Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
NIS2-direktiivin häiriöiden raportointivaatimukset ja liittyvät ISO 27001:n parhaat käytännöt

Häiriöiden ilmoittamiseen liittyvät vaatimukset NIS2-direktiivissä edellyttävät, että organisaatiot ilmoittavat viranomaisille sekä palveluidensa käyttäjille kaikista verkko- ja tietojärjestelmiensä turvallisuuteen kohdistuvista merkittävistä häiriöistä.

Häiriöiden raportointivaatimusten tarkoituksena on varmistaa avoimuus ja vastuuvelvollisuus merkittävien häiriöiden sattuessa. Direktiivissä edellytetään, että (merkittävistä) häiriöistä ilmoitetaan ilman aiheetonta viivytystä ja että ilmoitukset sisältävät riittävästi tietoa, jotta viranomaiset voivat esimerkiksi määrittää tapauksen mahdollliset rajatylittävät vaikutukset.

Mikä on "häiriö" tietoturvassa?

Yleisesti ottaen tietoturvahäiriöiden määrä ja voimakkuus ovat kasvussa. Valitettavasti monet näistä tapauksista jäävät huomaamatta. Häiriötilanteet voivat käynnistyä esimerkiksi seuraavista tekijöistä:

  • Haittaohjelmat (virukset, madot, kiristysohjelmat).
  • Luvaton pääsy (hakkerointi, salasanojen murtaminen).
  • Tietomurrot (tietojen luvaton muuttaminen tai niihin pääsy).
  • Ulkopuolinen tunkeutuminen (kolmansien osapuolten hyökkäykset).
  • Inhimillinen erehdys (arkaluonteisten tietojen vahingossa tapahtuva paljastaminen).
  • Sisäpiirin uhat (työntekijät tai sisäpiiriläiset vaarantavat tahallaan tietoturvan).
  • Tietoturvatietoisuuden tai -koulutuksen puute
  • Ohjelmistojen tai järjestelmien haavoittuvuudet
  • Huonosti konfiguroidut tai riittämättömät turvatoimet.
  • Fyysiset tietoturvaloukkaukset (arkaluonteisia tietoja sisältävien laitteiden varastaminen tai katoaminen).

Käytössä olevien turvatoimien tasosta riippumatta tietoturvahäiriön riski on aina olemassa. Tämän riskin pienentämiseksi on ratkaisevan tärkeää käyttää erilaisia työkaluja ja strategioita, kuten raportointia, mahdollisten uhkien tunnistamiseksi ennen kuin ne voivat aiheuttaa vahinkoa.

Mikä on "merkittävä häiriö" NIS2:n mukaan?

Merkittävä häiriö...

  • aiheuttaa tai voi aiheuttaa vakavia häiriöitä palveluille tai taloudellisia tappioita asianomaiselle yhteisölle tai vaikuttaa tai voi vaikuttaa muihin henkilöihin
  • tai yhteisöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

NIS2-direktiivissä merkittävä häiriö määritellään yleensä tapahtumaksi, jolla on merkittävä vaikutus olennaisten palvelujen jatkuvuuteen. Tällaisia voivat olla esimerkiksi tapahtumat, jotka johtavat palvelujen keskeytymiseen, turvallisuustoimenpiteiden rikkomiseen tai arkaluonteisten tietojen vaarantumiseen. Esimerkiksi verkkohyökkäys, joka johtaa asiakastietojen menettämiseen, katsottaisiin merkittäväksi häiriöksi.

Toinen esimerkki merkittävästä häiriöstä voisi olla laitteistovika, joka johtaa keskeisten palvelujen pitkäaikaiseen keskeytymiseen. Tällainen voi olla esimerkiksi palvelimen kaatuminen, joka estää yritystä käsittelemästä liiketoimia, tai verkkovika, jonka vuoksi sairaala ei pääse käsiksi potilastietoihin. Molemmissa tapauksissa häiriöllä olisi huomattava vaikutus olennaisten palvelujen jatkuvuuteen.

NIS2:n mukaan organisaatioiden on myös raportoitava kaikista häiriötilanteista, joilla voi olla merkittävä vaikutus palvelujen jatkuvuuteen. Tällaisia voivat olla esimerkiksi läheltä piti -tilanne, jossa kyberhyökkäys onnistuttiin estämään, tai pieni laitteistovika, joka saatiin nopeasti korjattua, mutta joka olisi voinut johtaa vakavampaan käyttökatkokseen, jos siihen ei olisi puututtu nopeasti.

Lisäksi NIS2-direktiivissä otetaan huomioon myös niiden käyttäjien määrä, joihin häiriö vaikuttaa, kun määritetään sen merkittävyyttä. Esimerkiksi tietomurtoa, joka koskee pientä määrää käyttäjiä, ei ehkä pidetä merkittävänä, mutta vastaavaa tapausta, joka koskee suurta määrää käyttäjiä, pidettäisiin todennäköisesti merkittävänä.

NIS2:ssa otetaan huomioon myös vaaratilanteen mahdolliset taloudelliset ja yhteiskunnalliset vaikutukset. Esimerkiksi rahoituslaitokseen kohdistuvaa tietoverkkohyökkäystä, joka johtaa merkittävään varojen menetykseen, voidaan pitää merkittävänä häiriönä sen mahdollisen talousvaikutuksen vuoksi.

Miten "merkittävistä häiriöistä" on ilmoitettava?

Yhteisöjen on ilmoitettava merkittävistä häiriöistä tietoturvaloukkausten torjuntaryhmälle (Computer Security Incident Response Team (CSIRT)) tai toimivaltaiselle viranomaiselle tietyn ajan kuluessa:

NIS2-direktiivissä määritelty häiriöiden raportointivaatimusten aikataulu.

Häiriöistä on annettava ennakkovaroitus ensimmäisen päivän kuluessa häiriötilanteesta. Varoituksessa olisi täsmennettävä, vaikuttaako häiriö olevan seurausta laittomista tai vihamielisistä toimista ja voiko se mahdollisesti vaikuttaa useisiin alueisiin.

Varmista, että toimitat vaaratilanneilmoituksen kolmen päivän kuluessa häiriöstä. Ilmoitukseen on sisällyttävä päivitys ennakkovaroituksessa annetuista tiedoista sekä alustava arvio häiriön vakavuudesta ja mahdollisista seurauksista. Varmista myös, että ilmoitukseen sisällytetään kaikki tiedossa olevat vaarantumisen indikaattorit. Jatka tämän ajanjakson aikana pyydettäessä väliraporttien toimittamista tilapäivityksiä varten.

Loppuraportti on toimitettava viimeistään kuukauden kuluttua häiriöilmoituksen antamisesta. Siinä olisi annettava perusteellinen selvitys vaaratilanteesta, sen vaikutuksista ja vakavuudesta, mahdollisesta uhasta tai perimmäisestä syystä. Siinä olisi myös esitettävä yksityiskohtaisesti toimet, joihin on ryhdytty vaikutusten lieventämiseksi, ja tarvittaessa tapauksen mahdolliset kansainväliset vaikutukset.

Tilanteissa, joissa vaaratilanne jatkuu loppuraportin määräpäivänä, yksiköiden olisi toimitettava ajantasainen raportti ja sen jälkeen loppuraportti kuukauden kuluessa vaaratilanteen ratkaisemisesta.

ISO 27001:n parhaat käytännöt voivat auttaa häiriöiden hallinnassa

On tärkeää huomata, että NIS2-direktiivissä kannustetaan ottamaan käyttöön ISO 27001 -standardin kaltaisissa standardeissa esitettyjä parhaita käytäntöjä häiriötilanteiden hallinnassa. Tämä standardi tarjoaa puitteet tietoturvallisuuden hallintajärjestelmän perustamiselle, toteuttamiselle, toiminnalle, seurannalle, tarkistamiselle, ylläpidolle ja parantamiselle.

NIS2 edellyttää, että organisaatiot ilmoittavat merkittävistä vaaratilanteista, jotka vaikuttavat niiden digitaalisiin palveluihin. Se ei kuitenkaan tarjoa yksityiskohtaista menetelmää näiden vaaratilanteiden tunnistamiseksi, arvioimiseksi ja hallitsemiseksi.

ISO 27001 -standardi puolestaan tarjoaa erityiset valvontajärjestelmät häiriötilanteiden hallintaa ja raportointia varten. Näihin kuuluvat häiriötilanteisiin reagoimista koskevan suunnitelman laatiminen, vastuiden määrittely ja henkilöstön kouluttaminen. Nämä vaatimukset vastaavat läheisesti NIS2-direktiivissä korostettua häiriötilanteiden raportointia. Ottamalla käyttöön ISO 27001 -standardin organisaatiot voivat varmistaa, että ne täyttävät NIS2-vaatimukset, ja osoittaa sitoutumisensa tietoturvaan.

Organisaatiolla tulisi olla häiriöistä vastaava tiimi (5.25)

Vastuullisella tiimillä odotetaan olevan selkeä käsitys organisaation tietoturvatavoitteista ja -vaatimuksista. Heidän pitäisi pystyä tunnistamaan mahdolliset riskit ja haavoittuvuudet ja kehittämään strategioita näiden riskien vähentämiseksi. Tähän kuuluu turvatoimenpiteiden toteuttaminen, niiden tehokkuuden seuranta ja tarvittavien mukautusten tekeminen turvallisuuden parantamiseksi.

Lisäksi vastuullisen tiimin odotetaan myös kommunikoivan tehokkaasti organisaation muiden sidosryhmien kanssa. Tähän kuuluu tietoturvatietoisuuden lisääminen, koulutuksen ja ohjeistuksen antaminen työntekijöille sekä tietoturvan tilasta raportoiminen ylimmälle johdolle.

Lisäksi vastuullisella tiimillä olisi oltava valtuudet valvoa organisaation tietoturvapolitiikkojen ja -menettelyjen noudattamista. Tähän sisältyy korjaavien toimien toteuttaminen, kun tietoturvahäiriöitä tapahtuu, ja sen varmistaminen, että näistä tapauksista otetaan opiksi tulevien tapausten estämiseksi.
Ryhmän olisi myös osallistuttava organisaation tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen. Tähän kuuluu järjestelmän säännöllinen tarkistaminen ja päivittäminen sen varmistamiseksi, että se pysyy tehokkaana ja organisaation tavoitteiden ja kehittyvän uhkakuvan mukaisena.

Tietoturvahäiriöihin reagointiin valmistautuminen (5.26)

Tässä hallintakeinossa korostetaan häiriötilanteiden torjuntasuunnitelman laatimisen ja toteuttamisen tärkeyttä. Suunnitelmassa olisi määriteltävä yksityiskohtaisesti kaikkien osapuolten roolit ja vastuualueet, häiriötilanteessa noudatettavat menettelyt ja käytettävät viestintäprotokollat. Suunnitelmassa olisi myös esitettävä, miten vaaratilanteet tunnistetaan ja arvioidaan ja miten vastatoimet asetetaan tärkeysjärjestykseen häiriön vakavuuden perusteella.

Koulutus on toinen keskeinen osa "Tietoturvahäiriöihin reagointiin valmistautumisessa". Henkilöstön jäsenet olisi koulutettava häiriötilanteen torjuntasuunnitelmaan ja heidän erityistehtäviinsä siinä. Koulutusta olisi päivitettävä säännöllisesti, jotta se pysyy ajankohtaisena ja tehokkaana. Hallintakeinossa suositellaan myös säännöllisten testien ja harjoitusten tekemistä suunnitelman tehokkuuden arvioimiseksi ja parannuskohteiden tunnistamiseksi.

Dokumentointi on myös ratkaisevan tärkeää, kun valmistaudutaan häiriötilanteisiin reagoimiseen. Kaikki häiriötilanteet, reaktiot ja jatkotoimet olisi dokumentoitava ja tarkistettava. Tämä ei ole ainoastaan dokumentointi tulevaa käyttöä varten, vaan myös häiriön jälkeinen arviointi, jossa voidaan selvittää, mikä toimi hyvin ja mitä voitaisiin parantaa. Jatkuva oppiminen ja parantaminen on ISO 27001 -standardin keskeinen osa-alue.

Tietoturvahäiriöiden dokumentointi ja niistä oppiminen (5.27)

Häiriötilanteiden dokumentointiin kuuluu, että kirjataan kaikki olennaiset yksityiskohdat häiriöstä, kuten sen luonne, sen vaikutus organisaatioon, sen hallitsemiseksi toteutetut toimenpiteet ja siihen osallistuneet henkilöt. Tämä dokumentointi toimii historiatietona ja arvokkaiden tietojen lähteenä tulevaa käyttöä varten.

Häiriöstä oppiminen on seuraava vaihe niiden dokumentoinnin jälkeen. Tähän kuuluu häiriötilanteiden dokumentoinnin analysointi, jonka avulla voidaan tunnistaa mallit, perimmäiset syyt ja parannusalueet. Tavoitteena on saada tietoa, jonka avulla voidaan ehkäistä vastaavia häiriötilanteita tulevaisuudessa.

Lisäksi häiriötilanteista saatuja kokemuksia olisi hyvä hyödyntää organisaation riskinarvioinnin ja riskienkäsittelysuunnitelman päivittämiseen. Näin varmistetaan, että organisaation tietoturvallisuuden hallintajärjestelmä (ISMS) pysyy tehokkaana ja ajan tasalla.

ISO 27001 -standardin hallintakeino 5.27 edellyttää myös, että organisaatiot tiedottavat häiriötilanteiden tarkastelun tuloksista asianomaisille sidosryhmille. Tähän voivat kuulua työntekijät, johto ja jopa ulkoiset osapuolet, kuten asiakkaat ja sääntelyviranomaiset. Tavoitteena on edistää avoimuutta ja edistää tietoturvan jatkuvan parantamisen kulttuuria.

Organisaatiolla tulisi olla prosessi, jolla työntekijät ilmoittavat häiriöistä (6.8)

Keskeinen osa tätä hallintakeinoa on raportointimenettelyn laatiminen. Tämä tarkoittaa selkeän ja helposti seurattavan prosessin luomista, jota työntekijät voivat käyttää ilmoittaessaan häiriötilanteista. Tämä voi tarkoittaa erityisen raportointivälineen tai -järjestelmän käyttöä, tai se voi olla niinkin yksinkertainen kuin nimetty sähköpostiosoite tai -väline. Tärkeintä on, että prosessi on helposti kaikkien työntekijöiden saatavilla ja ymmärrettävissä.

Toinen keskeinen osa tätä valvontaa on sen varmistaminen, että kaikki työntekijät ovat tietoisia raportointiprosessista ja ymmärtävät vastuunsa. Tämä voidaan saavuttaa säännöllisellä koulutuksella ja tietoisuusohjelmilla tai yksinkertaisesti levittämällä ohjeita työntekijöille.

Kun häiriötilanteesta on ilmoitettu, se on arvioitava ja siihen on reagoitava viipymättä. Paras mahdollinen vaihtoehto tässä tapauksessa olisi, jos vastuuhenkilö saisi heti ilmoituksen esimerkiksi työkalun kautta, jonka kautta häiriöstä on ilmoitettu. Tämän jälkeen käsittelyyn kuuluu häiriötilanteen luokittelu sen vakavuuden ja mahdollisten vaikutusten perusteella, asianmukaisen vastatoimen määrittäminen ja vastatoimen toteuttaminen.

Häiriötilanne olisi myös dokumentoitava ja analysoitava, jotta voidaan tunnistaa mahdolliset mallit tai suuntaukset ja parantaa organisaation yleistä tietoturvatilannetta. Kannustaaksesi työntekijöitäsi ilmoittamaan vaaratilanteista jatkossakin, sinun tulisi antaa palautetta raportoidun häiriön lopputuloksesta työntekijälle, joka on ollut osallisena.

Lokikirjaukset ja valvontatoiminnot (8.15, 8.16)

ISO 27001 -standardin 8.15 kohdassa keskitytään järjestelmälliseen ja tekniseen tiedonkeruuseen. Tämän hallintakeinon tavoitteena on varmistaa, että organisaatiolla on kyky kerätä, säilyttää ja analysoida tietoa, jota voidaan käyttää todisteena tietoturvahäiriön sattuessa. Tähän kuuluvat esimerkiksi järjestelmälokit, käyttäjien toimintatiedot ja verkkoliikennetiedot. Hallintakeinossa korostetaan, että todisteiden keräämiseen tarvitaan tarkoin määritelty menettely, jonka tulisi olla oikeudellisten vaatimusten mukainen, jotta voidaan varmistaa todisteiden hyväksyttävyys tuomioistuimessa.

Lisäksi siinä korostetaan, että on tärkeää varmistaa, että tiedonkeruuprosessiin osallistuva henkilöstö on asianmukaisesti koulutettu. Näin varmistetaan, että he ymmärtävät kerättyjen tietojen eheyden säilyttämisen merkityksen ja ovat tietoisia oikeista menettelyistä näiden tietojen käsittelyssä ja tallentamisessa. Hallintakeinossa suositellaan myös automaattisten työkalujen käyttöä tiedonkeruussa aina kun se on mahdollista, jotta inhimillisten virheiden riski voidaan minimoida.

ISO 27001 -standardin hallintakeino 8.16 käsittelee tietoturvahäiriöiden tunnistamista, hallintaa ja analysointia. Tämän hallintakeinon tavoitteena on varmistaa, että organisaatiolla on vankka järjestelmä tietoturvahäiriöiden havaitsemiseksi ja niihin vastaamiseksi ajoissa ja tehokkaasti.

Lisäksi siinä korostetaan, että tarvitaan häiriötilanteiden hallintamenettely, joka sisältää selkeät ohjeet häiriötilanteiden raportointia, arviointia ja niihin reagoimista varten. Menettelystä olisi tiedotettava kaikille työntekijöille ja asianomaisille sidosryhmille. Hallintakeinossa suositellaan myös automaattisten hälytysjärjestelmien käyttöä, jotta tietoturvahäiriöt voidaan havaita varhaisessa vaiheessa. Nämä järjestelmät olisi konfiguroitava siten, että ne tuottavat hälytyksiä ennalta määriteltyjen kriteerien perusteella, kuten epätavallisesta käyttäjän toiminnasta tai yrityksistä päästä rajoitettuihin verkkoalueisiin.

Sekä hallintakeino 8.15 että 8.16 korostavat ennakoivan lähestymistavan merkitystä tietoturvassa. Keräämällä järjestelmällisesti tietoja ja ottamalla käyttöön tehokkaita hälytysjärjestelmiä organisaatiot voivat havaita tietoturvahäiriöt ja reagoida niihin ennen kuin ne laajenevat ja minimoida mahdolliset vahingot ja häiriöt.

Yhteenveto

Yhteenvetona voidaan todeta, että NIS2:n vaaratilanteiden raportointivaatimuksia voidaan tehokkaasti tulkita ja panna täytäntöön ISO 27001:n parhaiden käytäntöjen avulla. Tällä lähestymistavalla varmistetaan NIS2-vaatimusten noudattaminen ja edistetään lisäksi vankkaa ja joustavaa kyberturvallisuuskehystä organisaatiossa.

ISO 27001 tarjoaa kattavine ja yksityiskohtaisine ohjeineen selkeän etenemissuunnitelman häiriöiden raportointia varten, ja se kattaa muun muassa häiriöiden tunnistamisen, niihin reagoimisen, hallinnan ja toipumisen. Ottamalla käyttöön nämä käytännöt organisaatiot voivat täyttää NIS2-vaatimukset ja parantaa samalla yleistä kyberturvallisuuttaan.

ISO 27001 on maailmanlaajuisesti tunnustettu standardi, ja sertifioinnin saavuttaminen voi antaa sidosryhmille varmuuden siitä, että organisaatio suhtautuu tietoturvaan vakavasti. Tämä voi olla erityisen tärkeää NIS2:n yhteydessä, jossa tietoturvahäiriöistä tai riittämättömistä turvatoimista ilmoittamatta jättäminen voi johtaa huomattaviin rangaistuksiin.

Lopuksi on tärkeää muistaa, että vaikka ISO 27001 tarjoaa vankan perustan häiriöiden hallinnalle ja raportoinnille, sitä olisi täydennettävä muilla parhailla käytännöillä, jotka on räätälöity organisaation erityistarpeiden ja -olosuhteiden mukaan. Pohjimmiltaan NIS2:n vaaratilanteiden raportointivaatimusten onnistunut täytäntöönpano on tasapainoilu standardien noudattamisen ja organisaation yksilöllisiin tarpeisiin mukauttamisen välillä.

Sisältö

Jaa artikkeli