MyFondia VirtuaaliLakimies
12. joulukuuta, 2014

Tietomurrot ja yksityisyydensuoja

Erilaisista tietomurroista kirjoitetaan lehdissä lähes päivittäin. Näiden tietomurtojen seurauksina tuhansien ja jopa miljoonien käyttäjien tietoja päätyy hakkereille ja myös julkiseen jakoon. Tietomurrosta aiheutuvat vahingot voivat muodostua huomattaviksi, varsinkin jos murtoa ei havaita ajoissa eikä siihen osata reagoida asianmukaisesti.

Tietomurtojen motiivit vaihtelevat kiusanteosta yritysvakoiluun. Vaikka organisaatiolla ei olisi luottamuksellisia tietoja tai vihamiehiä, voi tietomurto osua omalle kohdalle. Varsinkin julkiseen Internetiin tarjottavat palvelut ovat alttiita tietomurroille, sillä niitä vastaan on helppo hyökätä vaikka toiselta puolelta maapalloa. Tietomurroista aiheutuneet vahingot liittyvät yleensä suoriin kustannuksiin, jotka seuraavat murron selvittelystä, palveluiden käyttökatkoista ja mahdollisista sanktioista. Lisäksi tietomurroista voi seurata epäsuoria vaikutuksia, kuten asiakkaiden luottamuksen menettäminen. Varsinkin huonosti hoidetun tietomurtotapauksen epäsuorat vaikutukset voivat muodostua merkittäviksi.

Tietomurtoihin käytetään lukuisia keinoja, eikä tietomurroilta suojautumiseen ole olemassa patenttiratkaisua. Huolellinen tietojärjestelmien ylläpito ja tietoturvaan panostaminen auttavat paljon murtojen ehkäisyssä, mutta ne eivät yksin riitä, sillä täydellisen turvallista tietojärjestelmää ei käytännössä ole mahdollista rakentaa. Jokaisen organisaation tulee varautua tietomurtoihin, sillä kysymys on vain ja ainoastaan siitä, milloin tietomurto sattuu omalle kohdalle.

Tietomurtoihin varautuminen kannattaa aloittaa perusasioista, sillä yleensä suurimmat haasteet tietomurron selvityksessä liittyy ihmisiin, prosesseihin ja dokumentaatioon.

Mitä tietoja ja missä tallennat:

Organisaation tulisi tietää mitä tietoa tallennetaan, minne sitä tallennetaan, miten se on suojattu ja kenellä on tietoon pääsy. Tietomurron sattuessa nämä tiedot ovat ensiarvoisen tärkeitä, kun murron mahdollisia vaikutuksia selvitetään. Jos tiedetään, että murron kohteena olevassa järjestelmässä ei ole luottamuksellista tietoa, kuten esimerkiksi henkilötietoja, on tilanne huomattavasti parempi kuin se, että tietosisällöstä ei ole varmuutta. Julkisuudessa on valitettavan usein tapauksia, joissa murron kohde ensin kiistää murron, tämän jälkeen väittää, että luottamuksellista tietoa ei ole vaarantunut ja lopulta joutuu myöntämään, että kyllä luottamuksellista tietoa onkin päätynyt hyökkääjien haltuun. Organisaatio, joka tietää missä ja mitä tietoa se tallentaa, voi suoraan murtoepäilyn tultua ilmi arvioida tilanteen vakavuuden ja aloittaa tarvittaessa harkitun viestinnän tilanteesta. Mahdollisten vahinkojen minimoimiseksi organisaatioiden tulisi myös välttää turhan tiedon tallentamista. Helpoin tapa suojata tietoa on olla tallentamatta sitä.

Kuka omistaa tietojärjestelmät:

Tietomurron selvityksen aikana päädytään hyvin usein tilanteeseen, jossa joudutaan miettimään tietojärjestelmien alasajoa tai vähintäänkin osittaista eristämistä verkosta. Näitä tilanteita varten on ensiarvoisen tärkeää tietää kunkin palvelun käyttötarkoitus, kriittisyys ja palvelun omistaja. Hätiköidyillä toimilla, kuten liiketoimintakriittisen järjestelmän alasajolla, voidaan helposti aiheuttaa enemmän vahinkoa kuin itse tietomurto olisi aiheuttanut.

Valvo tietojärjestelmiä:

Perinteinen tietoturva-ajattelu on painottunut vahvasti tiedon ja järjestelmien suojaamiseen, eikä järjestelmien valvomiseen ole juuri panostettu. On pyritty rakentamaan täydellisen turvallinen järjestelmä, eikä ole hyväksytty sitä tosiasiaa, että väärinkäytöksiä ja tietomurtoja voi tapahtua. Järjestelmien puutteellinen valvonta näkyy suoraan tietomurtojen havainnointiajoissa. Useat tietomurroista tehdyt tutkimukset osoittavat varsin suoraan, että tietomurtojen havaitsemiseen kuluu tyypillisesti kuukausia tai jopa vuosia, eivätkä organisaatiot yleensä itse havaitse tietomurtoja. Kun murto viimein havaitaan ja sen tutkinta aloitetaan, käy hyvin usein ilmi, että tietomurron merkit ovat hyvin selviä ja ovat olleet näkyvissä pitkään. Niitä ei vaan olla havaittu, koska järjestelmiä ei valvota asianmukaisesti.

Tietomurtojen vahinkojen minimoimiseksi organisaatioiden tulisi panostaa tietojärjestelmiensä valvontaan. Asianmukaisesti toteutettu valvonta voi lyhentää murron havaitsemisaikaa merkittävästi. Mitä aikaisemmin murto tai murron yritys havaitaan, sitä suurempi mahdollisuus organisaatiolla on pysäyttää murto ennen kuin hyökkääjät pääsevät käsiksi arvokkaimpiin tietoihin.

Kyky reagoida:

Pelkkä tietomurron havaitseminen ei yksin riitä. Organisaatiolla tulee olla kyky reagoida tietomurtoihin ja tietomurtoepäilyihin. Reagointikyky rakentuu ennalta mietittyjen toimintatapojen ja ohjeistuksien varaan. Nämä ohjeistukset tulisi aloittaa perusasioista, kuten siitä, kenelle tietomurtoepäillyt raportoidaan, miten epäillyn alustava selvitys organisoidaan, missä tilanteessa selvitykseen otetaan mukaan tietomurtojen tutkintaan erikoistuneita henkilöitä tai konsultteja. Ohjeistuksen tulisi ottaa kantaa myös siihen, milloin ja kuka tekee päätöksen ulkoisen viestinnän aloittamisesta ja tiedottamisesta. Varsinkin henkilötietojen vaarantuessa on oleellista, että tilanteesta tiedotetaan asianmukaisia tahoja.

Tietomurtojen tutkinnan kannalta yksi oleellisimmista asioista on se, miten murtoepäillyn tultua ilmi toimitaan. Hätiköidyt päätökset, kuten esimerkiksi tietokoneiden sammuttaminen, voivat oleellisesti vaikeuttaa tutkintaa, sillä usein niiden takia menetetään kallisarvoista todistusaineistoa jota ei voida myöhemmin enää saada. Tästä johtuen organisaatioilla tulisi olla tarkka ohjeistus nimenomaan tietomurtojen ensivaiheen selvittelyyn. Kun se on tehty oikein ja todistusaineisto on tallessa, voidaan tutkintaan helposti käyttää esimerkiksi ulkopuolista asiantuntija-apua. Toisaalta, jos todistusaineisto on menetetty, eivät välttämättä edes parhaat asiantuntijat voi auttaa.