Tweet
Tweet

Slide 1

Slide 1 text

No content

Slide 2

Slide 2 text

CASE MY COMPANY OY ELI MITEN TIETOMURTOTILANTEESSA TOIMITAAN OIKEIN

Slide 3

Slide 3 text

MY COMPANY OY:N TIETOMURTO LAKI JA GDPR- ASETUS TIETOTURVA JA TUTKINTA SISÄINEN JA ULKOINEN VIESTINTÄ

Slide 4

Slide 4 text

LÄHTÖTILANNE • Oma palvelu rakennettu itse (Drupal) + pyörii AWS:llä • Lisäksi työntekijöiden tietoja (Dropbox), asiakastietoja (CRM), prospektit + markkinointiautomaatio… • Työntekijät, käyttäjät, ylläpitäjät Suomessa • Ylläpito alihankintana • Huomataan outo admin-account ”vahingossa” uuden työntekijän accountia luodessa

Slide 5

Slide 5 text

JUHO RANTA | 2NS

Slide 6

Slide 6 text

Mahdollinen tietomurto vai poikkeama, jolla looginen selitys? Mistä aloitetaan, kuinka varmistamme mistä kyse?

Slide 7

Slide 7 text

Ensimmäiset stepit • Priorisoi poikkeama • Outo tunnus ei välttämättä ole merkki tietomurrosta • Selvitetään kumppanilta heidän tiedot tunnuksesta

Slide 8

Slide 8 text

Tietomurron varmistaminen • Kumppani ei tunnista tunnusta • Tunnus luotu 6kk aikaisemmin • Paljastuu, että kirjautumiset ovat Suomen ulkopuolelta

Slide 9

Slide 9 text

Tietomurto vahvistunut! Miten tulee aloittaa tietoturvan ja tutkinnan osalta?

Slide 10

Slide 10 text

Ensimmäiset stepit • Otetaan snapshot palvelimesta – mikäli mahdollista • ÄLÄ sammuta palvelua tai tee muutoksia umpimähkään • Muodostetaan ns. kriisiryhmä

Slide 11

Slide 11 text

Kriisiryhmä. Ketkä siihen kuuluu? Mitä jos meillä ei ole tarvittavaa osaamista?

Slide 12

Slide 12 text

Kriisiryhmän kokoonpano • Liiketoiminnan johtoa • Tietoturva • Laki • Viestintä

Slide 13

Slide 13 text

Case My Company: mitä tutkinnassa selvinnyt ja miten? Yksityiskohtaisen lokituksen tärkeys

Slide 14

Slide 14 text

Miten tunnus on luotu? • Lokien saatavuus äärimmäisen tärkeää • Lokeista selviää, että hyökkääjä hyväksikäyttänyt Drupalissa ollutta haavoittuvuutta

Slide 15

Slide 15 text

Selvitetään mitä tietoja viety • Asiakastietoja on luettu samaan aikaan, kun tunnusta on käytetty • Tunnuksella oli hyvin laajat oikeudet

Slide 16

Slide 16 text

Selvitetään mitä tietoja viety • Lokitus ei kuitenkaan ollut riittävän yksityiskohtaista • Ei voida sanoa, mitä asiakastietoja luettu

Slide 17

Slide 17 text

Korjaavat toimenpiteet ja palautuminen?

Slide 18

Slide 18 text

Palautuminen • Luodaan uusi asennus • Aloitetaan sopimusneuvottelut kumppanin kanssa ylläpidon SLA:sta

Slide 19

Slide 19 text

Parhaita käytänteitä tietomurron estämiseksi? Eli mitä olisi voitu tehdä paremmin?

