Tieto siitä, miten häiriötilanteiden torjuntasuunnitelma laaditaan, perustuu ihmisten kykyihin. Jos henkilökunta on täysin tietoinen ja koulutettu ilmoittamaan ja hallitsemaan häiriötilanteita, tapahtuma käsitellään tehokkaasti.
Kukaan ei halua kokea tietoturvaloukkausta, mutta valitettavasti tietoturvaloukkauksen käsitteleminen riippuu siitä, milloin, ei siitä, jos. Organisaatiot, jotka kärsivät tietoturvaloukkauksesta, eivät todellakaan ole yksin. Maailman talousfoorumin (World Economic Forum, WEF) mukaan kyberturvallisuus on yksi tärkeimmistä maailmantalouteen kohdistuvista kiireellisistä riskeistä. Raportissa kuitenkin korostetaan, että monenvälisillä toimilla voidaan lieventää verkkohyökkäyksen vaikutuksia.
"Yhteistyöhön perustuvilla torjunta- ja tiedonjakopyrkimyksillä pyritään keskittämään kyberturvallisuusvalmiuksia kyberhyökkäysten vaikutusten vähentämiseksi."
Häiriötilanteiden torjuntasuunnitelma on yksi tällainen ponnistus. Seuraavassa on yleiskatsaus siihen, miksi tarvitset sellaisen ja mitä häiriötilanteiden torjuntasuunnitelman laatimiseen kuuluu.
Miksi tarvitsemme häiriötilanteiden torjuntasuunnitelmaa?
Yhdistyneen kuningaskunnan hallituksen "Cyber Security Breaches Survey 2021" -selvityksessätodettiin, että 27 prosenttia brittiläisistä yrityksistä on kokenut tietoturvaloukkauksen ja että niiden kimppuun hyökätään vähintään kerran viikossa. 39 prosenttia yrityksistä menettää rahaa ja/tai omaisuutta. Tämän kyberuhkien rynnäkön hallitseminen edellyttää häiriötilanteiden torjuntasuunnitelman tarkkaa kohdentamista. Tämä suunnitelma tarjoaa mallin siitä, miten tietoturvaloukkaukseen, kuten haittaohjelmiin, lunnasohjelmiin ja luvattomaan pääsyyn, reagoidaan tehokkaasti.
Tietomurrot tapahtuvat harvoin yhtäkkiä: IBM:n "Cost of a Data Breach 2020" -raportissa todetaan, että vuonna 2019 tietomurron havaitseminen kesti keskimäärin 207 päivää ja sen jälkeen 73 päivää sen rajoittaminen; keskimääräinen "elinkaari" on siis 280 päivää, jonka kuluessa on vähennettävä yrityksen toimintaan kohdistuvia vaikutuksia.
Tietoturvaloukkauksen torjuntasuunnitelma voi auttaa minimoimaan tietomurron rajoittamiseen kuluvan ajan ja hoitamaan sen jälkiseuraukset nopeasti ja tehokkaasti. Tietomurrosta ilmoittamista koskevien sääntöjen kannalta aika on ratkaisevan tärkeää, sillä useissa säädöksissä, kuten DPA2018:ssa ja GDPR:ssä, edellytetään ilmoituksen tekemistä 72 tunnin kuluessa tietomurron tapahtumisesta. Tietoturvaloukkaukseen reagoimissuunnitelma antaa tietoturva- ja vaatimustenmukaisuustehtävissä toimiville tietoa siitä, miten tietoturvaloukkaukseen on reagoitava, ja tarjoaa tiedot, joita tarvitaan tietoturvaloukkausilmoituksen tekemiseen.
Mitä häiriötilanteiden torjuntasuunnitelma sisältää?
Häiriötilanteiden torjuntasuunnitelman luominen on prosessi, johon kuuluu looginen lähestymistapa, joka sisältää tapoja valmistautua, havaita, reagoida ja toipua häiriötilanteesta. Kun sinulla on selkeä ja yksiselitteinen näkemys siitä, mitä tehdä, kun pahin mahdollinen skenaario tapahtuu, se voi olla ero katastrofaalisten jälkiseurausten ja sujuvan etenemisen välillä.
