Tietoverkkorikosten torjunta yhteistyössä on voimaa

Samankaltaiset tiedostot
Tietoverkkorikos, teenkö. rikosilmoituksen? rikosylikomisario Tero Muurman Keskusrikospoliisi, Kyberrikostorjuntakeskus

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Verkkorikosten tutkinta. Nixu Oy:n ja FireEye Inc. aamiaisseminaari Rikoskomisario Timo Piiroinen Keskusrikospoliisi

väkivaltainen ero Henkinen väkivalta, vaino ja -aihe poliisin näkökulmasta ja poliisin toimintamahdollisuudet

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

IT-palvelujen ka yttö sa a nnö t

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Abuse-seminaari

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

IT-palveluiden käyttöperiaatteet. (työsopimuksen osa)

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Kantelija on antanut hankitusta selvityksestä häneltä pyydetyn vastineen.

Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua.

Fennian tietoturvavakuutus

UKTY ry:n asiakasrekisterin tietosuojaseloste

Kymenlaakson Kyläportaali

Tietokilpailu 4 Tunnistammeko koulussa tapahtuvat rikokset

Ilmoitusvelvollisuudet miten toimia Pirkanmaalla. Pirkanmaan poliisilaitos Rikoskomisario Pasi Nieminen Sampola

Ulkomaalaislain mukainen lupamenettely

yleensä olevan työsuhteessa, jos hän ei itse omista tai riippumattoman

Tietoturvarikkomusten käsittely, tulkinta ja seuraamuskäytännöt

Tietokantojen hallinta

Tietosuojaseloste. Trimedia Oy

KUNNAN YMPÄRISTÖNSUOJELUVIRANOM AINEN JA YMPÄRISTÖRIKOKSET

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

KILPAILUTTAMO PALVELU

Annettu Helsingissä 25 päivänä maaliskuuta Sisäasiainministeriön asetus poliisin tiedonhankinnan järjestämisestä ja valvonnasta

Järjestelmänvalvontaopas

1. päivä ip Windows 2003 Server ja vista (toteutus)

Tässä tietosuojaselosteessa kuvataan Kouvolan Korttelikotiyhdistys ry:n toteuttamat asiakastietojen käsittelyn tavat.

Valtioneuvoston asetus Tullin rikostorjunnan salaisista pakkokeinoista ja salaisista tiedonhankintakeinoista

Tietosuojakysely 2017

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Asiakaskilpailuja koskeva tietosuojaseloste

Tietokilpailu 1 Fyysisen väkivallan vakavuus ja puhumisen tärkeys

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen Storage IT varmuuskopiointipalvelun.

Merikarvian matkailu ry tietosuojaseloste

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

KESKI-POHJANMAAN IT-ALUEKESKUKSEN TIETOTURVAOHJEET

Visma Avendon asennusohje

Y:n poliisilaitos on antanut asiasta selvityksen ja Poliisihallitus lausunnon.

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO

Poliisihallitus Ohje ID (8) /2013/4590. Poliisin tekemäksi epäillyn rikoksen tutkinta. 1. Yleistä

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Tietosuojavastaavan nimittäminen, asema ja tehtävät

ICT-yrityksen vastuuvakuutus Tiina Schaarschmidt-Pernaa

Uusi asunto-osakeyhtiölaki

Häirinnän ja epäasiallisen kohtelun selvittelymenettely

Tietoturvallisuusliite

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Tietosuojaseloste

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

TIETOSUOJASELOSTE/REKISTERISELOSTE 1. REKISTERINPITÄJÄ 2. YHTEYSTIEDOT HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVISSA ASIOISSA

Rikoksen kuvaus ja menettelytapa

Lähisuhdeväkivalta poliisin silmin. Matti Airaksinen, rikoskomisario

Tietokilpailu 3 Seksuaalirikoksen tunnistaminen ja avun hakemisen tärkeys

Memeo Instant Backup Pikaopas. Vaihe 1: Luo oma, ilmainen Memeo-tili. Vaihe 2: Liitä tallennusväline tietokoneeseen

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojakysely 2016

Febdok 6.0 paikallisversion asennus OHJEISTUS

tilannekuva ja ajankohtaiset

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Forssan Seudun Käsityö- ja Teollisuusyhdistys ry

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuojaseloste Kuopion kaupungin palautepalvelujärjestelmä

KENTEK OY TIETOSUOJASELOSTE TIIVISTELMÄ

Rekisteri- ja tietosuojaseloste

Alaikäisen puolesta puhevaltaa käyttää joko hänen huoltajansa, edunvalvojansa tai muu laillinen edustaja.

