Ett utpressningsprogram (eng. ransomware) är ett program som hindrar normal användning av en enhet eller ett datanät och kräver att offret betalar lösen till brottslingarna. Utpressningsprogram krypterar typiskt filer på enheten med en krypteringsalgoritm och en nyckel som endast angriparen har tillgång till. Ofta försöker angriparen också stjäla offrets uppgifter och utpressa genom att hota att offentliggöra dem. Gör en polisanmälan och följ polisens anvisningar även i kommunikationen.
Utpressningsprogram
Organisationen upptäcker ett utpressningsprogram i sina system. Hela eller delar av organisationens IT-tjänster är ur bruk. Att kommunicera om angrepp med utpressningsprogram kräver mod av organisationen att öppet informera om en allvarlig cyberincident. När kommunikationslinjen övervägs, påverkar det också om man vill undvika att ge synlighet åt gärningspersonen eller till eventuella utpressningskrav. Gör en polisanmälan och följ polisens anvisningar även i kommunikationen.
- Vilka tjänster är inte tillgängliga? Vilka reservsystem tas i bruk?
- Hur kommuniceras situationen internt och externt? Via vilka system sker kommunikationen?
- Angriparen kan ha hunnit stjäla uppgifter över nätet innan de krypterades, vilket innebär att organisationen måste beakta dataskyddslagens anmälningsskyldigheter (se även kommunikationskortet om informationsläckage).
- Har organisationen fått ett krav på lösensumma? Försöker angriparen även utpressa genom att hota att offentliggöra stulna uppgifter?
- Det är viktigt att förstå att information om omfattande incidenter kan läcka ut till offentligheten även utan organisationens aktiva kommunikation. Detta bör beaktas redan i krisens inledande skede. Händelsen kommer sannolikt att bli offentlig senast när angriparen börjar publicera de stulna uppgifterna på nätet.
Åtgärder
- Informera internt om incidenten och dess konsekvenser. Ge personalen tydliga anvisningar om alternativa arbetssätt och tjänster. En överraskande situation där normala system inte fungerar väcker starka känslor och oro hos människor. Personalen behöver mer ledning än vanligt vid undantagstillstånd.
- Kommunicera utåt om incidenten och störningarna till kunder och intressentgrupper. Kom ihåg skyldigheterna enligt dataskyddslagen: om personuppgifter har stulits, ska berörda personer informeras och anmälan göras till dataombudsmannen.
- Diskutera på förhand i organisationen vilken terminologi och ton ni vill använda för att beskriva en allvarlig incident, som exempelvis ett utpressningsprogram, till olika målgrupper. Hur kommunicerar ni om situationen om de normala systemen inte är i bruk?
- Fokusera på att göra kommunikationen och instruktionerna tydliga, begripliga och heltäckande. Kom ihåg behovet av uppföljande kommunikation och stöd till de drabbade även efter händelsen.
Gör en polisanmälan och följ polisens anvisningar även i kommunikationen.
Exempelmeddelande
Ett dataintrång påverkar organisationens verksamhet
Vår organisation har utsatts för ett dataintrång, vilket för närvarande påverkar våra tjänster A och B. Vi utreder händelsen tillsammans med vår tjänsteleverantör och det finns i nuläget skäl att misstänka att angriparen kan ha fått tillgång till uppgifter som rör våra kunder. Vi berättar mer när utredningen framskrider.
Vi har gjort en polisanmälan om händelsen, en anmälan till dataombudsmannen och till Cybersäkerhetscentret vid Traficom.
Kontaktuppgifter: exempel@organisation.fi