Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Case My Company Oy eli miten tietomurtotilantee...

Case My Company Oy eli miten tietomurtotilanteessa toimitaan oikein

My Company Oy (case-yritys on kuvitteellinen!) tarjoaa moderneja vakuudettomia rahoituspalveluita sekä asiantuntijatyötä yrityksille. Itse verkkopalvelu on rakennettu Drupalilla ja pyörii AWS:llä. Palvelun käyttö edellyttää rekisteröintiä: nimi, sähköposti, yritys, yrityksen henkilömäärä, liikevaihto ja viimeisten kolmen vuoden tilinpäätöstiedot (pdf-liitteet). Tiedot ovat turvallisesti tallessa My Company Oy:n järjestelmässä. Tallessa ovat myös päätökset eli tiedot siitä, kenelle lainaa on tarjottu, paljonko ja millä korolla.

Software Finland ry

January 20, 2021
Tweet

More Decks by Software Finland ry

Other Decks in Business

Transcript

  1. MY COMPANY OY:N TIETOMURTO LAKI JA GDPR- ASETUS TIETOTURVA JA

    TUTKINTA SISÄINEN JA ULKOINEN VIESTINTÄ
  2. LÄHTÖTILANNE • Oma palvelu rakennettu itse (Drupal) + pyörii AWS:llä

    • Lisäksi työntekijöiden tietoja (Dropbox), asiakastietoja (CRM), prospektit + markkinointiautomaatio… • Työntekijät, käyttäjät, ylläpitäjät Suomessa • Ylläpito alihankintana • Huomataan outo admin-account ”vahingossa” uuden työntekijän accountia luodessa
  3. Ensimmäiset stepit • Priorisoi poikkeama • Outo tunnus ei välttämättä

    ole merkki tietomurrosta • Selvitetään kumppanilta heidän tiedot tunnuksesta
  4. Tietomurron varmistaminen • Kumppani ei tunnista tunnusta • Tunnus luotu

    6kk aikaisemmin • Paljastuu, että kirjautumiset ovat Suomen ulkopuolelta
  5. Ensimmäiset stepit • Otetaan snapshot palvelimesta – mikäli mahdollista •

    ÄLÄ sammuta palvelua tai tee muutoksia umpimähkään • Muodostetaan ns. kriisiryhmä
  6. Miten tunnus on luotu? • Lokien saatavuus äärimmäisen tärkeää •

    Lokeista selviää, että hyökkääjä hyväksikäyttänyt Drupalissa ollutta haavoittuvuutta
  7. Selvitetään mitä tietoja viety • Asiakastietoja on luettu samaan aikaan,

    kun tunnusta on käytetty • Tunnuksella oli hyvin laajat oikeudet
  8. Selvitetään mitä tietoja viety • Lokitus ei kuitenkaan ollut riittävän

    yksityiskohtaista • Ei voida sanoa, mitä asiakastietoja luettu
  9. Mitä olisi voitu tehdä paremmin? • Haavoittuvuuksien hallinta • SIEM

    • Incident management prosessin luominen • Kumppaneiden seuranta
  10. Rekisterinpitäjän ja käsittelijän tietoturvavelvoitteet à Toteuttaa asianmukaiset tekniset ja organisatoriset

    toimet varmistaakseen henkilötiedoille aiheutuvaa riskiä vastaavan turvallisuustason
  11. § Henkilötietojen tietoturvaloukkaus à tapahtuma, jonka seurauksena mm. henkilötietoja häviää,

    muuttuu, luovutetaan luvattomasti tai niihin päästään oikeudetta à hakkerointi, hukattu tietokone, DDoS, virus/ransomware, henkilötietoja väärälle taholle jne.
  12. § Haittavaikutukset rekisteröidyille à haittavaikutuksia esim. syrjintä, identiteettivarkaus tai petos,

    taloudelliset menetykset ja mainehaitta Haittavaikutuksista aiheutuu riski tai korkea riski à ilmoitettava tietosuojavaltuutetulle (”tavanomainen” riski) ja tietyissä tapauksissa rekisteröidylle (korkea riski)
  13. § Ilmoitus tietosuojavaltuutetulle à Aiheutuu riski: rekisterinpitäjän ilmoitettava 72h kuluessa

