Tietoturvaongelman käsittely

Tietoturvaongelmia kohtaavat kaiken kokoiset yritykset. Ongelmien löytäjät ovat useimmiten kuitenkin hyvällä asialla olevia ohjelmistokehittäjiä, jotka haluavat auttaa yritystä parantamaan tietoturvaansa. Tällä sivulla kerromme miten toimit, jos saat ilmoituksen tietoturvaongelmasta.

TIETOTURVAONGELMAN KÄSITTELY

Tietoturvaongelmia kohtaavat kaiken kokoiset yritykset. Ongelmien löytäjät ovat useimmiten kuitenkin hyvällä asialla olevia ohjelmistokehittäjiä, jotka haluavat auttaa yritystä parantamaan tietoturvaansa. Tällä sivulla kerromme miten toimit, jos saat ilmoituksen tietoturvaongelmasta.

Ilmoitus saapuu

Saitko ilmoituksen, joka koskee palvelusi tai tuotteesi tietoturvaa? Ei hätää, ilmoitus on lähes varmasti hyväntahtoinen. Ilmoituksen tekijä on yleensä hyvällä asialla oleva ohjelmistokehittäjä, ns. "hyvä hakkeri", joka ei hyödynnä haavoittuvuutta vaan haluaa kertoa tietoturva-aukosta, jota joku pahantahtoinen voisi hyödyntää. Rikollinen ei edes ilmoittaisi sinulle tietoturva-aukosta, vaan käyttäisi sitä saman tien hyväkseen.
Vuosi vuodelta yhä useampi organisaatio joutuu tietomurron kohteeksi. Tässä esimerkkejä kyberrikollisten tekemistä hyökkäyksistä:
Infografia maailman suurimmista tietovuodoista.
Satojen tuhansien ihmisten dataa levisi Adobe-vuodossa.
IoT-bottiverkot etsivät aktiivisesti internetiin kytkettyjä laitteita.
Eduskunta.fi palvelunestohyökkäyksen kohteena.

Vastaa ilmoitukseen

Kun vastaat ilmoitukseen, osoitat, että arvostat ilmoitusta ja ryhdyt toimiin. Muista kiittää ilmoittajaa hänen työstään. Kerro, että viet asiaa eteenpäin ja että pidät ilmoittajan ajan tasalla ongelman korjauksesta. Jos ilmoittaja on hyvä hakkeri, voit myös kysyä häneltä mahdollisia vinkkejä ongelman selättämiseen.

Muista että ilmoittajalla voi olla erilaisia motiiveja. Hän voi olla asiakas, joka palvelua käyttäessään löysi tietoturvapoikkeaman ja toivoo siihen korjausta. Hän voi olla myös palkkioiden perässä tai haluaa julkisuutta.
Vaikka kyseessä olisi hyvä hakkeri, jolla olisi taloudellinen motiivi, hän ei yleensä viittaa ilmoituksessaan palkkioon, koska se voi vaikuttaa kiristykseltä. Jos ilmoittaja edellyttää jonkinlaista palkkiota esimerkiksi tietoturvapoikkeaman yksityiskohtaisemmista tiedoista, harkitse yhteydenottoa asiantuntevaan lakitoimistoon. Yleensä hyvä hakkeri antaa tiedot mielellään, ja sinä voit halutessasi kiittää siitä rahallisesti.

Joillakin organisaatioilla on erityinen palkkio-ohjelma, jossa luvataan rahapalkkioita hyville hakkereille ilmoituksista. Tällaisia yrityksiä ovat kotimaassa esimerkiksi:
Visma Enterprise Oy: Hello World - Hack us! -blogikirjoitus (engl.).
LähiTapiola Oy: Tietoa Bug Bounty -ohjelmasta (engl.).
F-Secure Oy: Haavoittuvuuspalkkio-ohjelma (engl.).

Etsi vastuuhenkilö

Hyvällä hakkerilla ei ole aikaa etsiä organisaatiostasi oikeaa henkilöä, joka osaa ottaa kantaa tietoturvailmoitukseen. Hakkeri saattaa ilmoittaa poikkeamista yleiskäyttöiseen sähköpostiosoitteeseen tai palautelomakkeeseen.

Viestin vastaanottajan vastuulle – eli sinun vastuullesi – jää löytää omasta organisaatiostasi vastuuhenkilö. Vastuuhenkilö on hyvä miettiä etukäteen.
Suomessa toimii myös kyberturvallisuuskeskus, jonka tehtävänä on auttaa ja tiedottaa tietoturvauhista. Hyvä hakkeri saattaa olla sinne yhteydessä suoraan, jolloin kyberturvallisuuskeskus auttaa vastuuhenkilön löytämisessä. Se myös ottaa vastuun kommunikoinnista organisaatiosi kanssa, jos hakkeri näin haluaa. Jos organisaatiostasi ei löydy tietoturvasta ymmärtävää vastuuhenkilöä, voit ongelmatilanteessa kääntyä nettipalveluntarjoajasi puoleen ja pyytää apua. Tästä on hyvä sopia etukäteen.

ilmoita viestintään

Organisaation viestintävastaava tai viestintäyksikkö kannattaa pitää tietoisena siitä, että olette saaneet ilmoituksen tietoturvapoikkeamasta. Jos lehdistö saa jostain vihiä tietoturvaongelmasta, on hyvä että organisaatio on varautunut.
Organisaatiosi vastuuhenkilö tekee riskiarvion ja määrittelee riskiluokan tämän jälkeen. Pidä viestintä jatkuvasti ajan tasalla!

tee riskiarvio

Mitä jos rikollinen käyttää tai on jo käyttänyt tietoturva-aukkoa? Tee nopeasti karkea arvio siitä, mitä voi tapahtua. Näin asia saa oikeat mittasuhteet. Kuinka kiire korjauksella on? Pitääkö firman ylintä johtoa varoittaa? Riskin toteutuessa haitta voi olla esimerkiksi taloudellinen menetys, julkinen maineongelma tai asiakkaiden luottamuksen menetys. Riskiarvion tekemisestä vastaa tietenkin organisaatiosi vastuuhenkilö.
Jos riskiarvion yhteydessä selviää jonkun käyttäneen aukkoa, on mahdollista, että sinun pitää ilmoittaa käyttäjille aukosta. Poliisi voi auttaa tutkimaan tietomurtoja. Ota yhteyttä asiantuntevaan lakimieheen, joka auttaa arvioimaan tarvittavat seuraavat askeleet. Riskiarviotyökaluja:
Common Vulnerability Scoring System Version 3.0 Calculator
Suomen Riskienhallintayhdistys: PK-RH-riskienhallinta

korjaa ongelma

Jos vastuuhenkilön näkemys on, että tietoturva-aukko muodostaa korkean riskin, silloin riski pitää tietenkin poistaa jollain tapaa. Etsi ja pestaa osaavat henkilöt, jotka voivat korjata ongelman. Muista myös sisäinen tiedotus: mitä kriittisempi ongelma, sitä suuremmalla todennäköisyydellä myös johdon pitää tietää aiheesta. Jos kyse on tietomurrosta yrityksen järjestelmiin, on tärkeää selvittää, mitä kaikkea hyökkääjä on tehnyt. Tähän voitte saada apua alan yrityksiltä ja poliisilta.
Menikö kuin Strömsössä?
Jokainen tietoturvapoikkeama aiheuttaa tietynlaisen ketjureaktion organisaatiossa. Joskus hommat menevät putkeen ja joskus eivät.
Oleellisinta on oppiminen. Selvittäkää, mikä aiheutti tietoturva-ongelman. Voiko niitä jatkossa estää? Entä miten tilanne korjattiin talon sisällä? Onko prosessissa opittavaa tai nopeutettavaa?

tilannepäivitys viestintään

Vastuuhenkilö kertoo viestinnälle tietoturvapoikkeaman kriittisyyden. Hän myös kertoo, millaisia ovat asiakkaille mahdollisesti aiheutuvat vahingot.

kuittaa ilmoittajalle

Jos tietoturvailmoituksen tekijä on ollut hyvä hakkeri, kerro hänelle, että olette korjanneet haavoittuvuuden. Kiitä häntä avusta. Pyydä häntä testaamaan uudelleen, saako hän toistettua tietoturva-aukon ongelman.
Halutessasi voit tarjota hyvälle hakkerille myös jotain palkkiota, jos koet sen aiheelliseksi. Huomioi, että sadan euron ja sitä suuremmat rahalliset palkkiot tulkitaan ansiotuloksi saajan verotuksessa.