Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Case My Company Oy eli miten tietomurtotilanteessa toimitaan oikein

Case My Company Oy eli miten tietomurtotilanteessa toimitaan oikein

My Company Oy (case-yritys on kuvitteellinen!) tarjoaa moderneja vakuudettomia rahoituspalveluita sekä asiantuntijatyötä yrityksille. Itse verkkopalvelu on rakennettu Drupalilla ja pyörii AWS:llä. Palvelun käyttö edellyttää rekisteröintiä: nimi, sähköposti, yritys, yrityksen henkilömäärä, liikevaihto ja viimeisten kolmen vuoden tilinpäätöstiedot (pdf-liitteet). Tiedot ovat turvallisesti tallessa My Company Oy:n järjestelmässä. Tallessa ovat myös päätökset eli tiedot siitä, kenelle lainaa on tarjottu, paljonko ja millä korolla.

Ohjelmisto- ja e-business
PRO

January 20, 2021
Tweet

More Decks by Ohjelmisto- ja e-business

Other Decks in Business

Transcript

  1. None
  2. CASE MY COMPANY OY ELI MITEN TIETOMURTOTILANTEESSA TOIMITAAN OIKEIN

  3. MY COMPANY OY:N TIETOMURTO LAKI JA GDPR- ASETUS TIETOTURVA JA

    TUTKINTA SISÄINEN JA ULKOINEN VIESTINTÄ
  4. LÄHTÖTILANNE • Oma palvelu rakennettu itse (Drupal) + pyörii AWS:llä

    • Lisäksi työntekijöiden tietoja (Dropbox), asiakastietoja (CRM), prospektit + markkinointiautomaatio… • Työntekijät, käyttäjät, ylläpitäjät Suomessa • Ylläpito alihankintana • Huomataan outo admin-account ”vahingossa” uuden työntekijän accountia luodessa
  5. JUHO RANTA | 2NS

  6. Mahdollinen tietomurto vai poikkeama, jolla looginen selitys? Mistä aloitetaan, kuinka

    varmistamme mistä kyse?
  7. Ensimmäiset stepit • Priorisoi poikkeama • Outo tunnus ei välttämättä

    ole merkki tietomurrosta • Selvitetään kumppanilta heidän tiedot tunnuksesta
  8. Tietomurron varmistaminen • Kumppani ei tunnista tunnusta • Tunnus luotu

    6kk aikaisemmin • Paljastuu, että kirjautumiset ovat Suomen ulkopuolelta
  9. Tietomurto vahvistunut! Miten tulee aloittaa tietoturvan ja tutkinnan osalta?

  10. Ensimmäiset stepit • Otetaan snapshot palvelimesta – mikäli mahdollista •

    ÄLÄ sammuta palvelua tai tee muutoksia umpimähkään • Muodostetaan ns. kriisiryhmä
  11. Kriisiryhmä. Ketkä siihen kuuluu? Mitä jos meillä ei ole tarvittavaa

    osaamista?
  12. Kriisiryhmän kokoonpano • Liiketoiminnan johtoa • Tietoturva • Laki •

    Viestintä
  13. Case My Company: mitä tutkinnassa selvinnyt ja miten? Yksityiskohtaisen lokituksen

    tärkeys
  14. Miten tunnus on luotu? • Lokien saatavuus äärimmäisen tärkeää •

    Lokeista selviää, että hyökkääjä hyväksikäyttänyt Drupalissa ollutta haavoittuvuutta
  15. Selvitetään mitä tietoja viety • Asiakastietoja on luettu samaan aikaan,

    kun tunnusta on käytetty • Tunnuksella oli hyvin laajat oikeudet
  16. Selvitetään mitä tietoja viety • Lokitus ei kuitenkaan ollut riittävän

    yksityiskohtaista • Ei voida sanoa, mitä asiakastietoja luettu
  17. Korjaavat toimenpiteet ja palautuminen?

  18. Palautuminen • Luodaan uusi asennus • Aloitetaan sopimusneuvottelut kumppanin kanssa

    ylläpidon SLA:sta
  19. Parhaita käytänteitä tietomurron estämiseksi? Eli mitä olisi voitu tehdä paremmin?

