Tietomurtotilastot ovat raitista luettavaa: jos luet tätä blogia säännöllisesti, olet varmasti huomannut, että tietomurrot ovat yleisiä ja alkavat usein sosiaalisesta manipuloinnista, jota täydennetään tietojenkalastelulla.
Vuonna 2021 Cisco kirjasi, että 90 prosenttia tietomurroista alkaa tietojenkalastelulla, ja suurin osa näistä murroista perustuu kohdennettuun spear-phishingiin. Tietohyökkäyksellä tai jopa onnettomuudella, joka johtaa tietojen katoamiseen, on monia seurauksia. Mutta mitä tapahtuu tietomurron jälkeen? Jonkun on yleensä otettava vastuu siitä, että ovi on jätetty auki tietoverkkorikollisille, joten kuka kantaa vastuun tietomurrosta?
Tietomurtoon osallistuvat ihmiset
Tietomurrolla on kauaskantoiset vaikutukset organisaation työntekijöihin. Tietoverkkohyökkäys koskettaa yrityksen ydintä aina johtoportaasta työntekijöihin:
Toimitusjohtaja
Toimitusjohtajalla on keskeinen rooli siinä, miten kyberturvallisuuteen suhtaudutaan organisaatiossa. Turvallisuuskulttuuri lähtee ylhäältä alaspäin, ja tietoturvaloukkaus on osoitus siitä, että tässä kulttuurissa on rako. Toimitusjohtajat ovat myös verkkorikollisten tähtäimessä, sillä toimitusjohtajapetoksen ja Business Email Compromise (CEO) -petoksen kaltaisissa huijauksissa käytetään toimitusjohtajan valtuuksia petosten tekemiseen.
Analyytikko Gartner kiteyttää tilanteen ennustamalla, että vuoteen 2024 mennessä 75 prosenttia toimitusjohtajista voi olla henkilökohtaisesti vastuussa tietoverkkoturvaloukkauksista, jos heidän yrityksensä ei keskity kyberturvallisuuteen tai investoi siihen riittävästi. Kun tietomurto tapahtuu, toimitusjohtajan on oltava valmis hallitsemaan tilannetta ja lieventämään sen vaikutuksia liiketoimintaan.
Turvallisuuspäällikkö tai CISO (Chief Information Security Officer).
Turvallisuuspäällikkö on ilmeisesti ensimmäinen yhteyshenkilö, kun jokin turvallisuuteen liittyvä asia menee pieleen. Tripwiren tutkimuksessa 21 prosenttia IT-päättäjistä syyttää tietoturvaloukkauksesta CISO:ta. Tämä ei ole yllättävää, sillä CISO:n tehtävänä on päättää parhaista turvallisuuskäytännöistä ja valvoa niiden täytäntöönpanoa.
Kun tietoturvaloukkaus tapahtuu, CISO tai turvallisuuspäällikkö on se, joka on paikalla keräämässä palasia tiiminsä rinnalla.
Turvallisuus- tai IT-ryhmä
Tietotekniikka- tai tietoturvaryhmän jäsenet ovat johtajiensa ohella tietomurron kärjessä. Heidän tehtävänään on tunnistaa tietomurto ja reagoida siihen. Tämä tapahtuu joko sisäisesti tai kolmannen osapuolen hallinnoidun tietoturvapalvelun tarjoajan toimesta. Tietomurron tunnistaminen voi kuitenkin kestää kauan.
Esimerkiksi IBM:n tutkimuksessa havaittiin, että tietoturvaloukkauksen havaitseminen kestää keskimäärin 212 päivää ja sen rajoittaminen 75 päivää. IT- ja tietoturvahenkilöstölle tämä merkitsee paljon työtä, joka vie aikaa ydinprojekteilta.
Compliance Officer
Tietosuojaloukkauksen jälkeen sääntöjen noudattamisesta vastaavaan henkilöön kohdistuu valtavia paineita. Hänen tehtävänään on varmistaa, että säännöksiä noudatetaan tietomurron jälkeen. Tämä tarkoittaa, että on oltava tekemisissä sääntelyn valvojan kanssa ja ilmoitettava hänelle tietomurron mittarit. Tietomurron vaikutuksesta ja lainsäädännöstä riippuen tämä voi tapahtua 24 tunnin kuluessa tietomurron havaitsemisesta.
Vaatimustenmukaisuudesta vastaavien virkamiesten on myös käsiteltävä tietoturvaloukkauksen kauaskantoisia seurauksia, kuten asiakkaiden ja lehdistön ilmoituksia. Lopuksi compliance-vastaavan tehtävänä on tehdä yhteistyötä CISO:n ja muiden tahojen kanssa tietoturvaloukkauksen aiheuttaneen tilanteen korjaamiseksi, jotta se ei toistuisi.
Markkinointi ja PR
Markkinointi saattaa vaikuttaa täysin tietomurron torjunnan ulkopuoliselta, mutta markkinoinnin ja PR:n on oltava yhä tärkeämmässä roolissa. Tietomurto aiheuttaa usein hämmennystä ja haitallista altistumista tuotemerkille.