Nexetic Shield Unlimited

1 (6) ESITYS IHMISKAUPAN UHRIEN AUTTAMISJÄRJESTELMÄÄN

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

ANVIA VARMUUSKOPIOINTI 2.3

Valtioneuvoston asetus

Nexetic Shield Unlimited

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

KRIISIVIESTINTÄ TAPAHTUMISSA TAPIO REINEKOSKI HYYN VIESTINTÄASIANTUNTIJA AALTO-YLIOPISTON VIESTINNÄN ERITYISASIANTUNTIJA 2017

Flash-haittaohjelmat

Vainoaminen rikoksena. Oulu Matti Tolvanen OTT, professori

2. Modeemi- ja ISDN-yhteyden käyttöönotto

Rovaniemen koulutuskuntayhtymän ICT-palveluiden käyttösäännöt

Turku Anna-Mari Salmivalli OTK, LL, lastenpsykiatrian erikoislääkäri Ayl, Turun lasten ja nuorten oikeuspsykiatrian yksikkö

Kalastuksenvalvontaa (ko?) Tuntuipa hyvältä löysinrantein 2014 ruuvia kiristettii Mitäpä sitten?

Hanketoiminnan tutkimuseettiset kysymykset ja uudistuvan tietosuojalainsäädännön vaikutus tutkimustiedon hallintaan

Tietosuojaasiat. yhdistysten näkökulmasta

MY STANDARD -OHJE. mystandard.hansaworld.com. Standard ERP Pilvipalvelu Sivu 1/6

TIETOSUOJASELOSTE Yhdistetty rekisteriseloste ja Informointiasiakirja (Henkilötietolaki (523/1999) 10 ja 24 )

Transkriptio:

Tietoverkkorikosten torjunta yhteistyössä on voimaa Opas tietoturvallisuuden kehittämiseksi

Tämän oppaan tarkoitus 2 Tietotekninen kehittyminen on mahdollistanut uusia, entistä tehokkaampia tapoja käsitellä ja siirtää suuria tietomääriä. Monikansallisista yrityksistä on tullut globaalin talouden keskeisiä toimijoita. Globaalitaloudessa kansainväliset riskit kasvavat myös yrityksen koosta riippumatta. Riski liittyy muun muassa haavoittuviin tieto-, tele- ja energiaverkkoihin. Maailmanlaajuinen tietoverkko mahdollistaa myös entistä vakavamman rikollisen toiminnan. Rikollisten taidot murtautua järjestelmiin ovat kehittyneet jatkuvasti nopeammin kuin tietokoneiden kyky estää automaattisesti luvattomat tunkeutumiset. Taustalla vaikuttaa yhä useammin järjestäytynyt rikollisuus. Oppaan on tarkoitus auttaa yrityksiä ja muita organisaatioita varautumaan tietoverkkorikoksiin ja minimoimaan mahdollisen tietoverkkorikoksen aiheuttama haitta. Poliisin ja yritysmaailman välistä yhteistä kieltä ja ymmärrystä tarvitaan erityisesti kriisitilanteissa, joissa yritys on päättänyt kääntyä poliisin puoleen. Tietoverkkorikollisuudella tarkoitetaan tässä yhteydessä seuraavanlaisia tekoja: 1. tekoja, joilla pyritään estämään tietoliikennettä (esim. kotisivuille) 2. tekoja, joissa tunkeudutaan tai valmistellaan tunkeutumista yrityksen sähköiseen ympäristöön (tietoverkko, tietojärjestelmät, sähköpostitilit, kotisivujen suojatut osat ym.) 3. tekoja, joilla aiheutetaan vahinkoa 4. tekoja, joilla otetaan oikeudettomasti haltuun yrityksille kuuluvia tietoja tai viestejä. Kriisitilanteita tai niihin varautumista varten yritykset voivat laatia tietoturvallisuussuunnitelman, jossa on mahdollista käsitellä yrityksen haluamalla tavalla yrityksen tietotekninen ympäristö, vastuukysymykset ja esimerkiksi yhteistyö poliisin kanssa. Etukäteen harkitulla toiminnalla on mahdollista helpottaa myös poliisin suorittaman esitutkinnan aloittamista ja todisteiden keräämistä. Yhteisenä päämääränä voidaan pitää työympäristöä, jossa kaikki tietorikokset voidaan selvittää ja tekijät löytää. Jos kiinnijäämisen riski kasvaa, rikokseen syyllistymisen kynnys nousee. Tällä oppaalla ei ole tarkoitus vaikuttaa yrityksen ja tietoturvallisuusalan palveluntarjoajan välisiin tietoturvallisuussopimuksiin tai niiden sisältöihin, vaan ainoastaan tietoturvallisuustyön kehittämiseen ja vakavan verkkorikollisuuden torjumiseen. CERT.FI on Viestintäviraston alaisuudessa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. Poliisi, kuten tämä opaskin, keskittyy rikosten ennaltaehkäisyyn ja esitutkintaan. KUN KAIKKI TYÖYHTEISÖN JÄSENET TIETÄVÄT, MITÄ TEHDÄ TIETOVERK- KORIKOKSEN TAPAHTUESSA, OSA VAHINGOISTA VOIDAAN VÄLTTÄÄ JA MAHDOLLISEN RIKOSPROSESSIN EDELLYTTÄMÄ TODISTUSAINEISTO SAADA TALTEEN.

