Tuskin kuluu viikko ilman, että tietomurto on otsikoissa. Tietoverkkorikolliset ovat normalisoineet tietojenkalastelun, ja tuloksena on valtavia määriä varastettuja tietoja.
Tietoturva-alan järjestön ISACA: n tuoreen raportin mukaan alle neljännes brittikuluttajista katsoo, että yritykset suojelevat heidän henkilötietojaan. Raportissa korostetaan myös tietomurtojen todellisia vaikutuksia, sillä lähes puolet kuluttajista sanoo, etteivät he enää asioisi sellaisen yrityksen kanssa, joka on joutunut tietomurron kohteeksi.
Kadonneet tiedot merkitsevät menetettyjä asiakkaita, suuria sakkoja ja mainehaittoja. On tärkeää tietää, miten tietomurron kanssa toimitaan, kun se tapahtuu.
Seuraavassa on parhaita käytäntöjä tietomurron käsittelemiseksi.
Henkilötiedot ja tietosuoja
Henkilötietoja ovat kaikki tiedot, joita voidaan käyttää yksilön tunnistamiseen. Esimerkiksi nimi, osoite, ikä, sähköpostiosoite, puhelinnumero ja niin edelleen. Nämä tiedot ovat kuin kultapölyä tietoverkkorikollisille, ja ne ovat vaarassa jo pelkän vahingossa tapahtuvan paljastumisen vuoksi.
Henkilötietoja on suojattava erilaisten tietosuojaa ja yksityisyyden suojaa koskevien säännösten mukaisesti. Esimerkiksi Yhdistyneen kuningaskunnan vuoden 2018 tietosuojalaissa (Data Protection Act 2018, DPA2018) kuvataan tietosuojasäännöt, joilla varmistetaan henkilötietojen turvallisuus. DPA2018:n perusperiaatteet ovat, että tietojen on oltava:
- käytetään oikeudenmukaisesti, laillisesti ja avoimesti
- käytetään tiettyihin, nimenomaisiin tarkoituksiin
- käytetään tavalla, joka on riittävä, merkityksellinen ja rajoitettu vain välttämättömään.
- täsmälliset ja tarvittaessa ajan tasalla olevat tiedot.
- säilytetään vain välttämättömän ajan
- joita käsitellään tavalla, jolla varmistetaan asianmukainen turvallisuus, mukaan lukien suojaaminen laittomalta tai luvattomalta käsittelyltä, pääsyltä, katoamiselta, tuhoutumiselta tai vahingoittumiselta.
Vuoden 2018 tietosuojasäännöstöä verrataan toisinaan EU:n tietosuoja-asetukseen. Siksi DPA2018:sta käytetään myös nimitystä Yhdistyneen kuningaskunnan tietosuoja-asetus. DPA 2018/UK GDPR:n ja EU:n GDPR:n välillä on joitakin eroja, esimerkiksi rikostietojen käsittely on Yhdistyneessä kuningaskunnassa vähemmän tiukkaa. Myös profiloinnin lailliset syyt ovat Yhdistyneessä kuningaskunnassa vähemmän tiukkoja kuin EU:ssa.
Molemmissa edellytetään kuitenkin henkilötietojen suojaamista, ja tietomurron tapahtuessa on täytettävä tietyt murron jälkeiset ehdot. Näihin kuuluvat rikkomisesta ilmoittamista koskevat säännöt ja mahdolliset sakot, jos sääntöjä ei noudateta.
Miten tietomurto tapahtuu?
Kaikkialla, missä tietoja luodaan, säilytetään, jaetaan tai käytetään, ne ovat vaarassa joutua varastetuksi tai vahingossa alttiiksi. Tietomurtoja aiheuttavat erilaiset kyberuhat, kuten:
- Phishing - huijarit varastavat tietoja suoraan käyttämällä haitallisia verkkosivustoja. Vaihtoehtoisesti verkkorikolliset käyttävät spear phishing -kalastelua varastamaan kirjautumistietoja. Näillä tunnuksilla päästään sitten yrityksen verkkoihin ja sovelluksiin. Jopa henkilökunnan tunnukset ilman käyttöoikeuksia voivat johtaa tietokantahakkeisiin ja massiivisiin tietomurtoihin.
- Sosiaalinen manipulointi - verkkorikolliset huijaavat työntekijöitä luovuttamaan henkilötietoja, joita he sitten käyttävät uusien rikosten tekemiseen. Petostentekijät käyttävät monia keinoja, kuten puhelinsoittoja ja sosiaalista mediaa, sosiaalisen manipuloinnin toteuttamiseen. Nämä hyökkäykset voivat lopulta johtaa merkittävämpiin tietomurtoihin.
