Ohje tietoturvaloukkaustilanteisiin varautumisesta



Samankaltaiset tiedostot
Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Abuse-seminaari

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Luottamusta lisäämässä

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Tietoja varastavat haittaohjelmat

Varmaa ja vaivatonta viestintää kaikille Suomessa

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Luottamusta lisäämässä. Toimintasuunnitelma

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Varmaa ja vaivatonta

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Fennian tietoturvavakuutus

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

VIESTINTÄVIRASTON SUOSITUS TUNNISTAMISTIETOJEN KÄSITTELYÄ KOSKEVIEN TIETOJEN TALLENTAMISESTA

Julkisen ja yksityisen sektorin yhteistyö kyberturvallisuudessa. Johtaja Kirsi Karlamaa

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Digital by Default varautumisessa huomioitavaa

Tietoverkkorikos, teenkö. rikosilmoituksen? rikosylikomisario Tero Muurman Keskusrikospoliisi, Kyberrikostorjuntakeskus

Lokitietojen käsittelystä

Lokipolitiikka (v 1.0/2015)

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Käyttöehdot, videokoulutukset

Electronic Frontier Finland ry

Sähköisen viestinnän tietosuojalain muutos

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Lomarengas Oy: henkilötietolain (523/1999) mukainen rekisteriseloste Päivitetty

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Varmaa ja vaivatonta viestintää

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

Sähköisen viestinnän tietosuojalaki

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

LSPeL Porin toiminta-alueen kevätseminaari

Tietoturvaa verkkotunnusvälittäjille

Abuse-seminaari Viestintävirasto Erka Koivunen Yksikön päällikkö CERT-FI

Viestinnän tulevaisuus

Varautumisen ohjeistus. Veli-Pekka Kuparinen valmiuspäällikkö

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Kyberturvallisuuden implementointi

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Mobiililaitteiden tietoturva

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa

Viestintävirasto Varmaa ja vaivatonta viestintää kaikille Suomessa

LOGHU3. Kokemuksia ja suosituksia

Informaatiovelvoite ja tietosuojaperiaate

Espoon kaupunki Tietoturvapolitiikka

TIETOSUOJASELOSTE ASIAKKAILLE

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Poikkeavat tapahtumat

Auditoinnit ja sertifioinnit

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

Laki. sähköisen viestinnän tietosuojalain muuttamisesta

Sosiaalisen median käyttöohje

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Määräykset 66 ja 67. Uudet määräykset teletoiminnan häiriötilanteista ja tietoturvasta

MyCashflow - verkkokauppapalvelun käyttöehdot

MÄÄRÄYKSEN 13 PERUSTELUT JA SOVELTAMINEN INTERNET-YHTEYSPALVELUJEN TIETOTURVASTA MPS 13

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Verkostoautomaatiojärjestelmien tietoturva

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

1) Miten määritellään viestintäpalvelun toteuttamisen vaarantuminen?

REKISTERISELOSTE Oikeudenloukkauksien selvittäminen ja tuomioiden ja sopimusten seuranta EU:n yleinen tietosuoja-asetus (2016/679) 14 artikla

MÄÄRÄYKSEN 9 PERUSTELUT JA SOVELTAMINEN TIETOTURVALOUKKAUSTEN ILMOITUSVELVOLLISUUDESTA YLEISESSÄ TELETOIMINNASSA

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Abuse-toiminnan ajankohtaiset ilmiöt

ESITYS IHMISKAUPAN UHRIEN AUTTAMISJÄRJESTELMÄÄN

TEEMME KYBERTURVASTA TOTTA

Yhteyshenkilö rekisteriä koskevissa asioissa. Henkilötietojen käsittelyn oikeusperuste. Henkilötietojen käsittelyn tarkoitus

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Lausunto liikenne- ja viestintäministeriölle Dnro 2006/71/