Sisältö A. Varautuminen...4 1. Tietoturvallisuussuunnitelma... 4 2. Käyttöoikeuksien tunnetuksi tekeminen... 6 3. Milloin on suositeltavaa ottaa yhteys viranomaiseen?... 7 4. Lokitiedostojen turvaaminen... 8 5. Tietoverkkorikoksesta koituvien kustannusten mittaaminen... 8 B. Tietoverkkorikoksen tapahduttua tai sellaista epäiltäessä...9 1. Kun havaitaan tietoverkkorikos tai rikosta epäillään... 9 2. Kun tietoverkkorikos on tapahtunut... 9 3. Kun asiasta on tehty rikosilmoitus... 11 4. Digitaalisen todistusaineiston käsittely... 12 C. Poliisin ja yrityksen välinen tietoturvallisuusyhteistyö...14 1. Viranomainen... 14 2. Yrityksen velvollisuudet... 14 3. Julkisuuskysymykset tietoturvallisuusyhteistyössä... 14 3

A. Varautuminen Työnantaja varmistaa, että kaikki yrityksen työntekijät tuntevat tietoturvallisuussuunnitelman. TAVOITE: Kaikki työyhteisön jäsenet tietävät, mitä tehdä tietoverkkorikoksen tapahtuessa. Yritys voi pyytää tietoturvasuunnitelman laatimisessa tarvitsemaansa asiantuntija-apua paikalliselta poliisiviranomaiselta ja/tai viestintäviraston tietoturvayksiköltä CERT.FI:ltä (ks. kohta B / Tavoite / HUOM!). 1. Tietoturvallisuussuunnitelma Yrityksessä laaditaan tietoturvallisuussuunnitelma, jossa määritellään työyhteisön tietotekninen maailma, arkkitehtuuri ja vastuuhenkilöt. Suunnitelmassa käsitellään yrityksen turvallisuusjärjestelyt ja annetaan henkilöstölle ohjeet niin työkuin kotikoneen käyttöön liittyvissä tietoturvallisuuskysymyksissä. Tietoturvallisuussuunnitelmassa on hyvä määritellä seuraavat kohdat: Johdon tehtävät, velvollisuudet ja vastuut? Tietoturvallisuuden parissa työskentelevien henkilöiden tehtävät, velvollisuudet ja vastuut? Muun henkilöstön velvollisuudet ja vastuut? Jokaisen yrityksen työntekijän on tiedettävä, kehen hän tietoturvallisuusriskin havaitessaan ottaa yhteyttä. Tietoturvallisuussuunnitelmassa on hyvä tuoda esille myös, keiden tulos- ja kehityskeskusteluissa käsitellään tietoturvallisuuteen liittyvät muutokset ja vastuukysymykset. Yritys huolehtii siitä, että työntekijän henkilökohtaisesta käyttäjätilistä huolimatta tietokoneen käyttöä voidaan selvittää jälkeenpäin. Työnantajan selvitysoikeudet on hyvä määritellä tietoturvallisuussuunnitelmassa. Tietoturvasuunnitelmassa olisi hyvä huomioida myös seuraavat: a. Laatikaa suunnitelma siitä, kuinka tietoverkkorikoksen paljastumiseen tulisi reagoida. Määritelkää, mitä tehdään, jos rikos on meneillään. Entä kun se on loppunut? Mitkä asiat hoidetaan organisaation sisällä, milloin tarvitaan poliisia? Määritelkää kuka tekee minkäkin toimenpiteen. 4