  20. Mitä olisi voitu tehdä paremmin? • Haavoittuvuuksien hallinta • SIEM

    • Incident management prosessin luominen • Kumppaneiden seuranta
  21. Mitä tulisi seurata lokeista? • Tietoturvakriittiset tapahtumat • Virhetilanteet •

    Asiakastietojen lukeminen
  22. TERHO NEVASALO | HPP

  23. HENKILÖTIETOJEN TIETOTURVALOUKKAUS JA GDPR

  24. Mitkä ovat My Company Oy:n tietoturvavelvoitteet? Myöskin: olennaiset käsitteet kuten

    Rekisterinpitäjä ja Käsittelijä
  25. Rekisterinpitäjän ja käsittelijän tietoturvavelvoitteet à Toteuttaa asianmukaiset tekniset ja organisatoriset

    toimet varmistaakseen henkilötiedoille aiheutuvaa riskiä vastaavan turvallisuustason
  26. Mikä muodostaa tietoturvaloukkauksen? Case My Company Oy: onko kyseessä tietoturvaloukkaus?

  27. § Henkilötietojen tietoturvaloukkaus à tapahtuma, jonka seurauksena mm. henkilötietoja häviää,

    muuttuu, luovutetaan luvattomasti tai niihin päästään oikeudetta à hakkerointi, hukattu tietokone, DDoS, virus/ransomware, henkilötietoja väärälle taholle jne.
  28. Mitä haittavaikutuksia tietoturvaloukkauksesta voi aiheutua rekisteröidylle?

  29. § Haittavaikutukset rekisteröidyille à haittavaikutuksia esim. syrjintä, identiteettivarkaus tai petos,

    taloudelliset menetykset ja mainehaitta Haittavaikutuksista aiheutuu riski tai korkea riski à ilmoitettava tietosuojavaltuutetulle (”tavanomainen” riski) ja tietyissä tapauksissa rekisteröidylle (korkea riski)
  30. Koska on tehtävä ilmoitus tietosuojavaltuutetulle?

  31. § Ilmoitus tietosuojavaltuutetulle à Aiheutuu riski: rekisterinpitäjän ilmoitettava 72h kuluessa

    loukkauksen ilmitulosta à Käsittelijän ilmoitettava rekisterinpitäjälle ilman aiheetonta viivästystä
  32. Koska on tehtävä ilmoitus rekisteröidylle?

  33. § Ilmoitus rekisteröidylle à Aiheutuu korkea riski: rekisterinpitäjän ilmoitettava ilman

    aiheetonta viivästystä à Kuvaus tapahtuneesta, mahdolliset seuraukset, tehdyt toimenpiteet jne.
  34. Koska ei vaadita ilmoitusta rekisteröidylle?

  35. § Ilmoitusta ei vaadita à rekisterinpitäjä on toteuttanut asianmukaiset tekniset

    ja organisatoriset suojatoimenpiteet (esim. salaus) à ei pääsyä henkilötietoihin à muulla tavoin estänyt tietojen käytön (estänyt murtautujaa hyödyntämästä niitä) à ilmoittaminen vaatisi kohtuutonta vaivaa
  36. Millainen dokumentointivelvollisuus yrityksellä on tietoturvaloukkausten osalta?

  37. § Dokumentointivelvollisuus à kaikki tietoturvaloukkaukset kirjattava vaikka ei olisi ilmoitusvelvollisuutta

    à tietosuojavaltuutettu voi pyytää nähtäväksi ko. rekisteriä à osoitusvelvollisuuden laiminlyönti rangaistavaa
  38. Mitä korvauksia My Company voi joutua maksamaan?

  39. § Rangaistussäännöksiä ja korvauksia à hallinnollinen seuraamusmaksu 10/20Meur tai 2/4

    prosenttia globaalista liikevaihdosta (32 art. 2Meur/2 prosenttia) à rekisteröidyille aiheutuneet vahingot à mahdollisista sopimusrikkomuksista aiheutuneet vahingot à luonnollisen henkilön mahdollinen rikosoikeudellinen vastuu (tietosuojarikos RL 38 luku 9§ 2 mom.)
  40. Kuinka voimme ennalta varautua tietoturvaloukkaukseen?

  41. § Ennakolliset toimenpiteet à Dokumentoitu valmiussuunnitelma ja ilmoittamismenettely à vastuut

    ja tehtävät à miten arvioidaan henkilötietoihin liittyvä tietoturvariski à miten pyritään estämään loukkaus ja mahdolliset jatkovahingot
  42. Toimenpiteet jälkikäteen?

  43. § Jälkikäteiset toimenpiteet à miten ilmoitetaan viranomaisille ja rekisteröidyille à

    miten estetään loukkauksen toistuminen à miten tiedotetaan sisäisesti ja ulkoisesti
  44. CHRISTINA FORSGÅRD | NETPROFILE

  45. KRIISI NÄYTTÄÄ TÄLTÄ

  46. KRIISISSÄ MENETÄT RESURSSEISTA ARVOKKAIMMAN – AJAN 72 H ON 3

    VRK
  47. KYBERKRIISI EI OLE VAIN IT-ONGELMA KOKO LIIKETOIMINTA ON VAAKALAUDALLA.

  48. Kenen luottamuksen varassa toimimme? Mitä on tapahtunut? Millaiset ovat juridiset

    vastuumme? KYBERKRIISIN LIIKETOIMINTALÄHTÖINEN JOHTAMINEN
  49. KRIISIVIESTINNÄN ENSIMMÄINEN KYSYMYS. KENEN LUOTTAMUKSEN VARASSA LIIKETOIMINTASI ON?

  50. 1. HENGITÄ 2. KÄYNNISTÄ TILANNEKUVAN YLLÄPITO 3. KOKOA KRIISINHALLINTARYH MÄ

  51. Kriisinhallintaryhmän tehtävä on turvata liiketoiminnan jatkuvuus. Se johtaa organisaation toimintaa

    kyberkriisin synnyttämässä poikkeustilanteessa ja ylläpitää tilannekuvaa.
  52. Aihe- kohtainen tai master- Q&A Lausunto- pohjat Kriisi- viestintä- ohjeistuk-

    set Kriisi- viestinnän hallinnointi malli Viestinnän infra ja vara- järjestel- mät KRIISIVIESTINNÄN TYÖKALUT TILANNEHUONE MEDIA- JA SOMESEURANTA
  53. IT:N JA FORENSIIKKA MAINEENHALLINTA JURIDINEN PROSESSI KRIISINHALLINTARYHMÄ AKTIVOI KOLME RINNAISTA

    PROSESSIA
  54. POIKKEAMA HAVAITTU Company My

  55. Ensimmäinen viestinnällinen valinta. Mistä puhumme? Poikkeama? Mahdollinen tietomurto? Tietoturvavakuutus? Mitä

    vakuutus kattaa? Forensiikan ja ulkopuolisen kriisinhallinta/viestintätuen? Kriisinhallintaryhmä koko henkilöstö (5) +/- yhteistyökumppanit, alihankkijat Company My
  56. Company My Rikosilmoitus poliisille. Ilmoitus kyberturvallisuuskeskukselle. Yhteys valvovaan viranomaiseen, jos

    sellainen on. Finanssivalvonta? Oman henkilöstön toimintakyvyn varmistaminen / suojautuminen esim. identiteettivarkaudelta?
  57. Company My Yhteys tietosuojavaltuutettuun, ilmoitus 72 tunnin kuluessa. TSV ohjeistaa

    myös viestintää.
  58. Company My Media- ja someseurannat käyntiin. Henkilöstö, asiakkaat, sijoittajat, yhteistyökumppanit,

    media (?) Mistä tietää viestintäjärjestyksen? -> velvollisuus, luottamus, talous…MAINE
  59. Company My Toiminnalliset haitat? Korvausvelvollisuudet? Mainehaitat? Liiketoiminnan jatkuvuus? Suhdetoiminta?

  60. MILLOIN KRIISIVIESTINTÄ ON ONNISTUNUT?

  61. KIITOS!