    loukkauksen ilmitulosta à Käsittelijän ilmoitettava rekisterinpitäjälle ilman aiheetonta viivästystä
  14. § Ilmoitus rekisteröidylle à Aiheutuu korkea riski: rekisterinpitäjän ilmoitettava ilman

    aiheetonta viivästystä à Kuvaus tapahtuneesta, mahdolliset seuraukset, tehdyt toimenpiteet jne.
  15. § Ilmoitusta ei vaadita à rekisterinpitäjä on toteuttanut asianmukaiset tekniset

    ja organisatoriset suojatoimenpiteet (esim. salaus) à ei pääsyä henkilötietoihin à muulla tavoin estänyt tietojen käytön (estänyt murtautujaa hyödyntämästä niitä) à ilmoittaminen vaatisi kohtuutonta vaivaa
  16. § Dokumentointivelvollisuus à kaikki tietoturvaloukkaukset kirjattava vaikka ei olisi ilmoitusvelvollisuutta

    à tietosuojavaltuutettu voi pyytää nähtäväksi ko. rekisteriä à osoitusvelvollisuuden laiminlyönti rangaistavaa
  17. § Rangaistussäännöksiä ja korvauksia à hallinnollinen seuraamusmaksu 10/20Meur tai 2/4

    prosenttia globaalista liikevaihdosta (32 art. 2Meur/2 prosenttia) à rekisteröidyille aiheutuneet vahingot à mahdollisista sopimusrikkomuksista aiheutuneet vahingot à luonnollisen henkilön mahdollinen rikosoikeudellinen vastuu (tietosuojarikos RL 38 luku 9§ 2 mom.)
  18. § Ennakolliset toimenpiteet à Dokumentoitu valmiussuunnitelma ja ilmoittamismenettely à vastuut

    ja tehtävät à miten arvioidaan henkilötietoihin liittyvä tietoturvariski à miten pyritään estämään loukkaus ja mahdolliset jatkovahingot
  19. § Jälkikäteiset toimenpiteet à miten ilmoitetaan viranomaisille ja rekisteröidyille à

    miten estetään loukkauksen toistuminen à miten tiedotetaan sisäisesti ja ulkoisesti
  20. Kenen luottamuksen varassa toimimme? Mitä on tapahtunut? Millaiset ovat juridiset

    vastuumme? KYBERKRIISIN LIIKETOIMINTALÄHTÖINEN JOHTAMINEN
  21. Kriisinhallintaryhmän tehtävä on turvata liiketoiminnan jatkuvuus. Se johtaa organisaation toimintaa

    kyberkriisin synnyttämässä poikkeustilanteessa ja ylläpitää tilannekuvaa.
  22. Aihe- kohtainen tai master- Q&A Lausunto- pohjat Kriisi- viestintä- ohjeistuk-

    set Kriisi- viestinnän hallinnointi malli Viestinnän infra ja vara- järjestel- mät KRIISIVIESTINNÄN TYÖKALUT TILANNEHUONE MEDIA- JA SOMESEURANTA
  23. Ensimmäinen viestinnällinen valinta. Mistä puhumme? Poikkeama? Mahdollinen tietomurto? Tietoturvavakuutus? Mitä

    vakuutus kattaa? Forensiikan ja ulkopuolisen kriisinhallinta/viestintätuen? Kriisinhallintaryhmä koko henkilöstö (5) +/- yhteistyökumppanit, alihankkijat Company My
  24. Company My Rikosilmoitus poliisille. Ilmoitus kyberturvallisuuskeskukselle. Yhteys valvovaan viranomaiseen, jos

    sellainen on. Finanssivalvonta? Oman henkilöstön toimintakyvyn varmistaminen / suojautuminen esim. identiteettivarkaudelta?
  25. Company My Media- ja someseurannat käyntiin. Henkilöstö, asiakkaat, sijoittajat, yhteistyökumppanit,

    media (?) Mistä tietää viestintäjärjestyksen? -> velvollisuus, luottamus, talous…MAINE