Arkaluontoisen testidatan vuotaminen

Skenaario

Ulkoiset toimijat ilmoittavat organisaatiolle verkossa olevasta palvelusta, jossa on saatavilla organisaation tietojärjestelmiin liittyvää testidataa. Testidata on muodostettu pohjautuen osittain oikeaan dataan ja sisältää muun muassa puhelinnumeroita sekä muuta henkilöllisyyttä yksilöivää tietoa, joita yhdistelemällä voidaan tehdä päätelmiä oikeasta tiedosta.

Soveltaminen

Skenaario soveltuu tietovuodon käsittelyyn ja arkaluontoisen tiedon kasautumisvaikutuksista muodostuvan uhkan realisoitumiseen. Skenaariossa harjoitellaan kehittämiseen liittyvän testauksen, tiedonhallinnan ja viestinnän prosesseja. Tarkoituksena on pohtia eri tietokantojen ja niiden sisältämien tietojen yhteyttä toisiinsa sekä tiedonjakamisprosesseja yhteistyötoimijoiden kanssa, sekä sitä, miten palvelujen elinkaariajattelu on organisaatiossa suunniteltu. Skenaariolla harjoitellaan myös hyökkäyspinta-alan pienentämistä, verkossa olevien palveluiden ja testausprosessien dokumentointia sekä päättämistä oikein. 

Lisähaaste

Testattu palvelu ei ole kuulunut ylläpidettäviin palveluihin ja sen sovellusrajapinta on muuttunut haavoittuvaksi ajan myötä. Testipalveluun on myös ollut useita vuosia pääsy alihankkijoilla, jotka toimivat EU:n ulkopuolella.