b. Ylläpitäkää listaa viruksentorjuntaohjelmista, palomuureista ja muista turvallisuusjärjestelyihin liittyvistä ohjelmista ja niiden päivityksistä. c. Ylläpitäkää listaa sellaisista yrityksen yhteistyökumppaneista, joilla on pääsy järjestelmään. Kuvatkaa yhteistyökumppanin oikeudet. d. Huolehtikaa, että yrityksenne tietoteknisen ympäristön edellyttämä varmuuskopiointi on ajan tasalla. e. Harjoitelkaa toimintaa poikkeus- ja rikostilanteissa. 5

2. Käyttöoikeuksien tunnetuksi tekeminen Tietoturvallisuussuunnitelman tulisi olla kaikkien työntekijöiden tiedossa ja yhdessä hyväksymä, tavallaan yhteiset pelisäännöt. Esimiehen ja alaisen tulisi käydä tietoturvallisuuteen liittyvät muutokset läpi esimerkiksi tulos- ja kehityskeskustelujen yhteydessä. Yrityksen tietoturvallisuussuunnitelma on tarkoituksenmukaista myös päivittää tulos- ja kehityskeskustelukierroksen jälkeen. Tulos- ja kehityskeskusteluissa tai vastaavissa esimiehen ja alaisen välisissä keskusteluissa olisi syytä käsitellä ainakin seuraavat asiat: a. Luvallinen käyttö: Työkoneet voivat olla yksinomaan tai pääasiassa työkäyttöön tarkoitettuja. Jos asiasta sovitaan, voi olla sallittua hoitaa myös yksityisiä asioita työkoneelta käsin. Tärkeintä on, että kaikki ovat tietoisia pelisäännöistä. Säännöt on syytä määritellä tietoturvallisuussuunnitelmassa. b. Luvaton käyttö: Työntekijä ei saa esimerkiksi levittää salasanoja ulkopuolisille eikä sellaisille yrityksen työntekijöille, jotka eivät tarvitse niitä varsinaiseen työntekoon lähettää sopimattomia viestejä tai käydä sopimattomilla sivuilla ilman lupaa kirjautua sisään muiden työntekijöiden tietokoneille tai yrittää saada käsiinsä hänelle kuulumatonta tietoa asentaa tai levittää laittomasti kopioituja tai järjestelmän toimivuutta häiritseviä ohjelmia tai viruksia liittyä vertaisverkkoon, jonka kautta ulkopuoliset voivat kopioida tiedostoja yrityksen työkoneelta HUOM! Osa yllä mainituista toimenpiteistä saattaa täyttää myös rikoksen tunnusmerkistön. 6

