Case My Company Oy eli miten tietomurtotilanteessa toimitaan oikein

Transcript

1. None

2. CASE MY COMPANY OY ELI MITEN TIETOMURTOTILANTEESSA TOIMITAAN OIKEIN

3. MY COMPANY OY:N TIETOMURTO LAKI JA GDPR- ASETUS TIETOTURVA JA

   TUTKINTA SISÄINEN JA ULKOINEN VIESTINTÄ

4. LÄHTÖTILANNE • Oma palvelu rakennettu itse (Drupal) + pyörii AWS:llä

   • Lisäksi työntekijöiden tietoja (Dropbox), asiakastietoja (CRM), prospektit + markkinointiautomaatio… • Työntekijät, käyttäjät, ylläpitäjät Suomessa • Ylläpito alihankintana • Huomataan outo admin-account ”vahingossa” uuden työntekijän accountia luodessa

5. JUHO RANTA | 2NS

6. Mahdollinen tietomurto vai poikkeama, jolla looginen selitys? Mistä aloitetaan, kuinka

   varmistamme mistä kyse?

7. Ensimmäiset stepit • Priorisoi poikkeama • Outo tunnus ei välttämättä

   ole merkki tietomurrosta • Selvitetään kumppanilta heidän tiedot tunnuksesta

8. Tietomurron varmistaminen • Kumppani ei tunnista tunnusta • Tunnus luotu

   6kk aikaisemmin • Paljastuu, että kirjautumiset ovat Suomen ulkopuolelta

9. Tietomurto vahvistunut! Miten tulee aloittaa tietoturvan ja tutkinnan osalta?

10. Ensimmäiset stepit • Otetaan snapshot palvelimesta – mikäli mahdollista •

    ÄLÄ sammuta palvelua tai tee muutoksia umpimähkään • Muodostetaan ns. kriisiryhmä

11. Kriisiryhmä. Ketkä siihen kuuluu? Mitä jos meillä ei ole tarvittavaa

    osaamista?

12. Kriisiryhmän kokoonpano • Liiketoiminnan johtoa • Tietoturva • Laki •

    Viestintä

13. Case My Company: mitä tutkinnassa selvinnyt ja miten? Yksityiskohtaisen lokituksen

    tärkeys

14. Miten tunnus on luotu? • Lokien saatavuus äärimmäisen tärkeää •

    Lokeista selviää, että hyökkääjä hyväksikäyttänyt Drupalissa ollutta haavoittuvuutta

15. Selvitetään mitä tietoja viety • Asiakastietoja on luettu samaan aikaan,

    kun tunnusta on käytetty • Tunnuksella oli hyvin laajat oikeudet

16. Selvitetään mitä tietoja viety • Lokitus ei kuitenkaan ollut riittävän

    yksityiskohtaista • Ei voida sanoa, mitä asiakastietoja luettu

17. Korjaavat toimenpiteet ja palautuminen?

18. Palautuminen • Luodaan uusi asennus • Aloitetaan sopimusneuvottelut kumppanin kanssa

    ylläpidon SLA:sta

19. Parhaita käytänteitä tietomurron estämiseksi? Eli mitä olisi voitu tehdä paremmin?

20. Mitä olisi voitu tehdä paremmin? • Haavoittuvuuksien hallinta • SIEM

    • Incident management prosessin luominen • Kumppaneiden seuranta

21. Mitä tulisi seurata lokeista? • Tietoturvakriittiset tapahtumat • Virhetilanteet •

    Asiakastietojen lukeminen

22. TERHO NEVASALO | HPP

23. HENKILÖTIETOJEN TIETOTURVALOUKKAUS JA GDPR

24. Mitkä ovat My Company Oy:n tietoturvavelvoitteet? Myöskin: olennaiset käsitteet kuten

    Rekisterinpitäjä ja Käsittelijä

25. Rekisterinpitäjän ja käsittelijän tietoturvavelvoitteet à Toteuttaa asianmukaiset tekniset ja organisatoriset

    toimet varmistaakseen henkilötiedoille aiheutuvaa riskiä vastaavan turvallisuustason

26. Mikä muodostaa tietoturvaloukkauksen? Case My Company Oy: onko kyseessä tietoturvaloukkaus?

27. § Henkilötietojen tietoturvaloukkaus à tapahtuma, jonka seurauksena mm. henkilötietoja häviää,

    muuttuu, luovutetaan luvattomasti tai niihin päästään oikeudetta à hakkerointi, hukattu tietokone, DDoS, virus/ransomware, henkilötietoja väärälle taholle jne.

28. Mitä haittavaikutuksia tietoturvaloukkauksesta voi aiheutua rekisteröidylle?

29. § Haittavaikutukset rekisteröidyille à haittavaikutuksia esim. syrjintä, identiteettivarkaus tai petos,

    taloudelliset menetykset ja mainehaitta Haittavaikutuksista aiheutuu riski tai korkea riski à ilmoitettava tietosuojavaltuutetulle (”tavanomainen” riski) ja tietyissä tapauksissa rekisteröidylle (korkea riski)

30. Koska on tehtävä ilmoitus tietosuojavaltuutetulle?

31. § Ilmoitus tietosuojavaltuutetulle à Aiheutuu riski: rekisterinpitäjän ilmoitettava 72h kuluessa

    loukkauksen ilmitulosta à Käsittelijän ilmoitettava rekisterinpitäjälle ilman aiheetonta viivästystä

32. Koska on tehtävä ilmoitus rekisteröidylle?

33. § Ilmoitus rekisteröidylle à Aiheutuu korkea riski: rekisterinpitäjän ilmoitettava ilman

    aiheetonta viivästystä à Kuvaus tapahtuneesta, mahdolliset seuraukset, tehdyt toimenpiteet jne.

