Poikkeamailmoituksen tekemistä ei kannata vältellä!

Kuka tahansa yrityksessä tai organisaatiossa voi havaita järjestelmän toiminnassa jotain tavallisuudesta poikkeavaa.  Silloin on parempi katsoa kuin katua,  eli parempi tehdä poikkeamailmoitus kuin jäädä odottamaan mitä tapahtuu.

Tietoturvapoikkeaman takaa löytyy usein rikollinen, jonka tarkoitus niin ikään on rikollinen. Epäilykään ei kannata siis painaa villaisella!

Tietoturvapoikkeamasta tehdään poikkeamailmoitus tietoturvasta vastaavalle taholle ja henkilölle, joka tekee päätöksen jatkotoimista. 

Meneillään voi olla esimerkiksi tietoturva- tai tietosuojaloukkaus, ja se vaatii välittömiä toimenpiteitä. Yleensä tietoturvaloukkauksen lähteestä, levinneisyydestä ja vakavuudesta tiedetään havaintohetkellä hyvin vähän.

Joskus poikkeaman havaitsee ensimmäisenä joku ulkopuolinen. Toivoa sopii, että hän ymmärtää tapahtuman mahdolliset seuraukset ja ilmoittaa siitä organisaatiolle. Kysymys voi olla taloudellisesti merkittävistä asioista. Organisaatiolla on yleensä yhteysosoite, mutta sen lisäksi voisi tarjota erillisen osoitteen turvallisuusasioille. Se saattaisi rohkaista sekä ulkoisia että sisäisiä tahoja ottamaan yhteyttä.

Yrityksessä kannattaa määritellä myös se, mitä poikkeamalla tarkoitetaan. Toinen vaihtoehto on viestiä tyyliin ”jos havaitset jotain poikkeavaa tietojärjestelmien toiminnassa niin ota yhteyttä”. IT-tuki tai helpdesk voi arvioida, onko kyseessä poikkeama.

Organisaation henkilöstöllä pitää olla ohjeet kehen ja mihin poikkeamatilanteissa otetaan yhteyttä. Kun poikkeama on havaittu tietojärjestelmässä, on otettava heti yhteys  tietosuojavastaavaan tai ylläpitoon, lähitukeen tai help deskiin.

Ilmoituksen tekemistä helpottaa merkittävästi, jos organisaatiolla on käytössä järjestelmä,  johon ilmoitus voidaan kaikkine yksityiskohtineen kuvata. Lisäksi järjestelmä voi ilmoittaa automaattisesti turvallisuudesta vastaaville henkilöille asiasta.

(juttu jatkuu videon jälkeen)

Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana

Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.

Lataa kalvosarja (pdf)

HSEQ-järjestelmä videona

www.propilvipalvelut.fi/pro-palveluiden-esittely

Analyysi tapahtuneesta

Kun poikkeamailmoitus on tehty, voidaan aloittaa tilanteen analysointi. Pikaisesti pyritään erottamaan syyt ja oireet toisistaan, jotta korjaustoimenpiteet voidaan ensisijaisesti kohdistaa ongelman lähteeseen. Se helpottaa poikkeaman nopeaa eristämistä.

Tietoturvapoikkeama on aina vakava asia, ja siitä ilmoittaminen on ehdottoman tärkeää. Poikkeama voi todellisuudessa olla esimerkiksi haittaohjelma tai palvelunestohyökkäys, joka pahimmillaan lamauttaa koko organisaation toiminnan.

Jotta poikkeamaa voidaan analysoida on tietenkin oltava materiaalia mitä analysoidaan. Useat järjestelmät tuottavat lokitietoa, mutta aina niiden säilytysajat eivät ole riittävät juuri havaitun  poikkeaman analysoimiseksi.

Hyvä apua analysointiin on järjestelmien lokienhallintajärjestelmä. Se auttaa niin poikkeamien havaitsemista kuin niiden analysointiakin.

Mitä, mitä mitä?

Monissa organisaatioissa tietojärjestelmän ylläpito on ulkoistettu. Kun  poikkeama järjestelmässä havaitaan, on ehdottomasti ulkoistustoimittaja otettava tiiviisti mukaan ja toimittava yhdessä tämän kanssa ongelman ratkaisemiseksi.

