Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.
Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.
Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.
Häiriönä ilmoitettavia asioita ovat mm.:
Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).
Organisaatio ilmoittaa ilman viivästystä lainsäädännössä määritellylle viranomaiselle (CSIRT) merkittävästi palveluidensa tarjontaan vaikuttaneista häiriöistä.
Häiriö on merkittävä, kun vähintään toinen seuraavista toteutuu:
Ilmoitukset on tehtävä vaiheittain allaolevien kuvausten mukaisesti. Lisäksi häiriön ollessa käynnissä organisaation on toimitettava viranomaisen pyytämät statuspäivitykset.
Aikainen varoitus (viimeistään 24h kuluessa häiriön havaitsemisesta)
Tarkempi häiriöilmoitus (viimeistään 72h kuluessa häiriön havaitsemisesta)
Lopullinen raportti (viimeistään 1kk kuluessa häiriöilmoituksesta)
Viranomaisen on viipymättä tiedotettava niille, jotka hyödyntävät sen tietoaineistoja, jos viranoman tietojenhallintaan kohdistuu häiriö, joka estää tai uhkaa estää tietoaineistojen saatavuuden. Tiedotuksessa on annettava seuraavat tiedot:
a) Häiriön tai sen uhan arvioitu kesto.
b) Mahdolliset korvaavat tavat hyödyntää viranomaisen tietoaineistoja, jos sellaisia on.
c) Häiriön tai uhan päättyessä.
Viranomaisen on noudatettava digitaalisten palvelujen ja muiden sähköisten tiedonsiirtomenetelmien käyttökatkoista tiedottamisesta yleisölle annettuja ohjeita, kuten ne on säädetty digitaalisten palvelujen tarjoamisesta annetun lain (306/2019) 4 §:n 2 momentissa.
Merkittävien häiriliden sattuessa organisaation on ilmoitettava niistä kansallisessa DORA:n asetuksessa määritellyille viranomaisille. Merkittävien häiriöiden ilmoituksen tulee sisältää:
Jos tapahtumalla on vaikutusta asiakkaiden taloudellisiin etuihin, heille on ilmoitettava mahdollisimman pian tarvittavilla toimenpiteillä tilanteen lieventämiseksi. Kyberuhkien sattuessa asiakkaille tulee ilmoittaa, jos he saattavat vaikuttaa heihin suojatoimenpiteistä, joita heidän tulisi harkita.
Asianomaiset toimivaltaiset viranomaiset määritellään DORA:n 46 artiklassa
Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.
Ensimmäisen tason reagointiprosessissa vähintään:
Organisaation on luotava toimintatavat, joiden avulla tunnistetaan, kerätään ja säilytetään tietoturvahäiriöihin liittyvä relevantti todistetieto. Todisteiden voi olla tarpeen olla kerätty tavalla, joka voidaan hyväksyä relevanteissa tuomioistuimissa tai muissa vastaavissa kurinpitoelimissä.
Todistemateriaaliin liittyen pitäisi pystyä osoittamaan mm.:
Liittyvän henkilökunnan sekä työkalujen sertifiointia tai muita pätevyystodisteita voidaan lisäksi harkita sovellettavan todisteiden arvon vahvistamiseksi.
Organisaation tulisi säännöllisesti, vähintään kerran vuodessa, harjoitella siihen kohdistuvia mahdollisia häiriö- tai hyökkäystilanteita.
Harjoitus voi kohdistua joko häiriön havaitsemisen, reagoinnin tai johtamisen kehittämiseen tai kaikkiin näistä.
Harjoitusten toteuttamisesta ja havainnoista tulee ylläpitää dokumentaatiota.
Organisaatiolla tulee olla olemassa menettely sen toimintaan kohdistuvien häiriöiden, hyökkäysten ja loukkausten ilmoittamiseksi viranomaisille. Esimerkiksi:
Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:
Havaitsemisprosesseja ja menettelyjä ylläpidetään ja testataan, jotta varmistetaan tietoisuus poikkeavista tapahtumista. Havaitsemistoimien täytyy sopia kaikkiin asiaan liittyviin vaatimuksiin.
Organisaation täytyy määritellä raja, jolloin tietoturvatapahtumasta tulee tietoturvahäiriö.
Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.
Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.
Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:
Pilvipalveluita tarjoaessaan organisaatiolla tulee olla suunnitellut prosessit tai menettelyt:
Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.
Mahdollisia mittareita ovat mm.:
Organisaation tulisi määritellä jokaisen tunnistetun kriittisen toiminnon suhteen, kuinka pitkä toimintakatkos siedetään ilman, että organisaation toiminta häiriintyy.