Häiriötilanteiden torjuntasuunnitelman tulisi kattaa seuraavat asiat:
Valmistele
Kuten kaikki kunnon tee-se-itse-rakentajat tietävät, valmistelu on työn tärkein osa. Sama pätee myös häiriötilanteiden torjuntasuunnitelmaa laadittaessa. Suunnitelman valmistelu alkaa ihmisistä.
Roolit ja vastuualueet: Kuka on vastuussa mistäkin toimista, kun vaaratilanne sattuu? Määritä vaaratilanteiden käsittelyä varten tapahtumaryhmä. Tämän pitäisi myös vastata yrityksesi turvallisuuspolitiikkaa koskeviin lausekkeisiin. Henkilöstön kouluttaminen on olennainen osa häiriötilanteisiin varautumista ja niiden torjuntasuunnitelman toteuttamista.
Resurssien inventointi: Luo luettelo kaikkien osastojen resursseista.
Riskinarviointi: Tunnistetaan riskialueet sekä omaisuuden sijainti ja luokittelu. Määritä kunkin riskitaso hyökkäyksen todennäköisyyden ja vaaratilanteen vakavuuden mukaan. Kartoitetaan kyky käsitellä hyökkäys näitä omaisuuseriä vastaan.
Tapahtumatyypit: Minkä tyyppiset vaaratilanteet ovat todennäköisiä ja mikä on vaaratilanne? Jos vaaratilanne tapahtuu, kuka on vastuussa vaaratilanteiden hallintaprosessin käynnistämisestä? Organisaatioiden olisi myös hahmotettava erityyppisten vaaratilanteiden eskalointikriteerit.
Sääntökartoitus: Dokumentoi, mitkä säädökset ovat merkityksellisiä ja mitä vaatimuksia on täytettävä, kun vaaratilanne tapahtuu. Luo ohjeet vuorovaikutuksesta ulkopuolisten viranomaisten kanssa tapahtuman jälkeen.
Tapahtumaloki: Sisällytä loki vaaratilanteisiin reagoimisprosessin hallintaa varten. Tämä voi olla hyödyllistä myös lainsäädännön vaatimustenmukaisuuden kannalta.
Havaitse
Tässä häiriötilanteisiin reagoimisen suunnitteluprosessin toisessa vaiheessa on kyse seurannasta, havaitsemisesta ja varoittamisesta häiriön sattuessa.
Havaitsemisstrategia: Mitä välineitä ja toimenpiteitä käytetään vaaratilanteen havaitsemiseksi? Tähän on sisällytettävä tunnetut, tuntemattomat ja epäillyt uhat. Käytetäänkö esimerkiksi verkon skannaustyökaluja, päätelaitteiden havaitsemis- ja reagointivälineitä (EDR) jne.?
Hälytykset: Mitä järjestelmiä käytetään mahdollisesta tietoturvaloukkauksesta varoittamiseen?
Rikkomuksen arviointi: Miten organisaatiosi löytää nollapäivän haavoittuvuudet tai kehittyneet pysyvät uhat (APT)? Tietoturvaloukkausten arviointia voidaan käyttää tuntemattomien tietoturvaloukkausten ja luvattoman tilinkäytön paikantamiseen.
Vastaa
Se, miten organisaatio reagoi tietoturvaloukkaukseen, on avainasemassa sen varmistamisessa, että tietojen altistuminen minimoidaan ja vahinkoja rajoitetaan. Tietoturvaloukkauksiin reagoiminen kattaa useita osa-alueita, kuten hälytysten lajittelun, joka on tärkeä osa virheellisten reagointiyritysten estämiseksi. Tärkein näkökohta, joka sisältyy vaaratilanteen torjuntaprosessin reagointiosaan, on uhan rajoittaminen ja poistaminen. Häiriötilanteiden torjuntasuunnitelman on katettava seuraavat osa-alueet:
Rikkomuksen arviointi: Uhkan laajuuden määrittäminen ja uhan todellisuus. Tähän sisältyy myös hälytysten luokittelu.
