet on syytä kirjata tietoturvallisuussuunnitelmaan. Samalla on hyvä määritellä myös poliisin ja yrityksen välisen kanssakäymisen periaatteet ja julkisuus. Lähtökohtaisesti poliisin ja CERT.FI:n kanssa voi keskustella yrityksen kannalta arkaluonteisistakin ongelmista tekemättä rikosilmoitusta. Tällaiset tiedot eivät päädy julkisuuteen. Esitutkinnan ollessa käynnissä tiedottamisesta vastaa tutkinnanjohtaja tai hänen esimiehensä tai esimiehen määräämä muu virkamies. Tietoturvallisuussuunnitelmassa voidaan sopia, että yrityksen ja poliisin välistä kanssakäymistä koskevissa kysymyksissä tiedottamisesta vastaa aina paikallinen päällystöyhteyshenkilö. Asiat on hyvä käsitellä tietoturvallisuussuunnitelmassa, jonka laadinnassa on syytä muistaa, että poliisin lisäksi ongelmaasioiden käsittelyssä voi apua saada myös CERT.FI:n sivuilta tai sen asiantuntijoilta sekä tietosuojavaltuutetun toimistosta. 14

15 Kiitokset: Keskuskauppakamari Lakimies Pekka Paasonen Tietosuojavaltuutetun toimisto Ylitarkastaja Heikki Partanen Viestintävirasto Kehityspäällikkö Jarkko Saarimäki Sisäasiainministeriön poliisiosasto Johtaja Erkki Hämäläinen Keskusrikospoliisin tutkintaosasto Rikoskomisario Timo Piiroinen 15

16