3. Milloin on suositeltavaa ottaa yhteys viranomaiseen? Toimi ensisijaisesti kohdan B / Tavoite mukaan. CERT.FI:llä on ympärivuorokautinen päivystys. Heillä on myös asiantuntemus erottaa erilaiset tietoturvallisuuden ongelmat ja häiriöt varsinaisista rikoksista. CERT.FI suosittelee yrityksen yhteydenottoa poliisiin silloin, kun katsoo sen tarpeelliseksi. Tietoturvallisuussuunnitelmasta on ilmettävä, miten yritys hoitaa poikkeus- ja rikostilanteet sekä kuka päättää mahdollisen rikosilmoituksen tekemisestä. On huomattava, että poliisinkin kanssa voidaan sopia siitä, että yhteyshenkilöön voi olla yhteydessä myös ilman rikosilmoituksen tekemistä. Suunnitelmasta on myös ilmettävä, kehen oman yrityksen henkilöön yksittäisen työntekijän on otettava yhteys havaitessaan rikoksen tai epäillessään sellaisen olevan valmisteilla. Seuraavassa on esimerkkejä rikoksista ja ongelmista, jotka olisi syytä käsitellä tietoturvallisuussuunnitelmassa ja joista tulisi aina ilmoittaa viranomaisille. palvelunestohyökkäykset (eli järjestelmän lamauttaminen suurella määrällä viestejä) huijaustarkoituksissa tietoliikenteen ohjaaminen kotisivujen sijaan rikollisten laatimille sivulle tietomurtotyyppiset tunkeutumiset ja luvaton kirjautuminen sekä luvaton tietokoneviruksen levittäminen IT-resurssien tuhoaminen, liikesalaisuuksien tai henkisen omaisuuden varastaminen sekä sähköpostiviestien ja muiden viestien varastaminen lapsipornon hallussapito (vaikka ei liity yritystoimintaan, saattaa tietojärjestelmiin erinäisistä syistä tallentua materiaalia, jonka hallussapitokin on rangaistavaa). HUOM! Myös järjestelmänvalvoja, jolla on mahdollisuus kirjautua kaikille koneille, voi syyllistyä rikokseen, jos kirjautumisen syynä on halu päästä käsiksi salaisiin tietoihin. Toimenkuvansa mukaisessa ylläpitotehtävässä järjestelmänvalvoja ei syyllisty rikokseen. 7

4. Lokitiedostojen turvaaminen Yrityksen tietojärjestelmän tulisi automaattisesti kirjata kaikki tapahtumat lokitiedostoihin. Näitä tietoja voidaan tarvita epäselvyyksien ilmaantuessa. Yrityksen tulee varmistaa, että lokitiedostot eivät tuhoudu, vaikka järjestelmä kaatuu (erillinen lokipalvelu). Varmuuskopioita tulee tehdä jatkuvasti, ja näitä on säilytettävä muualla kuin itse järjestelmässä, esimerkiksi erillisellä tietokoneella. 5. Tietoverkkorikoksesta koituvien kustannusten mittaaminen Tietorikoksista ja tietoverkkorikoksista voi syntyä monenlaisia kustannuksia. Korvausten saamisen kannalta on tärkeää voida perustella arviot vahinkojen suuruudesta, sillä vakuutusyhtiöt ja tuomioistuimet tarvitsevat faktoja päätöksensä perusteiksi. Myös järjestelmässä olevan tiedon arvo on määriteltävä (sisältäen tuotantokustannukset). Onko jokin kone tai ohjelma vaihdettava uuteen? Kuinka monta työtuntia meni järjestelmän palauttamiseen entiselleen? Kuinka kauan ohjelmien asentaminen ja varmuuskopioiden siirtäminen kesti? Mitkä olivat järjestelmän korjaamisen aiheuttamat kustannukset? Ketkä eivät voineet työskennellä ollenkaan tai hyvin vähän normaalin työympäristön lamaannuttua? Kuinka monta työtuntia menetettiin? Minkälaisia epäsuoria kustannuksia syntyi? Kuinka paljon voittoa menetettiin? Tuhoutuiko arvokkaita tiedostoja, joista ei ollut olemassa varmuuskopioita? HUOM! Varsinkin epäsuorien kustannusten suuruus on perusteltava huolellisesti. Yrityksen on hyvä varautua määrittelemään erilaisten rikosten tai muiden ongelmien aiheuttamat vahingot eli taloudellinen tappio. Ne voivat olla arvioituja tai perustua kokemukseen: 8

