Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kyberturvallisuuden tarkistuslista ennen kesälomia

Älä unohda kesäjunnua – varmista toimintavalmius ennen lomia

Joka kesä sama kaava: organisaatioihin palkataan kesätyöntekijöitä ja junioreita, jotka jäävät helposti oman onnensa nojaan vakituisten työtekijöiden lähtiessä lomalle. Väistämättä joku seniorikehittäjä joutuu kesken aurinkorannan hoitamaan tuotantokatkoa tai tietoturvahätää, koska kukaan ei varmistanut perusasioita etukäteen.

Rakastava organisaatio huolehtii kesäporukasta ja samalla vakihenkilöstö vapautuu varallaolosta.  Alla tarkistuslista, jolla tietoturvamestari (security champion) voi varmistaa, että toimintavalmius pysyy yllä myös lomakauden aikana.

Jos olet tiimin tietoturvamestari, tai se, joka muuten vastaa DevSecOps-asioista, käy tämä lista läpi tiimisi kanssa. Kysy: "Mikä meidän tilanteemme on asiassa X?"

Älä yritä tehdä kaikkea itse. Tämä on tiimityötä. Sinun roolisi on varmistaa, että asiat on ajateltu läpi ja joku vastaa jokaisesta kohdasta.

Jos olet itse kesäjunnu tai henkisesti sellainen, lähetä tämä lista esihenkilöllesi tai tiimillesi. Pyydä varmistamaan, että kesäsi sujuu ilman turhia hälytyspuheluita rannalle.

Dokumentaatio kuntoon!

Hommat on saatu pakettiin ja asiat rullaavat. Koko tiimi huokaa helpotuksesta. Uusi järjestelmä käy ja kukkuu. Vain yksi asia vielä painaa työjonossa: koko himmelin dokumentointi. Ja lomat alkavat kohta.

Löytyvätkö seuraavat asiat helposti dokumentaatiosta?

Ympäristöt:

  • Tuotanto-, kehitys-, ja asiakasympäristöt. Kaikkien käyttötarkoitus ja kriittisyystasot
  • Pääsyoikeudet ja eskalaatiopolut selkeästi kirjattuna

Tietoturvatyökalut:

  • Mikä työkalu on mihinkin tarkoitukseen?
  • Miten työkalujen tuottamiin hälytyksiin reagoidaan? 
  • Dokumentoi myös: kuka vastaa mistäkin, mitkä hälytykset vaativat välitöntä reagointia, mitkä voivat odottaa

Testi: Anna dokumentaatio kesätyöntekijälle tai tiimin toiselle jäsenelle. Pystyykö hän sen avulla tunnistamaan ja luokittelemaan mahdollisen hälytyksen tai havaitun ongelman?

Kriittiset riippuvuudet ja kolmannet osapuolet hallinnassa

Tiimi on lomalaitumilla nauttimassa kesäsäästä. Vain yksi yksinäinen silmäpari tuijottaa epäuskoisena uutisvirtaa toimistolla: uusi kriittinen haavoittuvuus löydetty keskeisestä riippuvuudesta. Onko meillä tuo riippuvuus käytössä? Uskallanko toimia? Uskallanko jättää homman lomakauden loppuun?

Päivitykset asennettu ennen lomia: 

  • Työasemat, palvelimet, riippuvuudet ja järjestelmäkomponentit ajan tasalla
  • Kriittiset tietoturvapäivitykset priorisoitu ja testattu
  • Vähentää riskiä, että automaattinen päivitys rikkoo tuotannon tai kasautuneet päivitykset aiheuttavat ongelmia syksyllä

Mitä järjestelmässämme on?

  • Kriittiset ulkoiset riippuvuudet tunnistettu ja dokumentoitu (kirjastot, viitekehykset, palvelut)
  • Hälytykset asetettuna kriittisille komponenteille. Havaitaanko esimerkiksi log4j-tyylinen kriittinen haavoittuvuus?
  • Kolmannen osapuolen palvelut: mitä käytämme ja mitä tapahtuu, jos ne kaatuvat? Kuka niistä on vastuussa?