34. Koska ei vaadita ilmoitusta rekisteröidylle?

35. § Ilmoitusta ei vaadita à rekisterinpitäjä on toteuttanut asianmukaiset tekniset

    ja organisatoriset suojatoimenpiteet (esim. salaus) à ei pääsyä henkilötietoihin à muulla tavoin estänyt tietojen käytön (estänyt murtautujaa hyödyntämästä niitä) à ilmoittaminen vaatisi kohtuutonta vaivaa

36. Millainen dokumentointivelvollisuus yrityksellä on tietoturvaloukkausten osalta?

37. § Dokumentointivelvollisuus à kaikki tietoturvaloukkaukset kirjattava vaikka ei olisi ilmoitusvelvollisuutta

    à tietosuojavaltuutettu voi pyytää nähtäväksi ko. rekisteriä à osoitusvelvollisuuden laiminlyönti rangaistavaa

38. Mitä korvauksia My Company voi joutua maksamaan?

39. § Rangaistussäännöksiä ja korvauksia à hallinnollinen seuraamusmaksu 10/20Meur tai 2/4

    prosenttia globaalista liikevaihdosta (32 art. 2Meur/2 prosenttia) à rekisteröidyille aiheutuneet vahingot à mahdollisista sopimusrikkomuksista aiheutuneet vahingot à luonnollisen henkilön mahdollinen rikosoikeudellinen vastuu (tietosuojarikos RL 38 luku 9§ 2 mom.)

40. Kuinka voimme ennalta varautua tietoturvaloukkaukseen?

41. § Ennakolliset toimenpiteet à Dokumentoitu valmiussuunnitelma ja ilmoittamismenettely à vastuut

    ja tehtävät à miten arvioidaan henkilötietoihin liittyvä tietoturvariski à miten pyritään estämään loukkaus ja mahdolliset jatkovahingot

42. Toimenpiteet jälkikäteen?

43. § Jälkikäteiset toimenpiteet à miten ilmoitetaan viranomaisille ja rekisteröidyille à

    miten estetään loukkauksen toistuminen à miten tiedotetaan sisäisesti ja ulkoisesti

44. CHRISTINA FORSGÅRD | NETPROFILE

45. KRIISI NÄYTTÄÄ TÄLTÄ

46. KRIISISSÄ MENETÄT RESURSSEISTA ARVOKKAIMMAN – AJAN 72 H ON 3

    VRK

47. KYBERKRIISI EI OLE VAIN IT-ONGELMA KOKO LIIKETOIMINTA ON VAAKALAUDALLA.

48. Kenen luottamuksen varassa toimimme? Mitä on tapahtunut? Millaiset ovat juridiset

    vastuumme? KYBERKRIISIN LIIKETOIMINTALÄHTÖINEN JOHTAMINEN

49. KRIISIVIESTINNÄN ENSIMMÄINEN KYSYMYS. KENEN LUOTTAMUKSEN VARASSA LIIKETOIMINTASI ON?

50. 1. HENGITÄ 2. KÄYNNISTÄ TILANNEKUVAN YLLÄPITO 3. KOKOA KRIISINHALLINTARYH MÄ

51. Kriisinhallintaryhmän tehtävä on turvata liiketoiminnan jatkuvuus. Se johtaa organisaation toimintaa

    kyberkriisin synnyttämässä poikkeustilanteessa ja ylläpitää tilannekuvaa.

52. Aihe- kohtainen tai master- Q&A Lausunto- pohjat Kriisi- viestintä- ohjeistuk-

    set Kriisi- viestinnän hallinnointi malli Viestinnän infra ja vara- järjestel- mät KRIISIVIESTINNÄN TYÖKALUT TILANNEHUONE MEDIA- JA SOMESEURANTA

53. IT:N JA FORENSIIKKA MAINEENHALLINTA JURIDINEN PROSESSI KRIISINHALLINTARYHMÄ AKTIVOI KOLME RINNAISTA

    PROSESSIA

54. POIKKEAMA HAVAITTU Company My

55. Ensimmäinen viestinnällinen valinta. Mistä puhumme? Poikkeama? Mahdollinen tietomurto? Tietoturvavakuutus? Mitä

    vakuutus kattaa? Forensiikan ja ulkopuolisen kriisinhallinta/viestintätuen? Kriisinhallintaryhmä koko henkilöstö (5) +/- yhteistyökumppanit, alihankkijat Company My

56. Company My Rikosilmoitus poliisille. Ilmoitus kyberturvallisuuskeskukselle. Yhteys valvovaan viranomaiseen, jos

    sellainen on. Finanssivalvonta? Oman henkilöstön toimintakyvyn varmistaminen / suojautuminen esim. identiteettivarkaudelta?

57. Company My Yhteys tietosuojavaltuutettuun, ilmoitus 72 tunnin kuluessa. TSV ohjeistaa

    myös viestintää.

58. Company My Media- ja someseurannat käyntiin. Henkilöstö, asiakkaat, sijoittajat, yhteistyökumppanit,

    media (?) Mistä tietää viestintäjärjestyksen? -> velvollisuus, luottamus, talous…MAINE

59. Company My Toiminnalliset haitat? Korvausvelvollisuudet? Mainehaitat? Liiketoiminnan jatkuvuus? Suhdetoiminta?

60. MILLOIN KRIISIVIESTINTÄ ON ONNISTUNUT?

61. KIITOS!