- Väärin konfiguroidut verkkokomponentit - yksinkertaiset konfigurointivirheet voivat jättää verkkopalvelimet ja tietokannat avoimiksi hakkereille.
- Ohjelmistojen haavoittuvuudet - ohjelmistokoodin puutteet voivat tehdä tietokannoista, verkkopalvelimista ja muista ohjelmistoista haavoittuvia hyökkäyksille. Usein ohjelmistohaavoittuvuuksia käytetään yhdessä muiden hyökkäyskeinojen, kuten tietojenkalastelun, kanssa haittaohjelmien, kuten lunnasohjelmien, asentamiseen. Tämä johtaa sitten merkittävämpiin tietomurtoihin.
- Haittaohjelmatartunta - kaikki edellä mainitut tekniikat ja taktiikat voivat johtaa haittaohjelmatartuntaan. Haittaohjelmat voivat esimerkiksi johtaa tietojen siirtymiseen takaisin tietoverkkorikolliselle, joka odottaa, että se voi myydä ne pimeän verkon markkinapaikalla. Tai se voi johtaa lunnasohjelmatartuntaan. Usein lunnasohjelmat varastavat tietoja ennen kuin ne salataan ja yritetään kiristää.
- Tahattomat tietomurrot - henkilötiedot eivät ole vaarassa vain tietoverkkorikollisten taholta. Vahingossa tapahtuva tietojen paljastuminen on tietomurron muoto, joka voi johtua yksinkertaisista virheistä ja huolimattomista toimista.
The Cost of a Data Breach 2022 -raportin mukaan:
- Tärkeimmät tietomurtoja aiheuttavat hyökkäysvektorit: varastetut tai vaarantuneet tunnistetiedot (19 % tietomurroista), tietojenkalasteluhyökkäykset (16 % tietomurroista) ja pilvipalvelun virheellinen konfigurointi (15 % tietomurroista). Kaikki nämä vektorit voivat johtua inhimillisestä erehdyksestä; esimerkiksi työntekijä ei tajua, että häntä on kalasteltu, ja napsauttaa haitallista linkkiä, joka johtaa varastettuihin tunnistetietoihin.
Samanlaisia lukuja saatiin Verizonin Data Breach Investigation Report - raportista vuodelta 2022:
- 82 prosentissa tietoturvaloukkauksista on mukana ihminen, joka esimerkiksi klikkaa phishing-linkkiä jossain vaiheessa hyökkäystä.
- 62 prosentissa tietomurroista käytetään toimitusketjun toimittajia. Hyökkääjät käyttivät jälleen sosiaalisen manipuloinnin taktiikoita kohdistaakseen hyökkäyksensä kolmannen osapuolen toimittajiin ja hyökätäkseen ketjun ylempänä oleviin yrityksiin.
Hakkerit voivat aiheuttaa vahinkoa
Petostentekijät käyttävät henkilötietoja erilaisten verkkorikosten tekemiseen. Esimerkiksi identiteettivarkaudet: Yhdistyneen kuningaskunnan CIFAS National Fraud Database -tietokannassa identiteettivarkauksien määrä kasvoi 11 prosenttia vuoden 2021 ensimmäisellä puoliskolla. Lisäksi CIFAS on havainnut vieläkin merkittävämpää kasvua vuonna 2022, jolloin identiteettivarkaustapaukset ovat lisääntyneet kolmanneksen vuoden 2021 luvuista.
Identiteettivarkaudet aiheuttavat taloudellisia tappioita yksityishenkilöille ja yrityksille, jotka ovat tekemisissä varastetun henkilöllisyyden takana olevan huijarin kanssa. Yhdistyneen kuningaskunnan yritykset ja yksityishenkilöt menettävät vuosittain noin 4 miljardia puntaa henkilöllisyyteen liittyvien petosten vuoksi.
Tietomurtojen kustannukset -raportissa esitetään näyttöä tietomurron vaikutuksista:
- Tietomurron keskimääräiset kustannukset vuonna 2022 olivat 4,2 miljoonaa dollaria (3,8 miljoonaa puntaa).
Tietomurron kustannuksiin sisältyy:
- Tietojärjestelmille aiheutuneiden välittömien vahinkojen korjauskustannukset
- Mainevahingot
- Säännösten noudattamatta jättämisestä määrättävät sakot
- Asiakkaille aiheutuneet vahingot; usein tietomurrot voivat johtaa ryhmäkanteisiin.