Toimitusketju (supply chain) -tapahtumien seuranta:

  • Kuka seuraa tietoturvatiedotteita ja -uutisointia kesälomien aikana?
  • Miten kriittinen riippuvuuspäivitys priorisoidaan ja testataan?
  • Onko SBOM (Software Bill of Materials) olemassa ja ajan tasalla?

Lomakauden aikana toimitusketjuhyökkäys ei kysy lupaa. Varmista, että joku osaa reagoida ja että tiedetään, mitä järjestelmissä pyörii.

Tietoturvahäiriöihin ja -poikkeamiin reagoiminen

Se pelätty viesti: tietoja on vuotanut verkkoon. Vaikka kyse ei olisi suuresta tai vakavasta vuodosta, tulee tilanteeseen silti reagoida ja ottaa yhteyttä tarvittaviin tahoihin. Kunpa olisikin jokin lista askeleista, joita seurata…

Prosessit valmiina:

  • Tietoturvaloukkausten käsittely: Tunnistaminen, rajaaminen, ilmoitukset
  • Kenelle raportoidaan? Milloin ilmoitetaan asiakkaille tai viranomaisille?
  • Lokien säilytys ja forensiikka-valmius: missä lokit ovat, miten niitä analysoidaan?

Kriittiset palvelutasosopimukset (service level agreements) ja vastuut:

  • Mitä on luvattu asiakkaille turvallisuudesta ja saatavuudesta?
  • Kuka vastaa, jos palvelutasosopimus uhkaa rikkoutua?
  • Eskalaatiopolku: missä vaiheessa herätetään seuraava taso?

Tietosuoja ja yksityisyys -pohdinnat:

  • GDPR-pyyntöihin vastaaminen: kuka hoitaa lomien aikana?
  • Henkilötietojen käsittelyn dokumentaatio saatavilla
  • Tietosuojavastaavan yhteystiedot päivitetty ja jaettu

Näiden tulee toimia myös silloin, kun vastuuhenkilö on lomalla. Testaa: osaako joku muu tiimistä käydä prosessin läpi?

HTF-nappi – kun kaikki menee pieleen

Syntyy täydellinen myrsky. Kaikki menee yhtä aikaa pieleen, tuotanto on alhaalla, sormi on suussa, itku herkässä. Mitäs nyt? Onko meillä prosessi käsitellä tapahtunut? Kenelle minä soitan?

Tämä on listasi tärkein kohta silloin kun tilanne on päällä. Kriisitilanne lomien aikana paljastaa prosessipuutteet. Dokumentoidut ja todennetusti toimivat prosessit varmistavat, että organisaatio selviää kriisistä myös silloin, kun avainhenkilöt ovat tavoittamattomissa.

"Sh*t Hits the Fan" on enemmän kuin puhelinnumero.

Yhteystiedot:

  • Kenelle soitetaan kriisitilanteessa (sisäiset + ulkoiset tahot, esim. tietoturvapartnerit)
  • Kuka tekee päätökset, jos ensisijainen henkilö ei vastaa?
  • Päivystävän kontaktit päivitetty ja testattu

Järjestelmäkatastrofista palautuminen (disaster recovery):

  • Prosessit kuvattu ja testattu, ei vain teoriassa kuvattuna intrassa
  • Palautusajan tavoitteet (Recovery time objective, Recovery point objective) tiedossa ja realistiset
  • Kriittisten järjestelmien palautusjärjestys dokumentoitu ja perusteltu

Varmuuskopiointiprosessit:

  • Miten varmuuskopioinnit tehdään, missä ne ovat, miten palautetaan?
  • Merkitse ylös ”Testattu viimeksi: [päivämäärä]”. Jos varmuuskopioita ei ole testattu viimeisen 6 kuukauden aikana, testaa nyt.
  • Lomakauden aikana kiristyshaittaohjelmahyökkäys eli ransomware ei odota. Toimivatko varmuuskopiot oikeasti?
  • Offline-varmuuskopiot: onko jotain turvassa verkosta irrotettuna?