Tietoverkkohyökkäyksen taloudellisia kustannuksia käsittelevässä raportissa todettiin, että 71 prosenttia CMO:ista oli vakuuttunut siitä, että tietoturvaloukkauksen suurin kustannus on brändin arvon menetys. Lisäksi Okta ja YouGov totesivat tutkimuksessaan, että 39 prosenttia brittiläisistä työntekijöistä on menettänyt luottamuksensa yritykseen, joka on käyttänyt heidän tietojaan väärin.
Luottamus rikkoutuu, kun tietomurto tapahtuu. Tämä vaikuttaa olennaisesti yrityksen markkinointiin ja PR-toimintaan. Organisaation markkinoijien on pyrittävä ratkaisemaan tietomurron vaikutus organisaation brändiin.
Työntekijät
Suora vastuu tietoturvaloukkauksen ehkäisemisestä ja jälkihoidosta voi olla ylimmällä johdolla. Silti myös työntekijät joutuvat kärsimään: työntekijät ovat osa tietomurron laajempaa vastuunjakoa aina työmoraalin laskusta stressitason nousuun ja vahingossa tapahtuneesta tietojen paljastumisesta johtuviin kurinpitotoimiin. Siksi työntekijöiden on oltava osa yleistä turvallisuuskulttuuria, joka antaa heille valtuudet.
Tietomurron seuraukset tosielämässä
Tietomurron vaikutukset eivät rajoitu pelkästään taloudellisiin seurauksiin, vaan työntekijät kärsivät aineellisesti, menettävät usein työpaikkansa ja jotkut saattavat jopa joutua vankilaan. Esimerkiksi Shred-IT:n vuonna 2018 tekemässä raportissa todettiin, että 30 prosenttia tietomurrosta kärsineistä brittiläisistä yrityksistä irtisanoi työntekijän työsopimuksen huolimattomuuden vuoksi.
Esimerkkejä viimeaikaisista tietomurroista, jotka osoittavat, miten kauaskantoisia vaikutuksia organisaatioon voi olla ja kuka lopulta joutuu kärsimään:
Uber: autonvuokrausyritys kärsi vuonna 2016 tietomurrosta, joka koski 57 miljoonaa asiakasta. Uberin turvallisuuspäällikkö (Joe Sullivan) ei kuitenkaan paljastanut tietomurtoa. Sen sijaan turvallisuuspäällikön väitetään käskeneen henkilökuntaansa pitämään tietämyksen tietomurrosta "tiukasti hallinnassa" ja esittämään tapauksen osana bugipalkkio-ohjelmaa. Sullivan meni jopa niin pitkälle, että hän maksoi hakkereille 100 000 dollaria osana "bugipalkkiota", ja hakkerit suostuivat allekirjoittamaan salassapitosopimukset osana sopimusta.
Kaiken tämän huijauksen tulos on tuhonnut sekä Uberin että turvallisuuspäällikön. Sullivan todettiin hiljattain syylliseksi siihen, että hän ei ollut paljastanut tietoturvaloukkausta, ja häntä uhkaa enintään viiden vuoden vankeusrangaistus estämisestä ja kolmen vuoden vankeusrangaistus virheen tuottamuksesta. Uberin osalta yhtiö sai 148 miljoonan dollarin (130 miljoonan punnan) sakot vuonna 2018.
DWP (työ- ja eläkeministeriö): vuonna 2010 26 työntekijää sai potkut, koska he olivat "nuuskinut henkilötietoja". Tiedot oli tallennettu työ- ja eläkeministeriön (DWP) asiakastietojärjestelmään (CIS). Asiasta syytettiin "löyhää turvajärjestelmää" ja huonoja menettelyjä ilmoitusten ja hälytysten seuraamiseksi.
Singhealth: Singhealthin tietomurto vuonna 2018 koski 1,5 miljoonaa potilasta. Tämän seurauksena kaksi työntekijää, Citrix-tiimin johtaja ja tietoturvaloukkauksiin reagoimisesta vastaava johtaja, todettiin huolimattomiksi ja heidät erotettiin. Lisäksi viidelle ylimmälle johdolle, mukaan lukien toimitusjohtaja, määrättiin henkilökohtaiset sakot.
Miten välttää tietomurron henkilökohtaiset seuraukset?
Tieto on kaikkien oma asia, ja tietoturvan pitäisi olla olennainen osa tietoturvastrategiaasi. Tämä on saavutettavissa, jos yritys pyrkii kehittämään koko organisaation läpäisevän turvallisuuskeskeisen kulttuurin. Kuten tästä käy ilmi, tietomurron seuraukset koskevat meitä kaikkia.
Näitä seurauksia voidaan kuitenkin hallita luomalla turvallisuuskulttuuri, jossa kaikki organisaation työntekijät saavat koulutusta siitä, miten tietoverkkorikolliset toimivat, mikä on heidän osuutensa tietojen suojaamisessa ja miten huomaavat phishing-yritykset.