Kyberturvallisuuskeskus Toimintasuunnitelma

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

VALTIONEUVOSTON PERIAATEPÄÄTÖKSEN PERUSTELUMUISTIO KANSALLISESTA TIETOTURVASTRATEGIASTA Turvallinen arki tietoyhteiskunnassa Ei tuurilla vaan taidolla

TEEMME KYBERTURVASTA TOTTA

Esimerkki: Uhkakartoitus

Kajaanin kaupungin joukkoliikenteen Waltti- nettilatauspalvelun käyttöehdot

Organisaatioluvan hakeminen

Tietosuojaseloste. Sisältö

Transkriptio:

Ohje tietoturvaloukkaustilanteisiin varautumisesta 2.6.2010

Johdanto Ohjeessa esitellään yleisiä näkökohtia yritykseen kohdistuvien tietoturvaloukkaustilanteiden hallintaprosessien käyttöönottamisesta. CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. CERT-FI tarjoaa huoltovarmuuskriittisille toimijoille Huoltovarmuuskeskuksen kanssa solmitun sopimuksen mukaisesti tietoturvauhkien analysointipalveluita, tietoturvaloukkausten havainnointi- ja ratkaisupalveluita sekä koulutus- ja koordinointipalveluita. Lisätietoja CERT-FI:n toiminnasta ja sen yhteystiedot on osoitteessa www.cert.fi. Tietoturvaloukkauksella tarkoitetaan tilannetta, jossa organisaation, yrityksen tai yksityisen henkilön tietojärjestelmän tietojen käytettävyyttä, eheyttä tai luottamuksellisuutta muutetaan oikeudettomasti. Tietoturvaloukkaukset vaarantavat tai voivat estää kokonaan yrityksen liiketoiminnan jatkuvuuden esimerkiksi haittaamalla palvelun toimintaa tai vaarantamalla yrityksen arkaluontoisten tietojen luottamuksellisuuden. Yrityksen toiminnan jatkuvuuden kannalta on tärkeää, että yrityksen erilaisten tietoturvaloukkaustilanteiden sisäiset hallintaprosessit ovat kunnossa. Tällä tarkoitetaan ennalta tapahtuvaa varautumista erilaisiin loukkaustilanteisiin nimeämällä vastuuhenkilöt ja suunnittelemalla toimintamallit eri tietoturvaloukkaustilanteissa. Kuvassa 1 on esitettynä esimerkki tietoturvaloukkauksien hallinnointiprosessin etenemisestä. Tietoturvallisuuden hallintajärjestelmää on käsitelty yksityiskohtaisemmin muun muassa Viestintäviraston määräyksessä 47C/2009 M 1 ja sen perustelumuistiossa 2. 1. Roolien ja toimintojen tunnistaminen 2. Riippuvuuksien tunnistaminen 4. Tietoturvaloukkauksesta oppiminen 3. Toimintaprosessien suunnitteleminen Tietoturvaloukkausten hallintaprosessi 1 http://www.ficora.fi/attachments/suomiry/5jr9d3dp3/viestintavirasto47c2009m.pdf 2 http://www.ficora.fi/attachments/suomimq/5jr9pm179/mps47.pdf 2