- Henkilöstön irtisanomiset ja moraaliongelmat
- Teollis- ja tekijänoikeuksien tai yrityssalaisuuksien mahdollinen vuotaminen.
Mitä tehdä tietomurron sattuessa?
Tietomurrosta kärsivällä organisaatiolla on oltava vankka suunnitelma vaikutusten lieventämiseksi. Seuraavassa on joitakin ideoita ja vinkkejä tietomurron käsittelyyn:
Pysy rauhallisena
Henkilötietojen tietoturvaloukkaus on tapahtunut: tilanteen hallinta on ratkaisevan tärkeää tapahtuman hillitsemiseksi ja vaikutusten minimoimiseksi. Pysy rauhallisena ja selvitä ongelmat.
Vahinkojen arviointi
Tapahtuman tutkinta on kiireellinen tehtävä. Sinun on ilmoitettava viranomaisille, jos tietoturvaloukkaus täyttää kriteerit, joiden perusteella se voidaan luokitella ilmoitettavaksi tietoturvaloukkaukseksi. Esimerkiksi Yhdistyneessä kuningaskunnassa Information Commissioner's Office (ICO) -virastolle on ilmoitettava asiasta 72 tunnin kuluessa tietomurron havaitsemisesta.
Tapahtuman tutkiminen
Kirjaa kaikki tapaukseen liittyvät tosiasiat sitä mukaa kuin saat ne selville. On tärkeää, että kirjaat tapahtumat ja vahingot. Tätä päiväkirjaa voidaan käyttää todisteena, jos tapaus päätyy oikeuteen.
Rajoita rikkomus
Voit kehittää rikkomuksen rajoittamisstrategian, kun arvioit vahinkoja ja kirjaat ylös, mitä on tapahtunut. Rajoitustoimenpiteet riippuvat siitä, minkä tyyppinen tapahtuma on sattunut. Esimerkiksi lunnasohjelmahyökkäys vaatii enemmän teknisiä torjuntatoimenpiteitä kuin asiakastietoja sisältävän sähköpostiviestin virheellinen toimittaminen. Erityyppisten vaaratilanteiden torjuntatoimet olisi määriteltävä huolellisesti turvallisuuspolitiikassa.
Arvioi riski
Arvioi, kuinka paljon vahinkoa tietomurto aiheutti asianosaisille. Onko kyseessä esimerkiksi identiteettivarkauden riski vai voiko joku joutua fyysisen vahingon kohteeksi? Riskitason ymmärtäminen auttaa yritystäsi ohjaamaan asianmukaista reagointia.
Vastaa tapahtumaan
Kyberhyökkäykseen vastaaminen on monitasoista. Siihen kuuluu myös henkilötietojen menetyksen jälkiseurausten käsittely asianosaisten näkökulmasta. Se tarkoittaa myös sitä, että organisaatiosi on arvioitava uudelleen tietoturvatilanteensa. Tarkastellaan, missä nykyiset toimenpiteet ovat epäonnistuneet. Tarvitsetko säännöllisempää tietoturvatietoisuuskoulutusta? Käytätkö salausta asianmukaisesti? Harkitun reagoinnin yhteydessä tarkastellaan koko tapahtumaketjua, jotta voit tiukentaa yritysturvallisuuttasi.
Tietomurron torjuntatoimenpiteet
Tietomurto voi aiheuttaa organisaatiolle mittaamatonta vahinkoa. Kuten edellä mainittiin, todellista muutosta voidaan kuitenkin saada aikaan inhimillisessä tekijässä tietomurtoon johtavassa tapahtumaketjussa.
ISACA:n raportin havainnot osoittavat turvallisuuskoulutuksen tehokkuuden. Raportissa todetaan, että 80 prosenttia organisaatioista totesi, että tietoturvatietoisuuskoulutus vaikuttaa myönteisesti työntekijöiden tietoisuuteen.
Organisaatio voi ehkäistä verkkohyökkäyksiä käyttämällä henkilöstön tietoturvatietoisuuskoulutusta perustavanlaatuisena toimenpiteenä verkkohyökkäysten torjunnassa. Kun tietoturvakoulutukseen lisätään esimerkiksi tietojen salaus ja vankka todennus, on paljon epätodennäköisempää, että tietomurto tapahtuu ilkivaltaisesti tai vahingossa.