Pääsyoikeudet ja tunnukset kunnossa

Hommat rullaavat ja kesä etenee. Vielä pitäisi hoitaa seuraavat jutut lomakauden aikana, jotta pyörät pysyvät liikkeessä. Mutta hei, onkos minulla pääsyjä tarvittavaan järjestelmään? Ja kukas tämän tunnuksen omistaa, onkohan jo lähtenyt firmasta?

Kesätyöntekijöiden ja sijaisten pääsyt:

  • Väliaikaiset pääsyt: kuka saa mitä, miten kauan, miksi?
  • Vähimmän pääsyn periaate -periaate: Ei pääkäyttäjätason oikeuksia "varmuuden vuoksi".
  • Pääsyoikeuksien automaattinen vanhentuminen tai muistutus poistamisesta

Kriittiset tunnukset ja palvelut:

  • Jaetut tunnukset ja palvelutilit (service account) dokumentoitu. Aikatauluta tunnusten korjaaminen syksylle.
  • Monivaiheinen tunnistautuminen (multi-factor authentication MFA) käytössä kaikissa pääkäyttäjä-tason käyttöoikeuksissa. Ei poikkeuksia.
  • Hätätilanteen pääsyjen hankinnan -prosessi: miten saadaan pääsy kriittisiin järjestelmiin, jos avainhenkilö ei vastaa?

Lomakauden aikana:

  • Kuka ylläpitää pääsyoikeuksia? Saako kesätyöntekijä lisäoikeuden kello 17 perjantaina, kun tilanne on päällä?
  • Onko selkeä prosessi tilapäisille korotetuille oikeuksille?

Lomakauden jälkeen:

  • Pääsyoikeuksien läpikäynti: poistetaan turhat oikeudet.
  • Kesätyöntekijöiden tunnukset pois käytöstä

Monitorointi ja hälytysprosessit toimivat

”Ei tuosta tarvitse välittää, tuota virhettä tulee aika ajoin.” Kuulostaako tutulta? Samat virheet pompahtavat hälytyskanavissa ja saavat aikaan korkeintaan pienen kulmakarvojen kohotuksen. Mutta jos tarkkailtava järjestelmä ei ole tuttu, voiko hälytyksen jättää huomiotta? 

Kuka seuraa:

  • Onko päivystäjien rotaatio olemassa ja toimiva?
  • Tietävätkö kaikki rotaatiossa olevat vastuunsa ja velvollisuutensa?
  • Ovatko hälytykset oikeasti merkityksellisiä varalla oleville, vai tuottavatko ne vain meteliä?

Kriittiset metriikat ja hälytykset:

  • Mitkä hälytykset vaativat välitöntä toimintaa?
  • Mitkä voivat odottaa seuraavaan työpäivään?
  • Lokit ja monitorointityökalut: kuka osaa käyttää niitä? Onko dokumentaatiota?

Hälyytysuupumus (alert fatigue):

  • Onko turhat hälytykset karsittu pois ennen lomia? Jos hälytyksiä tulee kymmeniä päivässä, merkitykselliset hukkuvat meteliin.
  • Mikäli jokin komponentti hälyttää säännöllisesti, mutta on tehty päätös, ettei toimenpiteisiin ryhdytä, sammuta hälytys. 

Testaa ennen lomia:

  • Lähetetäänkö hälytykset oikeille henkilöille oikeisiin kanaviin?
  • Toimivatko eskalaatiopolut? Entä jos ensimmäinen henkilö ei vastaa?
  • Kokeile lähettää testihälytys: vastaako kukaan?

Lopuksi

Tämä ei ole vain juniorien lista. Jokainen joutuu joskus tuuraamaan hommia, jotka eivät kuulu omaan arkeen, joten valmistautuminen kannattaa aina.

Hyvää ja turvallista kesää!