Roolien ja toimintojen tunnistaminen Yrityksen on hyvä tunnistaa tietoturvaloukkauksille alttiit toiminnot, palvelut ja järjestelmät sekä näiden pääkäyttäjät. Tunnistamisen pohjalta voidaan osoittaa tietoturvaloukkaustilanteiden hallintaan vastuuhenkilöt ja toiminnan edellyttämät resurssit jo ennen loukkaustilanteen ilmenemistä. Näin voidaan turvata mahdollisimman tehokas toipuminen tietoturvaloukkauksista. Vastuualueiden jakautuminen on hyvä kuvata yrityksen sisäisessä dokumentissa. Kirjallinen dokumentaatio selkiyttää ja nopeuttaa toimintaa käytännön tilanteissa. CERT-FI:n tarjoamien tietoturvapalveluiden täysimääräiseksi hyödyntämiseksi on tärkeää, että CERT-FI:llä on käytettävissään ajantasainen ja ympärivuorokautisesti tavoitettavissa oleva yhteyspiste kriittisten tietoturvaloukkaustilanteiden varalle. Yhteyspiste mahdollistaa nopean ja tarkoituksenmukaisen toiminnan CERT-FI:n saatua tietoonsa yrityksen toimintaan vaikuttavan tietoturvaloukkauksen tai sen uhkan. Yhteyspiste voidaan ilmoittaa CERT-FI:lle sähköpostitse osoitteeseen CERT@ficora.fi. Riippuvuuksien tunnistaminen Suomalaisiin toimijoihin kohdistuvat tietoturvauhat ovat usein peräisin muista maista. Siten yrityksen palveluihin kohdistuvien tietoturvauhkien torjuminen edellyttää lukuisten erilaisten toimijoiden välistä saumatonta yhteistyötä. CERT-FI auttaa yrityksiä ratkaisemaan tietoturvaloukkauksia koordinoimalla ehkäisytoimenpiteiden edellyttämää yhteistyötä luotettaviksi havaitsemiensa kansallisten ja kansainvälisten yhteistyökumppaneiden kanssa. Koordinointityön edellytyksenä on se, että yritys ilmoittaa tietoturvaloukkauksesta tai sen uhkasta CERT-FI:lle. Ilmoituksen yhteydessä on syytä luovuttaa tarpeelliset tiedot tietoturvaloukkauksen selvittämiseksi ja määritellä voidaanko tietoja luovuttaa CERT-FI:n luotetuille yhteistyökumppaneille. Yritykseltä saatuja tietoja käsitellään aina luottamuksellisina ja niitä luovutetaan eteenpäin ainoastaan tiedot luovuttaneen yrityksen suostumuksella. Tietoturvaloukkauksesta tai uhkasta voi ilmoittaa CERT-FI:lle esimerkiksi Viestintäviraston verkkosivuilta löytyvällä ilmoituslomakkeella 3, sähköpostitse osoitteeseen CERT@ficora.fi tai puhelimitse numeroon 09 6966 510. Yrityksen on syytä tunnistaa myös muut omaan toimintaansa liittyvät keskeiset riippuvuudet. Tyypillinen tällainen riippuvuus on yritykselle tietoliikenneyhteyspalvelun tarjoava teleyritys. Teleyrityksen kanssa kannattaa selvittää tarvittavat yhteyspisteet tietoturvaloukkaus- ja vikatilanteiden selvittämistä varten. Lisäksi teleyrityksen kanssa on hyvä selvittää käytettävissä olevat toimenpiteet erityyppisissä tietoturvaloukkaustilanteissa. Yrityksen on hyvä pyrkiä kehittämään yhteistyötä myös muiden vastaavalla alalla toimivien yritysten kanssa esimerkiksi parhaiden käytäntöjen vaihtamiseksi. Tiedonvaihtoverkostojen toimintaa ja merkitystä on avattu ENISA:n julkaisemassa eurooppalaisia hyviä käytäntöjä kuvaavassa dokumentissa 4. Tehokas väline kansallisen yhteistyöverkoston rakentamiseen ja tiedonvaihdon varmistamiseen ovat CERT-FI:n huoltovarmuuskriittisille toimijoille tarkoitetut postituslistat. Kahdensuuntaiset postituslistat mahdollistavat toimijoiden välisen luottamuksellisen tiedonvaihdon muun muassa parhaista käytännöistä ja ajankohtaisista tietoturvauhkista. Lisätietoja jakelulistoista saa Jarkko Saarimäeltä ja CERT-FI:n verkkosivuilta 5. Toimintaprosessien suunnitteleminen Tietoturvaloukkaustilanteisiin varauduttaessa lokitietojen kerääminen on oleellinen osa tietojärjestelmien ja tietoverkkojen ylläpitämistä sekä niiden tietosuojan varmistamista ja tietoturvallisuuden valvontaa. Lokitietoja voidaan käyttää muun muassa tietoturvaloukkausten havaitsemiseen ja selvittämiseen. Myös tietoturvaloukkaustilanteiden selvittämisen yhteydessä suoritetuista toimenpiteistä on hyvä pitää kirjaa. Lokitietojen sisältämien tunnistamistietojen käsittelyyn sovelletaan sähköisen viestinnän tietosuojalaissa määriteltyjä tunnistamistietojen yleisiä käsittelysääntöjä, joista lisätietoja löytyy muun muassa Viestintäviraston verkkosivuilta 6. Tietosuojavaltuutetun toimisto valmistelee parhaillaan ohjeistusta yhteisötilaajien oikeudesta käsitellä tunnistamistietoja väärinkäytöstilanteissa. Tunnistamistietojen ja lokitietojen käsittelyä kuvataan valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI:n lokiohjeessa, joka sisältää myös yleistä ohjeistusta lokitietojen keräämisen järjestämisestä. 3 http://www.ficora.fi/attachments/suomilomakkeet/5m3urwdiv/ti.dot 4 http://www.enisa.europa.eu/act/res/policies/good-practices-1/information-sharing-exchange 5 http://www.cert.fi/palvelut/hvk/postituslistat.html 6 http://www.ficora.fi/ 3