Rajoitusharjoitukset: Kun uhka on tunnistettu, miten se pidetään aisoissa? Tähän voi sisältyä järjestelmien eristäminen uusien tartuntojen/tietovuodon estämiseksi.
Rikkomisen mittareiden arviointi: Mikä on loukkauksen kohteena olevien tietojen luokitus? Oliko tieto arkaluonteista? Vaikuttiko tietoturvaloukkaus sääntelyvaatimuksiin?
Käsittele kaikki infektiot/haavoittuvuudet: Mikä on yleinen prosessi tartunnan saaneiden tiedostojen poistamiseksi ja tartunnan jälkiseurausten käsittelemiseksi.
Säilytä rikkoutuneet artefaktit: Miten tuotetaan loki tapahtumasta ja mahdollisista rikosteknisistä todisteista. Sisällytä tapahtuman kuka, mitä, miksi ja missä.
Valmistaudu tietoturvaloukkauksesta ilmoittamiseen: Tarvittaessa, miten valmistaudutaan mahdolliseen tietoturvaloukkausilmoitukseen. Tähän olisi sisällyttävä julkiset ilmoitukset, ja siinä voidaan antaa malleja.
Yhteydenpito lakiasioiden ja säännösten noudattamisen valvontaan (ja mahdollisesti lainvalvontaviranomaisiin): Yksityiskohtaiset tiedot siitä, kuka on vastuussa oikeudellisista ja sääntöjen noudattamisesta ja miten tämä hoidetaan.
Palauta
Palauttaminen on tapahtumiin reagoimisen viimeinen osa. Häiriötilanteen torjuntasuunnitelmasta olisi käytävä ilmi, miten yritys jatkaa toimintaansa häiriötilanteen jälkeen, mitä kokemuksia siitä on saatu ja millaisia palautusharjoituksia olisi suoritettava:
Onnettomuuden jälkeiset harjoitukset: Miten tapahtuman aikana havaitut puutteet saadaan korjattua.
Poista riski: Riskin poistaminen ja järjestelmien palauttaminen onnettomuutta edeltävään tilaan.
Raportti: Ohjeet vaaratilanneraportin laatimiseen, jotta voidaan ehkäistä tulevia vaaratilanteita. Mutta myös ohjeita jatkuvasta rikosteknisestä tiedonkeruusta ja seurannasta turvallisuuden varmistamiseksi.
Kehykset ja standardit häiriötilanteiden torjuntasuunnitelmaa laadittaessa
Onnettomuuksien torjuntasuunnitelmaa laadittaessa voi olla hyödyllistä saada ohjeita tunnustetuilta viranomaisilta.
ISO 27001 - Liite A.16: on kansainvälisen ISO 27001 -standardin liite, jossa annetaan hyödyllisiä neuvoja siitä, miten laatia protokolla tietoturvaloukkauksen elinkaaren hallintaa varten.
NIST Incident Response Process -prosessi: NIST (National Institute of Standards and Technology) on Yhdysvaltain valtion virasto. NIST:n Incident Response Process -prosessi sisältää yksityiskohtaisesti tässä artikkelissa mainitut neljä vaihetta.
Häiriötilanteiden torjuntasuunnitelman toteuttaminen
Jopa tuhoisien tapahtumien tehokas käsittely lieventää tapahtuman nykyisiä ja tulevia vaikutuksia. Henkilöstön kouluttaminen on kuitenkin monivuotinen haaste, joka on ainutlaatuinen yksittäisen organisaation häiriötilanteiden torjuntasuunnitelmassa. Jokaisen häiriötilanteen lähestymistapa on erilainen; jokaisella organisaatiolla on omat uhkakuvansa ja sisäiset organisaatiorakenteensa.
Henkilökohtaista koulutussisältöä voidaan käyttää vastaamaan kunkin organisaation ainutlaatuisuutta ja sen lähestymistapaa vaaratilanteiden hallintaan. Luomalla yksilöllisen, ainutlaatuista organisaatiorakennettasi heijastavan häiriötilanteiden torjuntasuunnitelman voit varmistaa, että suojaudut erilaisilta uhkilta, joita nykyaikaiset yritykset kohtaavat.