Olipa ylläpitäjä mikä tahansa taho, poikkeamailmoituksen saaneen vastuuhenkilön ensimmäinen tehtävä on esittää itselleen muutamia tärkeitä kysymyksiä ennen hätiköityjä toimia.

Mitä tämä voisi olla? Mitä tämä pahimmillaan voisi olla?  Onko tälle olemassa hyvää selitystä vai onko kyse tietoturvapoikkeamasta? Jos on, niin kuinka laajalle se on levinnyt, mihin se jo on levinnyt ja mihin ei?  

Arvion tekijän olisi myös pystyttävä kylmän viileästi päättämään siitä, vaatiko tehdyn  poikkeamailmoituksen kohteen selvittäminen lisäapua. Jos niin on, se tarkoittaa yleensä myös lisäkustannuksia. Jos poikkeama havaitaan työajan ulkopuolella, kustannukset ovat hätätyön mukaiset.  

Ennusmerkkejä ja indikaatioita

Kun osataan lukea ennusmerkkejä ja indikaatioita, vihjeitä ja viitteitä, se helpottaa päätöstä tehdä poikkeamailmoitus. Ennusteet ja indikaatiot voivat vahvistaa epäilykset, että jotain poikkeavaa on tapahtunut tai tapahtumassa.

Enemmän turvaa, vähemmän poikkeamia

Yksinkertaisin keino estää tietoturvaan kohdistuvat ja poikkeamailmoituksiin johtavat tapahtumat on ennaltaehkäisy. Mutta kuten julkisuudessakin olleet esimerkit osoittavat, täydellistä suojamuuria ei ole olemassa.

Tietoturva-asiantuntijan ensimmäinen neuvo on, ettei mitään laitteita tulisi jättää oletusasetuksille, sillä esimerkiksi niiden oletussalasanat ovat netissä kaikkien saatavilla.

Sen jälkeen kannattaa käyttää niitä keinoja, joita on saatavissa. Nopean teknisen kehityksen ajassa eläessämme ajantasaiset laitteet ja ohjelmistot ovat turvallisuuden ykkösasia. 

On kuitenkin muistettava, että uudetkin laitteet tarvitsevat ylläpitoa ja valvontaa. Ei niillekään riitä pelkkä palomuuri ja virustorjunta.

Tietosuojavaltuutetun toimisto antaa vinkkejä ehkäisyvälineistä, joihin yritysten kannattaa tietoturvassaan panostaa.

Esimerkkejä viitteistä, jotka voivat johtua tietoturvapoikkeamasta:

• Hyökkäyksen havaitsemisjärjestelmä ilmoittaa mahdollisesta tietoturvahyökkäyksestä.
• Virustorjuntaohjelmisto hälyttää tietojärjestelmästä löytyneestä haittaohjelmasta.
• Ulkopuolinen taho, esimerkiksi Kyperturvallisuuskeskus ottaa organisaatioon yhteyttä ja ilmoittaa epäilyttävästä toiminnasta. 
• Palvelu ilmoittaa käyttäjille tietojärjestelmävirheistä ja pyytää ottamaan yhteyttä ylläpitäjään. Kyseessä voi olla tilapäinen häiriö tai oikea ongelma. 
• Palvelun käyttäjät havaitsevat palvelun toimivuudessa ongelmia tai hitautta.
• Järjestelmän ylläpitäjä havaitsee järjestelmässä esimerkiksi ylimääräisiä tiedostoja tai käyttäjätunnuksia. Rikollinen toimija on voinut saada järjestelmän haltuun ja ladannut sinne omia haittaohjelmatiedostojaan.
• Käyttäjän sähköpostiin saapuu paljon ”viestiä ei voida toimittaa” -ilmoituksia. Viittaa siihen, että joku lähettää nimissäsi sähköpostia sinun tietämättäsi. 
• Sähköpostijärjestelmä lähettää epämääräisen paljon sähköpostia. (Normaali tilanne on tietysti oltava selvillä, jotta tätä voi seurata)
• Palvelinjärjestelmän valvontasovellus/eheydenvalvontaohjelmisto ilmoittaa konfiguraatiomuutoksista, vaikka järjestelmässä ei tehdä huoltotoimenpiteitä.
• Järjestelmässä ollaan kirjautuneena epätavalliseen kellonaikaan.
• Järjestelmän lokitiedoista havaitaan epätavallisia kirjautumisyrityksiä, kuten useita virheellisiä salasanoja tai onnistuneita kirjautumisia vaikkapa keskellä yötä. 
• Internetin keskustelukanavilla tai tiedostonjakopaikoissa on havaittu organisaation tietojärjestelmiin tai palveluihin liittyviä tietoja. 
• lokien hallinta
• IDS (Instrusion Detection Systems)
• honeypotit

