Tietoturvaloukkauksilla voi olla vakavia vaikutuksia yrityksiin ja aiheuttaa vakavaa organisatorista ja taloudellista vahinkoa. Vaikutusten minimoimiseksi on ehdottoman tärkeää, että käytössä on hyvät prosessit ja menettelyt, jotta niitä voidaan käsitellä nopeasti ja tehokkaasti.
Turvallisuuspoikkeamien syyt ovat suurelta osin inhimillisiä virheitä. Hyvien menettelyjen ja prosessien toteuttaminen on mahdollista vain, jos yrityksellä on erittäin hyvä turvallisuus- ja avoin virhekulttuuri. Periaatteessa oikea käsittely voidaan jakaa kolmeen osa-alueeseen:
- Tietoturvaloukkausten seuranta
- Todisteiden kerääminen
- Reagointi tietoturvaloukkauksiin
BSI (Saksan liittovaltion tietoturvavirasto) ja ISO 27000 -sarja tarjoavat erinomaiset ohjeet tietoturvaloukkausten asianmukaiseen käsittelyyn. Tällaista kehystä olisi käytettävä yrityksen koosta riippuen.
Tapahtuman ja vaaratilanteen välinen ero
Tietoturvatapahtumasta on kyse aina, kun järjestelmässä, palvelussa tai verkossa on havaittu tapahtuma, joka viittaa mahdolliseen tietoturvaohjeiden rikkomiseen tai aiemmin tuntemattomaan seikkaan, joka voi olla tietoturvan kannalta merkityksellinen. Tapahtuman kohdalla ei siis voida vielä raportoida vaikutuksia tai tarkkaa vaaratilannetta. Toisaalta vaaratilanne on tapahtuma, joka on sattunut ja joka on todennäköisesti vaarantanut liiketoiminnan ja tietoturvan. Näin ollen yksi asianmukaisen käsittelyn tärkeimmistä osatekijöistä on vaaratilanteiden asianmukainen seuranta ja analysointi, kuten seuraavasta kaaviosta käy ilmi:
Tietoturvaloukkausten vähentäminen
Tietoturvakulttuuri vaikuttaa merkittävästi tietoturvaloukkausten määrään ja vaikutuksiin yrityksessä. Yrityksessä pitäisi olla selkeä rakenne siitä, miten toimitaan, ja jokainen asianomainen henkilö on sisäistänyt sen. Tämä luo turvallisuutta. Jos menettelytapa on selkeä, virheiden määrä vähenee, ja tehtäviä ja viestintäkanavia voidaan käsitellä tehokkaammin. Myös tapahtumien ja vaaratilanteiden selkeä erottaminen toisistaan on välttämätöntä, jotta priorisointi on mielekästä. Lisäksi virheistä olisi voitava tiedottaa avoimesti, jotta tapahtumia ei salattaisi ja jotta aikatekijää voitaisiin käyttää myöhempiin reaktioihin ja vastatoimiin.
Kehittyneet pysyvät uhat (APT) - kohdennetut verkkohyökkäykset
APT:t ovat kohdennettuja hyökkäyksiä valittuja henkilöitä, yrityksiä tai instituutioita vastaan. Prosessin aikana verkkoon saadaan pysyvä pääsy, jonka tavoitteena on levitä muihin IT-järjestelmiin. Hyökkääjien profiilille on ominaista korkea motivaatio ja erittäin suuri resurssien käyttö. Rikollisjärjestöt ovat yleensä näiden hyökkäysten takana, ja niillä on vakavia seurauksia.
Jotta tällaisten tapahtumien vaikutukset voidaan korjata parhaalla mahdollisella tavalla, tarvitaan ennalta valmisteltua rakennetta ja vuokaavioita. Ensin on suljettava tai eristettävä järjestelmät, joihin vahinko on kohdistunut, leviämisen vähentämiseksi. Sen jälkeen mitään ei pidä kiirehtiä, ja vahingoittunut IT-ympäristö voidaan siivota suunnitelman mukaisesti. Kun kaikki vaiheet on suoritettu, ympäristö voidaan palauttaa tuottavaan tilaan puhdistuksen jälkeen.
IT-teknisen rikostekniikan merkitys tietoturvaloukkausten yhteydessä
Oletetaan, että hyökkääjä on vaarantanut työasemamme ja että haitallista koodia on suoritettu tartuttamaan muita IT-järjestelmiä. Nyt, ennen kuin muihin järjestelmiin on tunkeuduttu, vaarantunut järjestelmä voidaan tunnistaa ja sammuttaa. On kuitenkin myös tärkeää tehdä järjestelmästä rikostekninen analyysi, jotta voidaan varautua uusiin vastaaviin tapauksiin ja hillitä tapauksen vaikutuksia. Asiantuntijoita voidaan kuulla ulkopuolisilta asiantuntijoilta tai perustaa sisäisiä ryhmiä.
Kun rikostekniset tiimit käsittelevät tietoturvaloukkauksia, ensisijaisesti keskitytään siihen, että hyökkääjä suljetaan pois järjestelmästä. Tämän jälkeen analysoidaan ja selvitetään tärkeimmät kysymykset:
- Minkälaisten olosuhteiden vuoksi järjestelmä vaarantui?
- Mitä tietoturva-aukkoja käytettiin hyväksi?
- Milloin hyökkäys tapahtui ja kuinka kauan se on jatkunut?
Kun kaikki kysymykset on selvitetty, toimenpiteet voidaan toteuttaa ja portit sulkea.
Etätyön häiriötilanteiden hallinta
Etätyöntekijöiden määrän kasvun ja Corona-pandemian aiheuttaman nopean muutoksen vuoksi monet työntekijät ovat usein olleet epävarmoja. Kuten aiemmissa kappaleissa on selitetty, epävarmuus on yksi suurimmista tietoturvaloukkauksiin johtavista tekijöistä, ja se suosii vakavia seurauksia. Tästä syystä valvontatoimenpiteitä on laajennettava entisestään erityisesti etätyötiloissa, ja pääsy yrityksen verkkoihin on voitava osoittaa selkeästi. Tämä on ainoa tapa kompensoida eksponentiaalisesti kasvanut hyökkäyspinta. Tärkeä seikka on hyvin jäsennelty ja helposti saatavilla oleva työntekijöiden tietoturvaloukkausten raportointiprosessi. Raportointiketjuista ja yhteyshenkilöistä olisi tiedotettava säännöllisesti. Lisäksi tarvitaan tietoisuutta lisääviä toimenpiteitä, jotta uhat olisivat jatkuvasti läsnä ja jotta menettelyjä voitaisiin kouluttaa. Vain siten voidaan vähentää virhetasoa ja luoda itseluottamusta tietoturvaloukkausten ja -tapahtumien käsittelyyn.