Tietoturvaloukkauksen hallintasuunnitelma varmistaa, että oikea henkilöstö ja oikeat menettelyt ovat käytettävissä uhan tehokasta käsittelyä varten.
Kuvittele paniikki, kun havaitaan massiivinen tietomurto, joka on saattanut jatkua jo kuukausia. Vuonna 2017 Equifax varoitti maailmaa useiden miljoonien sen valvonnassa olleiden tietueiden varastamisesta.
Varkaus sai alkunsa Apache Strutsin haavoittuvuudesta, joka on laajalti käytetty kehityskehys. Equifax tiesi haavoittuvuudesta, mutta työntekijä, jonka tehtävänä oli korjata se, ei tehnyt sitä. Seurauksena oli joukko valitettavia tapahtumia, kuten se, että korjausskannerit eivät löytäneet muita haavoittuvuuksia, joita pahensivat useat inhimilliset virheet.
Equifax on sittemmin käyttänyt noin 1,4 miljardia dollaria (1 miljardi puntaa ) tietoturvansa parantamiseen. Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimisto (ICO) määräsi yhtiölle myös puolen miljoonan punnan sakon, ja Equifaxin entinen tietohallintojohtaja sai neljän kuukauden vankeustuomion tietomurron käyttämisestä henkilökohtaiseen hyötyyn. Equifaxin tietomurto oli yritysten painajaisten aihe.
Kävelemällä "mailin verran jonkun toisen kengissä" voimme ymmärtää, miten organisaation jokainen osa hoitaa tehokkaasti tietomurron hallinnan. Kun pohditaan, miten kukin osasto voi auttaa purkamaan tietomurtoon johtavaa tapahtumaketjua, voidaan tietomurtoa hallita tehokkaammin.
Tietomurtojen hallinnan miten ja miksi
Tietomurrot vaikuttavat kaikkiin organisaation työntekijöihin. Samoin jokainen voi auttaa estämään tai minimoimaan tietomurron vaikutukset. Seuraavassa tarkastellaan organisaation viiden keskeisen osa-alueen vastuualueita ja kunkin vastuualueen vastuita tietoturvaloukkauksen hallinnassa.
Tietoturvatapahtumaryhmä
Tietoturvaloukkausten hallinta ja estäminen on tietoturvatapahtumaryhmän tärkein tehtävä. Tätä ryhmää on pyydetty yhä useammin, kun tietomurtojen määrä ja voimakkuus ovat lisääntyneet. Ryhmän rooli on keskeinen tietomurron hallinnassa, ja ryhmä luottaa vankkaan prosessiin, joka auttaa heitä tässä tehtävässä. Tietoturvaryhmän olisi voitava käyttää apunaan tietoturvaloukkauksen torjuntasuunnitelmaa ja katastrofista toipumista koskevaa suunnitelmaa tietoturvaloukkauksen hillitsemiseksi. Nämä suunnitelmat auttavat tiedottamaan toimista, kun tietoturvaloukkaus on tapahtunut.
Rikkomuksen rajoittamisen ja hallinnan tyypillisiä vaiheita ovat:
Vahvista rikkomus
Se saattaa vaikuttaa itsestään selvältä, mutta varmista, että tietoturvaloukkaus on tapahtunut ja että se vaikuttaa luottamuksellisiin tai arkaluonteisiin tietoihin. Rikkomuksen analysoinnin aikana kerättyjä tietoja käytetään, jos rikkomus on niin paha, että siitä on ilmoitettava valvontaviranomaiselle. Kerättäviä ja dokumentoitavia tietoja ovat muun muassa seuraavat:
- Miten tietoturvaloukkaus havaittiin
- Missä se tapahtui
- Ketä asia koskee (mukaan lukien mahdolliset ekosysteemitoimittajat).