CERT-FI:n kokemuksen mukaan yleisimpiä esteitä tietoturvaloukkausten tehokkaalle selvittämiselle ovat olleet olemattomat lokit, tietojärjestelmien kellojen epätarkkuuksista tai sekavista aikavyöhykemerkinnöistä johtuva lokien epäyhteensopivuus sekä harjaantumattomuus lokien analysointiin. Varsin tavanomaista on myös, että yhtä tietoturvaloukkausepäilyä selvitettäessä lokien perusteella paljastuu useita muita piileväksi jääneitä tapauksia. Yrityksen on hyvä suunnitella prosessit toimintoihinsa kohdistuvista loukkauksista toipumiseen. Toimintaprosessit on hyvä olla etukäteen mietittynä ainakin seuraavien yleisimpien tietoturvaloukkaustilanteiden varalle: 1) Haittaohjelmatartunta CERT-FI käsittelee vuosittain kymmeniä tuhansia tapauksia, joissa suomalaisen tietoliikenneyhteyden käyttäjä on saanut haittaohjelmatartunnan. Joukossa on myös huomattava joukko yhteisötilaajille kuuluvia tietokoneita tai verkkoja. Yritys voi saada tiedon tartunnasta esimerkiksi yrityksen omista järjestelmistä tai tietoliikenneyhteyden tarjoavalta teleyritykseltä. Yrityksen kannattaa toteuttaa järjestelmänsä siten, että se pystyy tunnistamaan saastuneet päätelaitteet lokitiedoista saatavilla olevien tietojen avulla. Päätelaitteen tunnistamisen jälkeen yrityksen on hyvä suunnitella toimintaprosessi laitteen puhdistamiseksi ja toimenpiteet haittaohjelmatartunnan toistumisen ennaltaehkäisemiseksi. Tällaisia toimenpiteitä ovat esimerkiksi suodatuskäytäntöjen puutteiden tunnistaminen ja loppukäyttäjien valistaminen. 2) Palvelunestohyökkäys Yrityksen palveluun kohdistuva palvelunestohyökkäys voi vaikeuttaa yrityksen liiketoimintaa merkittävästi. Palvelunestohyökkäystä vaikutuksiltaan vastaava kuormituspiikki voi johtua myös palvelun kävijämäärän merkittävästä kasvusta. CERT-FI on julkaissut vuonna 2007 Tietoturva nyt! -artikkelit palvelunestohyökkäysten eri lajeista 7 ja käytettävissä olevista suojautumiskeinoista 8. CERT-FI:n kokemuksen mukaan häiriötä aiheuttaneet palvelunestohyökkäykset ovat usein liikennemäärältään varsin vaatimattomia ja lyhytkestoisia. Niiltä suojautumiseksi on suositeltavaa kehittää konesaliverkon ja palvelimen kuormansieto- ja suodatuskykyä. Teleyrityksen runkoverkon tasolla toteutettavan suodatuksen aktivointi saattaa tuoda reagointiin viivettä, eikä moiseen yleensä ryhdytä, ellei liikennemäärä kuormita teleyrityksen