B. Tietoverkkorikoksen tapahduttua tai sellaista epäiltäessä TAVOITE: Tietoverkkorikoksen aiheuttama haitta minimoidaan; kiinnijäämisriski kasvaa ja rikoksiin syyllistymiskynnys nousee. HUOM! Kun yritys kohtaa tässä ohjeessa kuvattuja tekoja tai tapahtumia, joihin yrityksen johto tai vastuullinen työntekijä epäilee liittyvän rikoksen, on yrityksen ensisijaisesti otettava yhteys Viestintäviraston tietoturvayksikköön CERT.FI:hin. Yksikön sähköpostiosoite on cert@ficora.fi ja puhelinnumero 09-696 6510. Yksikkö palvelee 24 tuntia vuorokaudessa. Jos CERT.FI havaitsee, että kysymyksessä on rikos, antaa se yritykselle ohjeet jatkotoimenpiteistä. 1. Kun havaitaan tietoverkkorikos tai rikosta epäillään Tietoturvallisuussuunnitelmaa ja CERT.FI:n ohjeita noudattaen kun rikos on meneillään, on järjestelmästä vastaavan päätettävä, katkaistaanko yhteys Internetiin vai seurataanko tilannetta on dokumentoitava kaikki tapahtumat sekä myös, kuka tekee mitäkin. Tietoja voidaan tarvita tutkintavaiheessa. 2. Kun tietoverkkorikos on tapahtunut Tietoturvallisuussuunnitelmassa olisi hyödyllistä käsitellä muun muassa seuraavanlaisia asioita: Minkälaisista rikoksista saattaa olla seurauksena poliisin suorittama esitutkinta, koska silloin jo alkutoimenpiteiden dokumentoinnin tulee olla luotettavaa? Milloin ja keiden toimesta on aloitettava sisäinen tutkinta sekä miten suoritetut toimenpiteet ja puhuttelut on dokumentoitava (esim. kirjaamalla ne muistiin)? on turvattava kaikki järjestelmän tallentamat lokitiedostot 9

Kenen tai keiden tehtävänä on laatia luettelo kaikista järjestelmän käyttäjistä? Heidän on tehtävä erillinen luettelo myös uusista käyttäjistä sekä niistä, joilla ei enää ole käyttöoikeutta. Luetteloon on otettava mukaan myös yrityksen ulkopuoliset luvalliset käyttäjät. Kenen tai keiden tehtävänä on laatia luettelo niistä henkilöistä ja organisaatioista, joiden kanssa työntekijät ovat olleet yhteydessä? Luettelossa on otettava erityisesti huomioon yhteydet ulkomaille, sillä monet tietoverkkorikokset ja tietorikokset liittyvät kansainväliseen rikollisuuteen ja tietoliikenteeseen. Huom! Tällaisten luetteloiden laatimisessa toimenpide voi kohdistua suureen määrään yrityksen henkilöstöä koskevia tietoja, joilla ei ole mitään tekemistä rikoksen kanssa. Kyse voi siten olla arkaluontoisten tietojen keräämisestä, jota on rajoitettu lainsäädännössä. Poliisin kanssa on syytä tarpeen mukaan sopia, minkälaisia sisäisiä tutkintatoimia ja tutkintamenetelmiä epäillyn rikos- tai väärinkäytöstapauksen johdosta voidaan yksittäistapauksessa käyttää. Kenen tehtävänä on tarkistaa VPN/ LAN/WAN-yhteydet sekä kaikki muut yhteyspisteet (Network Access Points)? Kenen tehtävänä on kopioida tiedot kaikista tietorikoksen tai tietoverkkorikoksen aiheuttamista haitoista ja niistä aiheutuneista valituksista ja reklamaatioista? Kenen tai keiden tehtävänä on kirjoittaa muistiin laitteiden aikaleimat? Aikaleimat poikkeavat usein toisistaan, ja siksi tietoverkkorikosta tutkittaessa voi sekunneillakin olla suuri merkitys! Jos jokin tietokone sijaitsee ulkomailla, on aikaero otettava huomioon. Keiden on selvitettävä, mitä on tapahtunut rakennuksessa ennen rikosta sekä missä eri työntekijät tai muut mahdolliset henkilöt ovat silloin sijainneet? Myös kulunvalvontajärjestelmä on hyvä huomioida tietoturvallisuussuunnitelmassa. Kenen tai keiden tehtävänä on määritellä mahdollisten haittojen rahallinen arvo? 10