IDS:n voi suomentaa tunkeilijan havaitsemisjärjestelmäksi. Eli IDS on järjestelmään asennettava järjestelmä, joka tunnistaa verkkoon suuntautuvat hyökkäysyritykset.

Honeypot on suorasanaisesti suomeksi hunajapurkki. Tietojenkäsittelyn terminologiassa se tarkoittaa ansaa, jonka tarkoitus on antaa tietoa tietojärjestelmään kohdistuvista uhkista. Hunajaa voidaan tarjota esimerkiksi tietomurtautujalle niin, että hänen annetaan kuvitella päässeensä läpi huonosti suojatusta turvaohjelmasta, mutta todellisuudessa hän onkin joutunut ansaan ja eristetyksi muusta järjestelmästä.

Hyvä tietää rikoksista

Tietoturvan poikkeamista puhuttaessa törmätään automaattisesti tietoturvarikoksiin. Näihin voi moni syyllistyä tietämättään muun muassa omalla työpaikallaan, ellei henkilöstöä ole riittävän hyvin informoitu.

”Tietoturvarikolliseksi” leimautuminen tahtomattaan tai tietämättään omalla työpaikalla voi olla raju kokemus. Seuraukset saattavat olla vakavat.

On hyvä kerrata rikosnimikkeitä, joita tietoturvarikosten yhteydessä käytetään. Rikoslaissa tietotekniikkarikoksiksi nimetään seuraavat:

• viestintäsalaisuuden loukkaus
• tietoliikenteen häirintä
• tietojärjestelmän häirintä
• tietomurto
• identiteettivarkaus
• vahingonteko
• datavahinkoteko
• luvaton käyttö

Jos organisaatio joutuu tietoturvarikoksen kohteeksi, siitä on parasta tehdä ilmoitus poliisille. Vuosina 2010–17 tällaisia rikoksia tutkittiin Suomessa 2245 kappaletta. Vaara siis vaanii jatkuvasti selän takana ja joskus aivan konkreettisesti silmien edessä.

Tietoja vääriin käsiin

Tietoturvaloukkauksen alkulähde on rikollisten lisäksi usein myös organisaation omassa henkilöstössä. Yleinen oman henkilöstön aiheuttama tietoturvapoikkeama on tiedon joutuminen vääriin käsiin.

Näin voi tapahtua esimerkiksi kannettavan tietokoneen katoamisen tai varastamisen seurauksena, jolloin siinä olevat tiedot joutuvat ulkopuoliselle. Vaaralliseksi tilanteen tekee se, jos organisaatio ei ole riittävästi huomioinut ja ohjeistanut tietojen tallentamisen ja käsittelyn periaatteita.

Ensisijaisen tärkeää on, että päätelaitteissa oleva tieto on salattu ja suojattu riittävän vahvoilla salasanoilla.

Ei ole epätavallista sekään, että tietoa joutuu ulkopuolisille työntekijöiden julkisilla paikoilla tapahtuvan huolimattoman keskustelun tuloksena. 

Tällaisiin vahinkoihin voidaan puuttua etukäteen ainoastaan koulutuksella ja hyvällä ohjeistuksella sekä korostamalla tietoturvajärjestelyjen tärkeyttä. Liian löysäsuisen ja huolimattoman tietojen suojaamisen tuloksena organisaatio voi joutua vaikkapa kiristyksen kohteeksi.

Suojautuminen, ennaltaehkäisy ja koulutus ovat organisaation parhaat keinot vähentää poikkeamailmoituksia ja sitä kautta poikkeamailmoituksia.