runkoverkkoa. Yrityksen on syytä arvioida myös tarvetta internet-yhteyksien kahdentamiseen ja varmentamiseen. Lisäksi yrityksen kannattaa tunnistaa ne oman liiketoimintansa jatkuvuuden kannalta keskeiset palvelut, joiden toiminta pyritään ensisijaisesti turvaamaan kaikissa tilanteissa. Toiminta voidaan turvata esimerkiksi poistamalla käytöstä palvelua merkittävästi kuormittavia komponentteja. Erittäin massiivistn palvelunestohyökkäyksen rajoittamiseen parhaat mahdollisuudet voi olla tietoliikenneyhteyden tarjoavalla teleyrityksellä. Tästä johtuen yrityksen kannattaa selvittää etukäteen teleyrityksen ympärivuorokautiset yhteyspisteet tietoturvaloukkaustilanteissa. Yrityksen kannattaa selvittää myös se, millaisiin suodatustoimenpiteisiin teleyritys voi palvelunestohyökkäystilanteissa ryhtyä. Myös teleyrityksen mahdollisuuksiin hyökkäysliikenteen rajoittamiseen erilaisten suodatuspalveluiden avulla kannattaa tutustua. 3) Tietojen varastaminen Yritys voi saada tietoonsa, että sen toimintaan liittyviä arkaluontoisia tietojen on joutunnut vääriin käsiin. Tällaisia tietoja voivat olla esimerkiksi yrityksen työntekijöiden tai sen tarjoaman palvelun käyttäjien kirjautumistiedot. Kysymyksessä voivat olla myös muut yrityksen toimintaan liittyvät arkaluontoiset tiedot, kuten esimerkiksi liikesalaisuudet. Tiedot on voitu varastaa esimerkiksi yrityksen palvelussa olevaa haavoittuvuutta hyväksikäyttämällä tai palvelun käyttäjän päätelaitteelta haittaohjelman avulla. Jos kysymyksessä ovat työntekijöiden tai käyttäjien tiedot, on yrityksen syytä olla näihin yhteydessä tietovarkaudesta. Yhteydenotto mahdollistaa rikoksen kohteeksi joutuneille vahinkoja rajoittaviin toimenpiteisiin ryhtymisen ja haittaohjelmatapauksissa mahdollisen saastuneen päätelaitteen tunnistamisen. Lisäksi yrityksen kannattaa vähentää riskiä lisävahinkojen syntymiseen estämällä tai rajoittamalla palvelun käyttöä vaarantuneiksi tunnistettujen käyttäjätilien osalta. CERT-FI:n kokemuksen mukaan ylivoimainen enemmistö nykyaikaisista haittaohjelmista on etähallittavia. Näin ollen ne voidaan komentaa varastamaan tiedostoja tai perustamaan takaportteja ja sillanpääasemia yrityksen sisäverkkoon. Ohjelmat voidaan jopa komentaa kaappaamaan ja manipuloimaan sovellusistuntoja. 7 http://www.cert.fi/tietoturvanyt/2007/05/p_12.html 8 http://www.cert.fi/tietoturvanyt/2007/05/p_13.html 4

