Toimintaohjeita kyberhyökkäystilanteista toipumiseen
Tietoturva Nyt!
Miten kyberhyökkäyksistä selvitään? Miten kartoitetaan hyökkäyksen laajuus ja miten hyökkäys pysäytetään? Muun muassa näihin kysymyksiin löytyy vastaus Kyberturvallisuuskeskuksen julkaisemista käytännönläheisistä oppaista, jotka ovat maksutta saatavilla Kyberturvallisuuskeskuksen verkkosivuilta.
Uudet ohjeemme antavat neuvoja tilanteessa, jossa kyberhyökkäys häiritsee organisaation toimintaa. Ohjeet neuvovat teknisellä tasolla miten hyökkäys pysäytetään, hyökkäyksen laajuus selvitetään, ympäristöt puhdistetaan ja palautuminen voidaan aloittaa. Ohjeita on laadittu viiteen eri tyyppiseen kyberhyökkäystilanteeseen. Kukin ohje keskittyy yhden hyökkäystyypin vaatimiin toimenpiteisiin ja sisältää neuvoja toimenpiteistä tilanteen selvityksen eri vaiheissa.
”Organisaatioiden valmiudet vastata erilaisiin kyberhäiriötilanteisiin vaihtelevat. Uskomme, että ohjeista on apua organisaation varautumistasosta riippumatta. Niitä voi hyödyntää vertailukohtana omiin olemassaoleviin suunnitelmiin tai pohjana vielä puuttuvien laadinnassa”, Kyberturvallisuuskeskuksen yksikönpäällikkö Tomi Kinnari sanoo.
Toimintaohjeita on laadittu seuraavia tilanteita varten:
· Tietomurto
· Vuotaneet käyttäjätunnukset
· Palveluestohyökkäys
· Kiristyshaittaohjelma
· Toimitusketjuhyökkäys
Ohjeet on suunnattu organisaatioiden asiantuntijoille, joiden tehtävänä on suorittaa hyökkäyksen torjunta- ja palautumistoimet. Toimintaohjeiden tarkoituksena on toimia käsikirjana kriisitilanteessa. Akuuttien toimenpiteiden lisäksi niissä käsitellään myös varautumista sekä tilanteen jälkeen tehtävää jälkiselvitystä. Ohjeiden avulla voi myös helposti harjoitella toipumista häiriötilanteista.
Kyberhyökkäys on aina vakava häiriö toiminnalle. Organisaation on kyettävä nopeisiin ja määrätietoisiin toimenpiteisiin, jotta häiriötilanteen vaikutukset saadaan pidettyä kurissa. Toimenpiteitä on hyvä suunnitella etukäteen ja dokumentoida ne poikkeamanhallintasuunnitelmaan.
Valmistautuminen ja harjoittelu ovat kyberturvallisuuden peruspilareita. "Nämä toimintaohjeet eivät kokonaan korvaa organisaation omaa varautumista kriisitilanteisiin. Yritysten tulee tuntea ja dokumentoida oma verkko-, laite- ja järjestelmäympäristönsä, jotta havainnointi ja reagointi erilaisten uhkien edessä onnistuu", Kinnari sanoo ja jatkaa: "Vasta sitten kun hyökkääjä on karkotettu omista järjestelmistä, voidaan aloittaa toipuminen ja palveluiden palauttaminen. Tilanteesta riippuen toipuminen voi kestää pitkään."
Kyberturvallisuuskeskus voi auttaa organisaatioita erityisesti tapauksen ensivasteessa ja tarjoamalla lisätietoja vastaavista tapauksista Suomessa ja kansainvälisesti. Kyberturvallisuuskeskus vastaanottaa ilmoituksia tietoturvaloukkauksista ja kehottaa raportoimaan tapauksista matalalla kynnyksellä. Tietoturvaloukkauksen luonteesta ja kohteesta riippuen organisaatiolla saattaa myös olla lakisääteisiä vastuita ilmoittaa asiasta viranomaisille. Lisäksi organisaation tekemistä sopimuksista saattaa tulla ilmoitusvelvoitteita.
Kyberturvallisuuskeskus rohkaisee organisaatiota jakamaan Kyberturvallisuuskeskukselle myös tärkeimmät poikkeamatilanteesta saamansa opit. Tapausraporttien avulla Kyberturvallisuuskeskus voi auttaa muita organisaatioita Suomessa ja kansainvälisesti vastaavien tapauksen selvittämisessä. Palautumisesta saadut opit auttavat kehittämään kaikkien organisaatioiden varautumista.