Slide 20

Slide 20 text

Mitä olisi voitu tehdä paremmin? • Haavoittuvuuksien hallinta • SIEM • Incident management prosessin luominen • Kumppaneiden seuranta

Slide 21

Slide 21 text

Mitä tulisi seurata lokeista? • Tietoturvakriittiset tapahtumat • Virhetilanteet • Asiakastietojen lukeminen

Slide 22

Slide 22 text

TERHO NEVASALO | HPP

Slide 23

Slide 23 text

HENKILÖTIETOJEN TIETOTURVALOUKKAUS JA GDPR

Slide 24

Slide 24 text

Mitkä ovat My Company Oy:n tietoturvavelvoitteet? Myöskin: olennaiset käsitteet kuten Rekisterinpitäjä ja Käsittelijä

Slide 25

Slide 25 text

Rekisterinpitäjän ja käsittelijän tietoturvavelvoitteet à Toteuttaa asianmukaiset tekniset ja organisatoriset toimet varmistaakseen henkilötiedoille aiheutuvaa riskiä vastaavan turvallisuustason

Slide 26

Slide 26 text

Mikä muodostaa tietoturvaloukkauksen? Case My Company Oy: onko kyseessä tietoturvaloukkaus?

Slide 27

Slide 27 text

§ Henkilötietojen tietoturvaloukkaus à tapahtuma, jonka seurauksena mm. henkilötietoja häviää, muuttuu, luovutetaan luvattomasti tai niihin päästään oikeudetta à hakkerointi, hukattu tietokone, DDoS, virus/ransomware, henkilötietoja väärälle taholle jne.

Slide 28

Slide 28 text

Mitä haittavaikutuksia tietoturvaloukkauksesta voi aiheutua rekisteröidylle?

Slide 29

Slide 29 text

§ Haittavaikutukset rekisteröidyille à haittavaikutuksia esim. syrjintä, identiteettivarkaus tai petos, taloudelliset menetykset ja mainehaitta Haittavaikutuksista aiheutuu riski tai korkea riski à ilmoitettava tietosuojavaltuutetulle (”tavanomainen” riski) ja tietyissä tapauksissa rekisteröidylle (korkea riski)

Slide 30

Slide 30 text

Koska on tehtävä ilmoitus tietosuojavaltuutetulle?

Slide 31

Slide 31 text

§ Ilmoitus tietosuojavaltuutetulle à Aiheutuu riski: rekisterinpitäjän ilmoitettava 72h kuluessa loukkauksen ilmitulosta à Käsittelijän ilmoitettava rekisterinpitäjälle ilman aiheetonta viivästystä

Slide 32

Slide 32 text

Koska on tehtävä ilmoitus rekisteröidylle?

Slide 33

Slide 33 text

§ Ilmoitus rekisteröidylle à Aiheutuu korkea riski: rekisterinpitäjän ilmoitettava ilman aiheetonta viivästystä à Kuvaus tapahtuneesta, mahdolliset seuraukset, tehdyt toimenpiteet jne.

Slide 34

Slide 34 text

Koska ei vaadita ilmoitusta rekisteröidylle?

Slide 35

Slide 35 text

§ Ilmoitusta ei vaadita à rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet (esim. salaus) à ei pääsyä henkilötietoihin à muulla tavoin estänyt tietojen käytön (estänyt murtautujaa hyödyntämästä niitä) à ilmoittaminen vaatisi kohtuutonta vaivaa

Slide 36

Slide 36 text

Millainen dokumentointivelvollisuus yrityksellä on tietoturvaloukkausten osalta?

Slide 37

Slide 37 text

§ Dokumentointivelvollisuus à kaikki tietoturvaloukkaukset kirjattava vaikka ei olisi ilmoitusvelvollisuutta à tietosuojavaltuutettu voi pyytää nähtäväksi ko. rekisteriä à osoitusvelvollisuuden laiminlyönti rangaistavaa

Slide 38

Slide 38 text

Mitä korvauksia My Company voi joutua maksamaan?

Slide 39

Slide 39 text

§ Rangaistussäännöksiä ja korvauksia à hallinnollinen seuraamusmaksu 10/20Meur tai 2/4 prosenttia globaalista liikevaihdosta (32 art. 2Meur/2 prosenttia) à rekisteröidyille aiheutuneet vahingot à mahdollisista sopimusrikkomuksista aiheutuneet vahingot à luonnollisen henkilön mahdollinen rikosoikeudellinen vastuu (tietosuojarikos RL 38 luku 9§ 2 mom.)

Slide 40

Slide 40 text

Kuinka voimme ennalta varautua tietoturvaloukkaukseen?

Slide 41

Slide 41 text

§ Ennakolliset toimenpiteet à Dokumentoitu valmiussuunnitelma ja ilmoittamismenettely à vastuut ja tehtävät à miten arvioidaan henkilötietoihin liittyvä tietoturvariski à miten pyritään estämään loukkaus ja mahdolliset jatkovahingot

Slide 42

Slide 42 text

Toimenpiteet jälkikäteen?

Slide 43

Slide 43 text

§ Jälkikäteiset toimenpiteet à miten ilmoitetaan viranomaisille ja rekisteröidyille à miten estetään loukkauksen toistuminen à miten tiedotetaan sisäisesti ja ulkoisesti

Slide 44

Slide 44 text

CHRISTINA FORSGÅRD | NETPROFILE

Slide 45

Slide 45 text

KRIISI NÄYTTÄÄ TÄLTÄ

Slide 46

Slide 46 text

KRIISISSÄ MENETÄT RESURSSEISTA ARVOKKAIMMAN – AJAN 72 H ON 3 VRK

Slide 47

Slide 47 text

KYBERKRIISI EI OLE VAIN IT-ONGELMA KOKO LIIKETOIMINTA ON VAAKALAUDALLA.

Slide 48

Slide 48 text

Kenen luottamuksen varassa toimimme? Mitä on tapahtunut? Millaiset ovat juridiset vastuumme? KYBERKRIISIN LIIKETOIMINTALÄHTÖINEN JOHTAMINEN

Slide 49

Slide 49 text

KRIISIVIESTINNÄN ENSIMMÄINEN KYSYMYS. KENEN LUOTTAMUKSEN VARASSA LIIKETOIMINTASI ON?

Slide 50

Slide 50 text

1. HENGITÄ 2. KÄYNNISTÄ TILANNEKUVAN YLLÄPITO 3. KOKOA KRIISINHALLINTARYH MÄ

Slide 51

Slide 51 text

Kriisinhallintaryhmän tehtävä on turvata liiketoiminnan jatkuvuus. Se johtaa organisaation toimintaa kyberkriisin synnyttämässä poikkeustilanteessa ja ylläpitää tilannekuvaa.

Slide 52

Slide 52 text

Aihe- kohtainen tai master- Q&A Lausunto- pohjat Kriisi- viestintä- ohjeistuk- set Kriisi- viestinnän hallinnointi malli Viestinnän infra ja vara- järjestel- mät KRIISIVIESTINNÄN TYÖKALUT TILANNEHUONE MEDIA- JA SOMESEURANTA

Slide 53

Slide 53 text

IT:N JA FORENSIIKKA MAINEENHALLINTA JURIDINEN PROSESSI KRIISINHALLINTARYHMÄ AKTIVOI KOLME RINNAISTA PROSESSIA

Slide 54

Slide 54 text

POIKKEAMA HAVAITTU Company My

Slide 55

Slide 55 text

Ensimmäinen viestinnällinen valinta. Mistä puhumme? Poikkeama? Mahdollinen tietomurto? Tietoturvavakuutus? Mitä vakuutus kattaa? Forensiikan ja ulkopuolisen kriisinhallinta/viestintätuen? Kriisinhallintaryhmä koko henkilöstö (5) +/- yhteistyökumppanit, alihankkijat Company My

Slide 56

Slide 56 text

Company My Rikosilmoitus poliisille. Ilmoitus kyberturvallisuuskeskukselle. Yhteys valvovaan viranomaiseen, jos sellainen on. Finanssivalvonta? Oman henkilöstön toimintakyvyn varmistaminen / suojautuminen esim. identiteettivarkaudelta?

Slide 57

Slide 57 text

Company My Yhteys tietosuojavaltuutettuun, ilmoitus 72 tunnin kuluessa. TSV ohjeistaa myös viestintää.

Slide 58

Slide 58 text

Company My Media- ja someseurannat käyntiin. Henkilöstö, asiakkaat, sijoittajat, yhteistyökumppanit, media (?) Mistä tietää viestintäjärjestyksen? -> velvollisuus, luottamus, talous…MAINE

Slide 59

Slide 59 text

Company My Toiminnalliset haitat? Korvausvelvollisuudet? Mainehaitat? Liiketoiminnan jatkuvuus? Suhdetoiminta?

Slide 60

Slide 60 text

MILLOIN KRIISIVIESTINTÄ ON ONNISTUNUT?

Slide 61

Slide 61 text

KIITOS!