Suuri enemmistö tietovarkauksista toteutetaan opportunistisesti ilman, että tekijä nimenomaisesti tavoittelee tiettyä uhria. On kuitenkin syytä tiedostaa, että kaapatuilta tietokoneilta varastetuille tiedoille on olemassa jälkimarkkinat, jota kautta yrityssalaisuuksiksi tunnistetut tiedot tai yrityksen sisäverkkoon pesiytyneet sillanpääasemat saattavat päätyä tavoitteellisemmin toimivien rikollisten haltuun. Aihetta on käsitelty yksityiskohtaisemmin CERT-FI:n julkaisemassa tietoja varastavia haittaohjelmia koskevassa muistiossa 9. 4) Kohdistetut hyökkäykset Kohdistetut hyökkäykset eroavat tavanomaisista tietoja varastavista haittaohjelmista leimallisimmin toimeksiantajan ja tekijätahon korkeamman tavoitteellisuuden osalta. Tavoitteeseen pääsemiseksi uhrataan enemmän aikaa ja muita resursseja. Valtiovarainministeriön VAHTI-ryhmä on julkaissut muistion kohdistetuista hyökkäyksistä. CERT-FI:n kannalta kiinnostavia tietoja kohdistetuissa ja yrityssalaisuuksiin kohdistuvissa haittaohjelmatapauksissa ovat hyökkäysvektorit (tieto siitä, miten haittaohjelma on saatu vastaanottajalle asti ja miten se aktivoituu kohdejärjestelmässä), behavioraalinen tarkastelu (havainnot haittaohjelman käyttäytymisestä kohdejärjestelmässä), ohjelmistotekninen analyyttinen tarkastelu (konekielisen ja lähdekoodin läpiluku) sekä mahdollinen tieto operaation muista kohteista. Teknis-taloudelliseen tai valtiopetokselliseen tiedusteluun viittaavien tapausten rikostutkinta kuuluu poliisille. CERT-FI keskittyy ainoastaan tietoturvaloukkauksen tutkintaan eikä ilmoita tietoonsa saamiaan tapauksia poliisille tai muille ulkopuolisille tahoille ilman asianomistajan nimenomaista suostumusta. Tietoturvaloukkauksesta oppiminen Tietoturvaloukkaustilanteen tai sen uhan jälkeen yrityksen kannattaa arvioida loukkauksen syitä ja omien menetelmiensä toimivuutta. Arviointi kannattaa tehdä myös tilanteissa, joissa tietoturvaloukkauksen riski on ollut ilmeinen. Yrityksen on syytä seurata tietoturvaloukkausten määrän ja laadun kehitystä sekä arvioida aktiivisesti suojaavien tietoturvakontrollien tehoa. Arvioinnin perusteella voidaan toimintaa kehittää siten, että uusien tietoturvaloukkausten riski pienenee. CERT-FI:n kokemusten mukaan parhaatkin tietoturvauhkia ehkäisevät kontrollit tarvitsevat rinnalleen oikein mitoitetut tietoturvaloukkauksia havaitsevat ja niiden ratkaisemiseen tähtäävät prosessit. Rikosepäilyistä kannattaa ilmoittaa aina myös poliisille. Lisätietoja Lisätietoja antaa kehityspäällikkö Jarkko Saarimäki, jarkko.saarimaki@ficora.fi, 09 6966 456. CERT-FI tapaa huoltovarmuuskriittisiä toimijoita säännöllisesti omien palveluidensa esittelemiseksi ja asiakaskunnan tarpeiden kartoittamiseksi. Jos yrityksenne on kiinnostunut tällaisen tapaamisen järjestämisestä, voitte olla yhteydessä huoltovarmuuskriittisille yrityksille tarjottavien tietoturvapalveluiden kartoittamisesta ja kehittämisestä vastaavaan kehityspäällikkö Jarkko Saarimäkeen, jonka yhteystiedot löytyvät tämän ohjeen lisätietoja kohdasta. Tietoturvaloukkaustilanteiden hallintaprosessien käyttöönottamista käsitellään muun muassa CERT/CC:n 10, ENISA:n 11 ja VAHTI:n 12 ohjeissa. 9 http://www.cert.fi/ohjeet/2010_14/5n8kfqj5j.html 10 http://www.cert.org/csirts/action_list.html 11 http://www.enisa.europa.eu/act/cert/support 12 http://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_tietoturvallisuus/index.jsp 5

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute