VAHTI 3/2005 Tietoturvapoikkeamatilanteiden hallinta

TIIVISTELMÄ JA OHJEEN RAKENNE

Luvussa on johdatus tämän ohjeen aihepiiriin. Tietoturvallisuudesta huolehtiminen on osa organisaation koko toiminnan laatua ja siten siihen panostamisen aste on ylimmän johdon strateginen valinta.
Luvussa 1.1 käydään läpi keskeistä tietoturvapoikkeamatilanteissa ja niihin varautumisessa sovellettavaa, organisaatioita sitovaa lainsäädäntöä.
Luku 2 käsittelee tietoturvapoikkeamiin varautumista. Normaalitoiminnan tietoturvallisuuden hyvä taso ja poikkeamareagoinnin suunnittelu ehkäisevät tietoturvapoikkeamien toteutumista, vähentävät poikkeamissa syntyviä vaurioita sekä edistävät niistä toipumista.

Ohjeen luvussa 2.1 käsitellään ennaltaehkäiseviä toimenpiteitä.

Ennaltaehkäisy on olennainen osa organisaation tietoturvallisuuden toteuttamista.
Huomiota kiinnitetään tietoturvan strategisen ja käytännön tason määrittelyyn ja ohjeistukseen. Tähän liittyy olennaisesti myös henkilökunnan jatkuva tietoturvakoulutus ja organisaation tietoturvakulttuurin luominen. Tietoturvallisuuteen liittyvät vastuut niin normaalitilanteissa kuin tietoturvapoikkeamatilanteiden aikana tulee määritellä ennakolta, kirjata toimenkuviin ja tiedottaa organisaation sisällä. Vastuu tietoturvasta on aina organisaatiolla itsellään riippumatta tietohallinnon ja tietoturvallisuuden toimintojen käytännön toteutuksesta (mahdollinen ulkoistus tai alihankinta). Tämä edellyttää organisaatiolta riittävästi omaa tietoturvaosaamista.
Tietoturvallisuuden jatkuva kehittäminen ja sen tason seuranta varmistavat organisaation kannalta tarkoituksenmukaisen tietoturvatason. Tarkoituksenmukaisen tietoturvatason määritteleminen on osa organisaation yleistä riskienhallintaa. Olennainen merkitys tietoturvapoikkeamien ehkäisyssä on osaavalla ja vastuuntuntoisella tietojärjestelmien ylläpidolla.Verkostoituminen omien sidosryhmien kanssa on tietoturvankin osalta hyödyllistä ja osin myös välttämätöntä.

Luvussa 2.2 esitellään keinoja varautua ennalta sekä tietoturvapoikkeamien havaitsemiseen että mahdollisiin poikkeamatilanteisiin reagoimiseen.

Tarkoituksenmukainen reagointi edellyttää, että ymmärretään, millä tavoin erilaiset tietoturvapoikkeamat ilmenevät ja mitä syitä näkyvien oireiden taustalla voi olla. Kyseessä saattaa olla tahaton poikkeamatilanne tai tahallinen tietoturvaloukkaus. Tahattomia poikkeamia ovat yhtälailla laiterikot, vasta tuotantoympäristössä ilmenevät päivityksen sivuoireet, tuottamukselliset ylläpidon laiminlyönnit tai sähkönjakeluun vaikuttavat luonnonkatastrofit. Tahalliset tietoturvaloukkaukset jaetaan satunnaisesti kohteensa valitseviin sekä kohdistettuihin hyökkäyksiin. Kohdistetussa hyökkäyksessä tietoturvaloukkauksen tekijä valitsee kohteen sen sisältämän tiedon tai esimerkiksi kohdetta kohtaan tuntemansa kaunan perusteella.

Luvussa käydään esimerkinomaisesti läpi varautumista muutamaan erilaiseen poikkeamatilanteeseen sekä tuodaan esiin tietoturvapoikkeamien taustalla olevia rikoksia.
Poikkeaman vaikuttavuudesta sekä tyypistä riippuu, millä tavoin ja millaisella organisaatiolla poikkeamaan on syytä reagoida. Sekä päätöksentekovastuut, reagointiryhmät että reagointimekanismit on määriteltävä etukäteen erilaisia poikkeamatilanteita varten. Ennakolta on myös varattava resurssit ja luotava rakenteet, joilla voidaan taata tilannetta selvittävän ja korjaavan ylläpidon mahdollisuus keskittyä poikkeaman hallitsemiseen. Merkittäviin poikkeamiin reagoinnissa tehdään yhteistyötä organisaation mahdollisen kriisinhallintaryhmän kanssa.
Reagoinnin ja toipumisen harjoittelu on tärkeä osa poikkeamatilanteisiin varautumista. Harjoittelu on hyvä suunnitella pitkäjänteisesti, jotta kaikkia eri toimintoja tulee testattua myös harjoitustilanteissa. Harjoitus palvelee operatiivisten toimijoiden kykyä reagoida poikkeamiin ja sen avulla saadaan tietoa reagointi- ja toipumissuunnitelmien toimivuudesta ja muista tietoturvallisuuden kehittämistarpeista.

Tiedottamisella ja viestinnällä on poikkeamatilanteissa keskeinen merkitys mm. lisävahinkojen estämisessä sekä organisaation julkisuuskuvan kannalta. Tiedotuksen ja viestinnän tulee olla suunnitelmallista. Erityisesti organisaatiosta ulospäin suuntautuva viestintä tapahtuu yhteistyössä viestintäyksikön kanssa. Sidosryhmien välinen verkosto poikkeamatilanteita varten on syytä rakentaa jo normaalioloissa.

Myös poikkeamatilanteesta toipuminen on syytä suunnitella mahdollisimman tarkasti etukäteen, jottei harkitsemattomilla toimenpiteillä siinä vaiheessa aiheuteta lisää vahinkoa. Keskeistä ovat ajantasaiset toipumissuunnitelmat sekä niihin liittyvät varajärjestelyt ja huoltosopimukset. Näitä käsitellään lyhyesti luvussa 2.3.

Ohjeen luku 3 keskittyy varsinaiseen reagointiin tietoturvapoikkeaman tapahduttua.

Riippumatta siitä, kuka organisaation käyttämät tietotekniikkapalvelut toteuttaa, vastuu tietoturvapoikkeamiin reagoinnista ja kyvystä reagoida on organisaatiolla itsellään. Reagointi pohjautuu onnistuneeseen tapahtuma-analyysiin ja poikkeaman vakavuuden määrittelyyn. Poikkeamia ei useinkaan havaita heti koko laajuudessaan, vaan ensin huomataan jokin normaalitilasta poikkeava yksityiskohta, indikaatio mahdollisesta poikkeamasta. Havaittuihin indikaatioihin ja poikkeamiin on suhtauduttava vakavasti. Jo poikkeaman epäilyn tulee käynnistää selvitystoimet.
Koko poikkeamatilanteen ajan kirjataan tehdyt havainnot, päätökset ja toimenpiteet.
Toimenpiteet, mukaan lukien poikkeaman kohteen eristäminen, riippuvat poikkeaman tyypistä: esimerkiksi palvelunestohyökkäys edellyttää erilaisia toimenpiteitä kuin tietomurto. Erityisen ryhmänsä muodostavat organisaation oman henkilökunnan tekemät tietoturvaloukkaukset. Luvussa otetaan kantaa, mitä niiden tutkimiseksi on lainsäädännön puitteissa mahdollista tehdä sekä millaisia seuraamuksia organisaatio voi niistä tekijälle työnantajan roolissa määrätä.

Todisteaineistolla on tärkeä merkitys niin tapahtumien selvittämisessä kuin mahdollisessa oikeusprosessissakin. Käyttötarkoitus vaikuttaa todisteaineiston keräämiseen ja käsittelyyn, jotka  eivät saa olla ristiriidassa asianosaisten oikeusturvan kanssa.

Poikkeamaan liittyvän viestinnän ja tiedottamisen tulee käynnistyä poikkeaman havaitsemisen myötä. Kohderyhmiä organisaatio sisällä ovat kaikki, joiden toimintaan poikkeama vaikuttaa, poikkeaman selvittämiseen osallistuvat sekä poikkeaman aikaista toimintaa ohjeistavat tahot. Merkittävistä poikkeamista tulee informoida myös organisaation johtoa ja viestintäyksikköä sekä mahdollista kriisinhallintaryhmää.

Poikkeamatilanteessa on usein syytä kommunikoida myös ulkopuolisten sidosryhmien ja asiantuntijoiden kanssa. Tilanteen ratkaisemiseen voi saada tukea CERT-toimijoilta (Computer Emergency Response Team) sekä tietotekniikkarikostutkijoilta ja muilta poliisiviranomaisilta. He ottavat mielellään vastaan tilastointimielessä oman toimialansa liittyvää tietoa, vaikka organisaatio ei tarvitsisikaan apua tai halua tehdä rikosilmoitusta.

Valtiovarainministeriö (VM) ohjaa ja koordinoi valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Valtionhallinnon organisaatioiden on hyvä tiedottaa merkittävistä tietoturvapoikkeamista valtiovarainministeriön hallinnon kehittämisosastoa. Valtiontalouden tarkastusvirastosta annetun lain perusteella tehdään tarvittavat ilmoituksen myös sinne.

Luvussa 4 annetaan ohjeita tietoturvapoikkeamatilanteesta toipumiseen.

Tuotantokäytön aloittaminen poikkeamatilanteen jälkeen edellyttää, että tarvittavat akuutit korjaukset on toteutettu ja tiedot ja tietojärjestelmät palautettu niin hyvään kuntoon kuin mahdollista. Olennainen osa toipumista on poikkeamatilanteen aikana saatujen oppien kokoaminen ja tietoturvallisuuden kehitys- ja toipumissuunnitelmien tarkentaminen ja täydentäminen niiden perusteella. Myös poikkeamatilanteen jälkeen tulee huolehtia tiedottamisesta: asianosaosaisille kerrotaan tilanteen normalisoituneen. Jos poikkeamasta on aiemmin tiedotettu julkisuudelle, voidaan lehdistötiedotetta harkita myös tässä vaiheessa.

Onnistunut toipuminen tietoturvapoikkeamatilanteesta edellyttää hyvää varautumista ja antaa siten aiheen palata kehittämään luvussa 2 esille tuotuja asioita.

Päivitetty: 9.6.2020