3. Kun asiasta on tehty rikosilmoitus Tietoturvallisuussuunnitelmassa on mainittava, kehen yrityksen henkilökuntaa kuuluvaan poliisi voi ottaa yhteyttä. Esimerkkejä poliisin esittämistä kysymyksistä: a) Henkilöt Kuka huomasi rikoksen? Kenelle asiasta on kerrottu? Kuka tai mikä taho voisi mahdollisesti olla syyllinen? Mistä niin voidaan päätellä? b) Tapahtumat Mikä sai teidät kiinnittämään huomionne rikokseen (riippumatta siitä, milloin se tapahtui)? Mitä olette tähän asti tehneet? Dokumentoikaa poliisin yhteydenottoa silmälläpitäen tekemänne toimenpiteet kirjallisessa muodossa ja/tai valokuvaamalla. Mitä todisteita teillä on tapahtuneesta? Mitä elektronista todistusaineistoa on saatu talteen? Onko jotakin tuhoutunut ja jos on, niin mitä ja mistä syystä? Onko järjestelmässä rootkit-ohjelmia (joita käytetään, voidaan käyttää tai on käytetty rikokseen ja/tai sen jälkien siivoamiseen)? Onko lokitiedostoista ilmennyt jotakin epätavallista? Mikä on järjestelmän tila? Mitä tunkeilija teki? Mikä oli hänen päämääränsä? Syntyikö vahinkoja ja jos syntyi, niin minkälaisia? Minkälaisia käyttöoikeuksia tekijä on käyttänyt? Riittivätkö peruskäyttöoikeudet, vai tarvittiinko esimerkiksi järjestelmänvalvojan oikeudet? Mikä oli tekijän sisäinen tai ulkoinen IP-osoite? Kuinka tietokoneet on kytketty toisiinsa? c) Ajankohdat Mitä tapahtui rikoksen missäkin vaiheessa (tapahtumien kronologinen järjestys)? Milloin rikos alkoi? Miten ajankohta on määritelty? Milloin huomasitte rikoksen? Kuka, missä, miten ja milloin? 11

12 Onko järjestelmä vielä käynnissä? Onko se jossain vaiheessa ollut pois päältä ja jos on ollut, niin miksi? Jatkuuko rikos vieläkin tai missä vaiheessa ja miten se päättyi? 4. Digitaalisen todistusaineiston käsittely Tietoturvallisuussuunnitelmassa on erityisesti huomioitava digitaalisen todistusaineiston käsittelyä koskevat ohjeet, olipa sitten kysymys sisäisestä tutkinnasta tai asiasta, josta tullaan todennäköisesti tekemään rikosilmoitus. Jotta sähköisessä muodossa olevaa aineistoa voidaan käyttää todistusaineistona, se on tallennettava ja suojattava luotettavalla tavalla. On huomattava, että parhaat käytännöt muuttuvat ohjelmistojen kehittyessä ajan myötä. Seuraavaksi käsittelemme yleisesti asioita, jotka tulisi huomioida digitaalista todistusaineistoa käsiteltäessä. Kun tietorikos tai tietoverkkorikos on huomattu, on keskityttävä teon tekemisen kannalta olennaisiin tietoihin, kirjattava ne ylös ja dokumentoitava. Kaikki omat toimenpiteet on kirjattava muistiin, sillä ne voivat vaikuttaa aineistoon ja sen myöhempään arviointiin. Yrityksen omista toimista johtuvat jäljet eivät saa sekoittua rikollisen jälkiin, sillä sekoittuminen vaikeuttaa luotettavaa todistelua. a) Mikä aineisto on tutkinnan kannalta olennaista? Mistä olennainen tieto löytyy? Perustelut sille, mitä pidetään olennaisena ja mistä syystä. Ovatko tiedostot kirjoitussuojattuja ja vakaita, vai onko olemassa muuttumisen riski? Olennaista dataa voi löytyä kovalevyjen lisäksi muistitikuilta, CD-levyiltä, kännyköistä ja digitaalikameroista. b) Kuinka todistusaineisto eristetään ja turvataan? Todistusaineistoksi tarkoitettu data ei saa muuttua. Se on tallennettava mahdollisimman alkuperäisessä muodossa. Jos aineistoa on kuitenkin käsitelty tai muutettu, on kaikki voitava jäljittää asiaa koskevasta dokumentoinnista. Tallentakaa kaikki data sekä järjestelmään että sen ulkopuolelle. KAIKKI TOIMENPITEET ON DOKUMENTOITA- VA. KUKA TEKI, MITÄ TEKI, MILLOIN TEKI JA MIKSI TEKI? TOIMEN- PITEET ON KIRJATTA- VA MUISTIIN JA ESIM. VALOKUVATTAVA.