- Kuka ilmoitti rikkomuksesta
- Päivä(t), jolloin rikkomukset tapahtuivat
- Millaisen riskin tietoturvaloukkaus aiheuttaa organisaatiolle/asiakkaille jne.
- Onko tietoturvaloukkaus nyt täysin hallinnassa?
Miten tietoturvaloukkaus tapahtui?
Tietomurron analysointi ei ole tarpeen ainoastaan säännösten noudattamisen vuoksi, vaan se voi myös auttaa lieventämään tulevaa tietoriskiä. Tietomurtojen dynamiikka on moninaista. Tietoja voi paljastua useiden eri mekanismien kautta sekä vahingossa että ilkivaltaisesti. Tunnista nämä mekanismit: oliko kyseessä työntekijän tahaton paljastuminen vai ilkeä hakkerointi? Käytettyjen vektorien ja taktiikoiden ymmärtäminen voi auttaa lieventämään altistumista ja lieventämään hyökkäystä.
Tietotyyppi, johon tiedot vaikuttavat
On ratkaisevan tärkeää pystyä tunnistamaan tietomurrosta ilmoittamisen ja sääntöjen noudattamisen kannalta, että pystytään tunnistamaan, minkälainen riskitaso tietoihin kohdistuu, sekä ymmärtämään kokonaisvaikutus liiketoimintaan. Dokumentoi tietoturvaloukkauksen kohteena olevien tietojen tyyppi ja riskitaso. Organisaatioilla pitäisi jo olla ISO 27001:n kaltaiseen standardiin perustuva luokittelujärjestelmä. Tässä standardissa määritellään neljä tietoluokkaa:
- Luottamuksellinen (vain ylimmällä johdolla on pääsy)
- Rajoitettu (useimmilla työntekijöillä on pääsy)
- Sisäinen (kaikilla työntekijöillä on pääsy)
- Julkinen tieto (kaikkien saatavilla)
Rajoittaminen ja talteenotto
Kun tietoturvaloukkaus on havaittu, on erittäin tärkeää, että tietoturvaloukkaus rajoitetaan mahdollisimman nopeasti. Rikkomuksen analysoinnin aikana toteutettujen toimien avulla voidaan laatia torjuntastrategia. Tietoturvaloukkaukset, joihin työntekijät ovat osallisina, saattavat edellyttää tietoturvatietoisuuskoulutuksen tarkistamista. Ulkopuolisten ilkivaltaisten hakkerien tekemät tietoturvaloukkaukset edellyttävät järjestelmien ja torjuntatoimenpiteiden tarkempaa tutkimista. Tietomurron vaikutusten minimoimiseksi on laadittava elvytyssuunnitelmat.
Lainsäädäntö ja vaatimustenmukaisuus
Oikeudelliset ja sääntöjen noudattamista valvovat osastot käyttävät kaikkia rikkomuksesta kerättyjä asiakirjoja rikkomuksen jälkihoitoon. Oikeudelliset ja compliance-tiimit päättävät, kuuluuko tietoturvaloukkaus tietoturvaloukkauksesta ilmoittamista koskevan vaatimuksen piiriin; esimerkiksi Yhdistyneen kuningaskunnan vuoden 2018 tietosuojalain (DPA 2108) 67 pykälän mukaan ilmoitus tietoturvaloukkauksesta on tehtävä ICO:lle 72 tunnin kuluessa siitä, kun yritys on saanut tiedon tietoturvaloukkauksesta. Kaikki tietoturvaryhmän keräämät dokumentoidut todisteet tietoturvaloukkauksesta, siitä, missä, miksi ja miten sitä on lievennetty, käytetään tässä ilmoituksessa. Voi myös olla vaatimus ilmoittaa tietoturvaloukkauksesta kaikille, joita asia koskee. Tämä voi edellyttää yrityksen verkkosivustolla julkaistavaa täydellistä julkista tiedonantokirjettä.
Ilmoittamista koskevat säännöt
Keskeistä tietoturvaloukkauksen oikeudellisessa käsittelyssä on tehdä tietoon perustuva päätös siitä, ilmoitetaanko tietoturvaloukkauksesta valvontaviranomaiselle ja milloin. Kysymyksiä, kuten onko tietoturvaloukkauksesta ilmoittaminen pakollista, voi tehdä vain pätevä ja asiantunteva henkilökunta. Tämä päätös voi edellyttää, että tietoturvaloukkaus julkistetaan: tällä on ilmeisesti pitkäaikaisia mainevaikutuksia, ja markkinointiosasto osallistuu todennäköisesti markkinointiin brändivaikutusten minimoimiseksi. Seuraavassa on muutamia esimerkkejä julkisista tietoturvaloukkausilmoituksista:
Tietoturvaloukkauksista ilmoittamista koskevat säännöt vaihtelevat eri säädösten välillä. Esimerkiksi EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan tietoturvaloukkauksesta on ilmoitettava 72 tunnin kuluessa siitä, kun tietoturvaloukkaus on havaittu. Yksityisyyden suojaa ja sähköistä viestintää koskevan asetuksen (Privacy and Electronic Communications Regulations, PECR, jota sovelletaan internet- ja televiestintäpalvelujen tarjoajiin) mukaan henkilötietojen tietoturvaloukkauksesta on kuitenkin ilmoitettava ICO:lle viimeistään 24 tunnin kuluttua sen havaitsemisesta.
Henkilökunta
Kun henkilöstöstä tehdään osa tietoturvaloukkausten hallintaprosessia, heistä tulee etulinjan voimavara tietoverkkohyökkäysten torjunnassa. Henkilöstö ja tietoturva kattavat laajan kirjon mahdollisia haavoittuvuuksia aina tahattomasta tietojen paljastumisesta tietojen kalasteluun ja yhteistoimintaan ulkopuolisten hakkerien kanssa.
Verizonin Data Breach Investigation Report 2020 (DBIR) -raportin mukaan noin 17 prosenttia tietomurroista voidaan jäljittää yksinkertaisesti virheisiin. Esimerkiksi työntekijöiden salasanojen jakaminen tai salasanojen käyttäminen uudelleen useissa eri sovelluksissa on huono turvallisuuskäytäntö.
Phishing on edelleen verkkorikollisten suosima ase; phisherit jäljittelevät mielellään Microsoftin kaltaisia tuotemerkkejä huijatakseen käyttäjiä luovuttamaan yritystunnuksia. Tietoturvakoulutuksessa työntekijöille opetetaan monia myönteisiä tapoja, joilla he voivat auttaa ylläpitämään yrityksen hyvää tietoturva-asennetta.
Rikkomusten hallinnan osalta henkilöstön tietoisuuden on ulotuttava siihen, että he ymmärtävät vastuunsa eri säädösten puitteissa, kuten sen varmistaminen, että asiakastietoja kunnioitetaan ja käytetään DPA 2018:n ja GDPR:n kaltaisen lainsäädännön rajoissa. Ymmärtämällä, missä tietoturvaloukkaus voi tapahtua, sekä eri asiaankuuluvien säännösten mukaiset vastuut organisaatio voi ottaa henkilöstön mukaan tietoturvaloukkausten hallintaprosessiin.
On kuitenkin tärkeää kouluttaa henkilöstö asianmukaiselle tasolle. Jotkut työntekijät, kuten tekniset työntekijät, saattavat tarvita erityistä turvallisuuskoulutusta ja/tai sertifiointia.
Uudet työntekijät on otettava mukaan organisaation tietoturvatietoisuuden koulutusohjelmiin heti ensimmäisestä päivästä lähtien. Henkilöstön tietoturvatietoisuuskoulutuksen säännölliset tarkistukset esimerkiksi seuraavilla aloilla:
- Phishing
- Turvallisuushygienia
- Tietoisuus tietoturvavastuusta
...pitäisi olla jatkuvaa, jotta se pysyisi tehokkaana.
Tietoturvatietoisuuskoulutus olisi sisällytettävä yrityksen turvallisuuspolitiikkaan osana tietoturvaloukkausten hallintaprosessia.
Kolmannen osapuolen myyjät
Toimittajien ekosysteemit voivat olla monimutkaisia, ja niihin voi liittyä neljänsiä ja viidentiä osapuolia. Accenturen hiljattain julkaisemassa raportissa "State of Cyber Resilience 2020" todetaan, että 40 prosenttia tietoturvaloukkauksista alkaa epäsuorista hyökkäyksistä toimitusketjun tasolla. Toimittajariskien hallinta on osa tietomurron tehokasta hallintaa. Toimittajiin liittyvät tietomurrot ovat kaksisuuntainen asia. Sen lisäksi, että toimittajalinkkien haavoittuvuusanalyysi tehdään verkkohyökkäysten lieventämiseksi, on tietomurron tapahtuessa analysoitava toimittajien ekosysteemi sen selvittämiseksi, onko tietomurrolla vaikutusta myyjään.
Hallitus
Yhdistyneen kuningaskunnan hallituksen raportissa "Cyber Security Breaches Survey 2021" todettiin, että 77 prosenttia yrityksistä uskoo, että kyberturvallisuus on johtajiensa tai ylempien johtajiensa tärkeä prioriteetti. Tietoturvaloukkausten korkean profiilin vuoksi yhä useammassa hallituksessa on nyt tietoturva-asiantuntijoita. Kun tietomurto tapahtuu, koulutettu hallitus voi tukea muuta organisaatiota tietomurron käsittelyssä, varmistaa, että sääntelyvaatimukset täyttyvät, ja varmistaa, että tietomurron hallintaan ja uusien hyökkäysten torjuntaan on käytettävissä budjetti.
Tietävätkö työntekijät, mitä tehdä tietomurron yhteydessä?
Tietoturvaloukkausten hallintatoimenpiteiden käyttöönotto on koko liiketoiminnan tehtävä. Yksi tehokkaan tietomurron hallinnan keskeisistä osatekijöistä on se, miten koulutat henkilöstöäsi. Merkityksellisyys on avainasemassa varmistettaessa, että tietoturvaloukkausten hallinta toimii organisaatiossasi. Jokaisen organisaation on kehitettävä oma relevantti ja ainutlaatuinen lähestymistapansa tietoturvaloukkauksen raportointiin ja hallintaan.
Tietoisuuden optimointi alkaa ihmisten ja prosessien tasolla. Kaikkien osa-alueiden, pienimmistä yksityiskohdista kokonaiskuvaan, on oltava riittävän perusteellisia, jotta varmistetaan, että häiriötilanteisiin reagoimista koskeva toimintatapasi on vankka ja koko henkilöstön ymmärrettävissä. Tähän on sisällyttävä:
Viestintä: Käytetyistä puhelinnumeroista sähköpostiosoitteisiin tai muihin järjestelmiin, joita käytetään rikkomuksen ilmoittamiseen.
Roolit ja vastuualueet: Asianomaisten häiriötilanteiden johtajien ja heidän vastuualueidensa korostaminen
Toimet: Kuka tekee mitä ja milloin ja miten he hoitavat tehtävänsä tietoturvaloukkauksen hallinnassa.
Korjaaminen: Miten tietoturvaloukkaus korjataan ja mitä siitä on opittu, mukaan lukien tietoturvatietoisuuskoulutuksen mahdollinen päivittäminen.
Suuremmissa monikansallisissa yrityksissä näiden viestintäyhteyksien on heijastuttava koko organisaatioon, jolloin yrityksen osastot ja toimistot yhdistyvät.
Kaikkien on hyväksyttävä tämä suunnitelma työntekijöistä johtajiin ja hallituksen jäseniin.