Määrittelyssä on otettava huomioon:
Kun organisaation palveluiden käyttäjät ovat mahdollisesti alttiina merkittävälle tietoturvauhkalle, organisaation on viestittävä tästä heille sisältäen kaikki mahdolliset korjaustoimenpiteet, joita käyttäjät voivat itse toteuttaa suojautuakseen uhkaa vastaan.
Kun viestinnän selkeyden kannalta on tarpeen, organisaation on sisällytettävä viestintäänsä myös yleisempää tietoa liittyvästä tietoturvauhkasta.
Mikäli organisaation tarjoaman palvelun näkökulmasta on tarkoituksenmukaista, organisaatio ilmoittaa ilman viivästystä palveluidensa käyttäjille merkittävistä häiriöistä, jotka todennäköisesti vaikuttavat negatiivisesti kyseisten palveluiden toimittamiseen.
Häiriö on merkittävä, kun vähintään toinen seuraavista toteutuu:
Organisaatiolla tulee olla prosessi tapahtuneen tai epäillyn kansainvälisen turvallisuusluokitellun tiedon vaarantaneen tietoturvapoikkeaman ilmoittamisesta toimivaltaiselle turvallisuusviranomaiselle.
Organisaatiolla tulee olla myös ohjeistus ja menettelytavat turvallisuusluokitellun tiedon vaarantaneiden tietoturvapoikkeamien havaitsemiseen ja tiedottamiseen organisaation sisällä ja kenelle kaikille tietoturvapoikkeamasta tai sen epäilystä tulee ilmoittaa. Lisäksi täytyy olla selvillä millaiset tietoturvapoikkeamasta vaativat yhteydenottoa viranomaisiin.
Turvallisuusluokiteltujen tietojen katsotaan vaarantuneen, kun ne ovat tietoturvatapahtuman seurauksena paljastuneet tai voineet paljastua sivullisille henkilöille. Useat tiedon omistajat (esimerkiksi EU) sekä myös voimassa olevat viranomaishyväksynnät edellyttävät välitöntä ilmoitusta turvallisuusluokitellun tiedon vaarantaneista poikkeamista tai niiden epäilyistä.
Häiriöiden hallinnassa on huomioitava myös:
Organisaatiolla tulee olla varmuus siitä, että käsiteltävä tieto tai järjestelmä on suojattu hätä- tai häiriötilanteissa fyysisiltä vahingoilta kuten tulipalot, vesivahingot tai ilkivalta tai luvaton tunkeutuminen sekä sähköisiä menetelmiä käyttäen aiheutetuilta fyysisiltä vahingoilta kuten laitteiden rikkoutuminen. Tietoa tai järjestelmää tulee suojata asianmukaisin, mutta riskiarvioinnin perusteella tarkoituksenmukaisin toimin.
Organisaation tulee osoittaa riittävästi resursseja käyttäjien toiminnan, ICT-ympäristön poikkeavuuksien ja kyberhyökkäysten seurantaan.
Valvomalla organisaation tulee tunnistaa perustoiminnan poikkeamat ja häiriöt.
Organisaatioiden tulee suorittaa häiriöiden luokittelu ja vaikutustenarviointi seuraavien kriteerien perusteella:
Organisaatiolla olisi oltava menettely tietoturvahäriöiden luokittelemiseksi käsittelyn aikana. Häiriö olisi luokiteltava vähintään seuraaviin luokkiin:
Tämän jälkeen vaaratilanne olisi luokiteltava sen vaikutusten perusteella esimerkiksi seuraavasti:
Tämän jälkeen vaaratilanteet olisi asetettava tärkeysjärjestykseen vaaratilanteen vakavuuden perusteella.
Organisaatiolla tulee olla selkeät viestintäkanavat tapahtumien raportointia varten:
Organisaation olisi myös harkittava mahdollisuutta ulkoiseen raportointiin. Tämä voi tarkoittaa, että organisaatiolla on järjestelmä, jolla voidaan käsitellä ulkoisten osapuolten raportteja turvallisuustapahtumista, mukaan lukien:
Organisaation olisi myös varmistettava, että häiriötilanteiden raportointimekanismit ja -tiedot ovat helposti kaikkien asianomaisten raportoijien saatavilla, ja otettava käyttöön palautemenettely, jolla turvatapahtumista raportoiville annetaan nopeita vastauksia ja päivityksiä ja jolla varmistetaan, että heille tiedotetaan tuloksista ja tarvittavista jatkotoimista.
Organisaation on laadittava selkeä ja kattava määritelmä siitä, mikä on raportoitava turvallisuustapahtuma tai havainto, ja varmistettava, että se kattaa seuraavat luokat:
Organisaatiolla on oltava määritelty menettely häiriötilanteiden raportointia varten, ja siitä on tiedotettava henkilöstölle:
Jos yhteys katkeaa tai verkkojärjestelmissä ilmenee vika, kuten:
Organisaation tulee varmistaa, että sen kriittiset järjestelmät vikaantuvat turvallisesti, jotta lisävahingoilta voidaan välttyä tai pitää ne mahdollisimman pieninä.
Organisaatiolla on määritellyt menettelyt, joiden avulla se viestii relevanteille viranomaisille ja osapuolille tapahtuman sattuessa. Näitä osapuolia ovat esimerkiksi alakohtaiset tietokonehätätilanteiden torjuntaryhmät ja NSM NCSC.
The organization should have a defined and well-documented recovery plan. The recovery plan should be able to be initiated during or after an incident. Recovery actions and measures will vary from incident to incident, for example, the type of incident can affect the actions taken. These actions could include:
The organization should adopt a 'build back better' mindset when rebuilding ICT systems. This means that systems should be rebuilt to a better state than they were before the incident.
The organization should establish clear processes for building a timeline whenever an incident occurs. This timeline should include both the organization's actions and the threat actor's activities. The timeline should encompass:
This aids the organization in understanding the full scope of the incident and improving responses in future events.
The organization should have a clear process for enriching incident information to ensure an effective response. This process should include continuously updating event data, monitoring situational awareness, and collecting information from multiple sources. Enriching incident information should help the organization manage incidents more effectively.
Identify the extent and impact of the incident on business processes to understand how operations may be disrupted. This assessment should include a thorough evaluation of the effects on underlying ICT functions. Also, it should be examined how the incident impacts ICT services, including cloud-based applications and internal systems, as well as the various ICT systems that support business activities.
Organisaation tulisi laatia ja ylläpitää poikkeamanhallintasuunnitelmia. Hallintasuunnitelmien tulisi sisältää ainakin seuraavat seikat
Organization should include suppliers and other relevant third parties in its incident management process and planning with means such as:
Organization enforces documentation policies for each incident investigation and response process:
In case of an incident the organization implements recovery measures defined in its incident recovery plan. The measures are implemented and communicated to the public to:
The organization should explain the steps being taken to recover from the incident and to prevent a recurrence.
Organization defines criteria for initiating incident recovery measures on incidents. The occurred incident is evaluated against these criteria, and determined whether the incident recovery process shall be initiated, by at least these measures:
Document the decision-making process for initiating recovery actions and ensure that it is communicated to relevant stakeholders for transparency and alignment.
Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.
Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.
Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.
Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:
Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.
Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.
Henkilöstöllä on käytössä whistle blowing -järjestelmä, jonka kautta voi nimettömästi raportoida tietoturvasääntöjen tai -menettelyjen loukkauksista.
Häiriön jälkeen haitalliselle koodille, tai muille häiriön jäänteille on suoritettava rikostekninen tutkinta. Turvallisesti tehty tutkinta suljetussa ympäristössä voi aukaista häiriön syitä, tavoitteita ja toteutustapoja. Tämä auttaa organisaatiota korjaamaan mahdolliset aukot turvallisuudessa, varautumaan samankaltaisiin häiriöihin ja tunnistamaan tai profiloimaan mahdollisen hyökkääjän.
Organisaation on määriteltävä toimintatavat, joiden avulla havaitut tietoturvatapahtumat pystytään selkeästi lajittelemaan. Lajittelun avulla on pystyttäjä priorisoimaan tapahtumat vakavuuden ja mahdollisen vaikutuksen mukaan.
Lajittelun perusteella on tarkoitus tehostaa tietoturvatapahtumien tutkimista ja arviointia, jotta esimerkiksi häiriöön vastaaminen saadaan tarvittaessa käyntiin nopeasti.
Toimintatavat voivat koostua yleisistä prosesseista, teknisistä työkaluista tai koneoppimista hyödyntävistä algoritmeistä. Toimintatapoja on tarkasteltava säännöllisesti, jotta vahvistetaan niiden toimivuus ja sopivuus käyttötarpeisiin.
Organisaation tulisi ottaa huomioon ympäristöuhat, jotka voivat vaikuttaa järjestelmien käytettävyyteen, osana riskienarviointiprosessia ja myös osana tietoturvahäiriöiden prosessia.
Ympäristöuhkiin kuuluu esimerkiksi:
Organisaatiolla voi olla prosessi, jonka avulla se voi vapaaehtoisesti ilmoittaa tietyt tietoturvaloukkaukset, tietoverkkouhat tai läheltä piti -tilanteet valvontaviranomaiselle.
Vapaaehtoisilla ilmoituksilla tarkoitetaan muita kuin merkittäviä vaaratilanteita koskevia ilmoituksia, jotka ovat NIS2-direktiivin mukaan pakollisia.