c) Kuka tutkii tapausta? Digitaalisen aineiston tutkiminen vaatii erityisosaamista. Tilanteesta riippuen alustava tutkinta tai selvitystyö voidaan suorittaa organisaation sisällä tai mahdollisesti ulkopuolisten avustuksella. Seuraaviin perusvaatimuksiin on yrityksen kuitenkin hyvä varautua: 3. Sisäinen tutkinta Minkälainen asiantuntemus vaaditaan sisäisen tutkinnan suorittajilta? Myös sisäisen tutkinnan tulee lähteä avoimesta syyllisyysajattelusta sekä todisteiden luotettavasta talteenotosta ja käsittelystä. 4. Sisäinen tutkinta ulkopuolisten asiantuntijoiden avulla Kenellä on tarvittava asiantuntemus? Tarvittaessa on keskusteltava asiasta viranomaisen kanssa. Onko organisaatio valmis jakamaan ulkopuolisen kanssa kaiken sen tiedon, joka voi käydä ilmi digitaalisen todistusaineiston sisällöstä tai sen tutkinnan tai talteenoton yhteydessä (huomioitava myös vakuutusyhtiöiden datapalautuspalvelut)? 5. Poliisin suorittama esitutkinta Mikä yksikkö tutkii? Ketkä ovat yrityksen ja poliisin yhteyshenkilöt? Mahdollisen sisäisen tutkinnan tietojen käyttäminen. Onko yrityksellä olemassa muuta mahdollisesti tärkeää aineistoa, josta poliisi ei ole vielä kysynyt? Miten sen kanssa menetellään? 13

C. Poliisin ja yrityksen välinen tietoturvallisuusyhteistyö 1. Viranomainen Tietoturvallisuussuunnitelmaa laatiessaan on yrityksen suositeltavaa olla yhteydessä paikalliseen poliisilaitokseen ja selvittää yhteystiedot niiden tapausten varalle, joissa CERT.FI suosittelee rikostutkinnan käynnistämistä tai yritys ottaa suoraan yhteyden poliisiin. 2. Yrityksen velvollisuudet Henkilöstön erilaisten toimenpiteiden laillisuuskysymykset yrityksen on hyvä määritellä tietoturvallisuussuunnitelmassa. Samalla voidaan määritellä myös, miten yritys toimii väärinkäytösten ilmitullessa. Tietoturvallisuussuunnitelmaan voidaan kirjata myös, että epäselvissä tai muutoin arkaluontoisissa tapauksissa yritys keskustelee viranomaisen kanssa ennen toimenpiteistä päättämistä. Laittomuuksia on varottava, koska virheelliset toimet saattavat alentaa myös taltioitavan digitaalisen todistusaineiston arvoa. 3. Julkisuuskysymykset tietoturvallisuusyhteistyössä Yrityksen kannalta oleelliset julkisuus- ja salassapitoperiaatteet on syytä kirjata tietoturvallisuussuunnitelmaan. Samalla on hyvä määritellä myös poliisin ja yrityksen välisen kanssakäymisen periaatteet ja julkisuus. Lähtökohtaisesti poliisin ja CERT.FI:n kanssa voi keskustella yrityksen kannalta arkaluonteisistakin ongelmista tekemättä rikosilmoitusta. Tällaiset tiedot eivät päädy julkisuuteen. Esitutkinnan ollessa käynnissä tiedottamisesta vastaa tutkinnanjohtaja tai hänen esimiehensä tai esimiehen määräämä muu virkamies. Tietoturvallisuussuunnitelmassa voidaan sopia, että yrityksen ja poliisin välistä kanssakäymistä koskevissa kysymyksissä tiedottamisesta vastaa aina paikallinen päällystöyhteyshenkilö. Asiat on hyvä käsitellä tietoturvallisuussuunnitelmassa, jonka laadinnassa on syytä muistaa, että poliisin lisäksi ongelmaasioiden käsittelyssä voi apua saada myös CERT.FI:n sivuilta tai sen asiantuntijoilta sekä tietosuojavaltuutetun toimistosta. 14

Kiitokset: Keskuskauppakamari Lakimies Pekka Paasonen Tietosuojavaltuutetun toimisto Ylitarkastaja Heikki Partanen Viestintävirasto Kehityspäällikkö Jarkko Saarimäki Sisäasiainministeriön poliisiosasto Johtaja Erkki Hämäläinen Keskusrikospoliisin tutkintaosasto Rikoskomisario Timo Piiroinen 15

www.poliisi.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute