Minimize the risk posed by the software that accompanies documents

Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

• verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• verkkosivustot tarkistetaan haittaohjelmien varalta

Organisaation on määriteltävä, mitä vaatimuksia haittaohjelmilta suojautumiselle asetetaan. Seuraavat seikat tulisi ottaa huomioon:

• Riskiarviointi
• Oikeudellisiin ja vaatimuksiin liittyvät vaatimukset
• liiketoiminnalliset ja toiminnalliset tarpeet
• teknologiaympäristö
• budjetti ja resurssit

Organisaation on määriteltävä ja toteutettava toimenpiteitä haittaohjelmilta suojautumiseksi määriteltyjen vaatimusten perusteella.

Vahvistaaksemme haittaohjelmilta suojautumiselta organisaatiomme on määritellyt lisätoimenpiteet korkeamman suojaustason tiedoille:

• Arvioidaan tarve järjestelmien USB-porttien ja vastaavien liityntöjen käytölle.
• Tilanteissa, joissa liityntöjen käytölle ei ole kriittistä tarkastelua kestävää perustetta, liitynnät poistetaan käytöstä.
• Tilanteissa, joissa liityntöjen käytölle on kriittistä tarkastelua kestävät perusteet, arvioidaan tapauskohtaisesti edellytykset ja ehdot, minkä mukaisia laitteistoja ja välineitä (esim. USB-muisteja) järjestelmään voidaan kytkeä.

Organisaatio on määritelly toimintatavat, joiden avulla kerätään säännöllisesti ajantasaista ja luotettavaa tietoa haittaohjelmista. Tällaisia voivat olla mm. postituslistat, lehdet, torjuntaohjelmistojen toimittajien blogit tai tietoturvaa käsittelevät uutissivustot.

Tietolähteiden avulla pyritään todentamaan haittaohjelmia koskeva tieto, erottamaan huijaukset todellisista haittaohjelmista ja varmistetaan saatujen varoituksien olevan todenmukaisia ja informatiivisia.

Kriittisiä liiketoimintaprosesseja tukevien järjestelmien ohjelmistot ja aineistosisältö katselmoidaan säännöllisesti haittaohjelmien paikallistamiseksi. Kaikki luvattomat tiedostot ja muutokset tutkitaan muodollisesti.

Organisaation on tunnistettava verkkosivustojen tyypit, joihin henkilöstöllä tulisi ja toisaalta ei tulisi olla pääsyä.

Organisaation on harkittava seuraavien sivustotyyppien käytön estämistä (joko automaattisesti tai muilla tavoin):

• tiedostojen lataustoiminnon sisältävät verkkosivustot, ellei tätä ole tiettyä liiketoimintatarvetta varten sallittu
• tunnetut tai epäillyt haitalliset verkkosivustot (esim. haittaohjelmia jakavat tai tietojenkalastelusisältöä sisältävät)
• komento- ja ohjauspalvelimet
• laitonta sisältöä jakavat verkkosivustot

Only software approved by the organization can be run on the devices. The organization should:

• Actively approve software before it is deployed
• Maintain a list of approved software
• Prevent users from installing unapproved software
• Create a list of separately allowed extensions

Haittaohjelmasuojauksen täytyy estää pääsy haitallisille nettisivuille esimerkiksi "deny listing"-tekniikalla. Tästä saa poiketa vain, jos siihen on selkeä, tarkasti dokumentoitu ja painava syy organisaation toiminnan kannalta. Tässä tilanteessa on ymmärrettävä ja huomioitava mahdolliset riskit.

Haittaohjelmasuojauksen on skannattava nettisivut automaattisesti haittaohjelmien varalta, kun sinne siirrytään selaimessa.

Antivirus-ohjelma täytyy olla asetettu skannaamaan tiedostot automaattisesti. Tämän tulee tapahtua, kun tiedosto ladataan ja avataan ja, kun tiedosto avataan verkkolevyltä.

Organisaation on huolehdittava, että kaikissa sen tietokoneissa, tietoverkko- ja vastaavissa laitteissa, automaattinen ajaminen on estetty käytöstä.

Automaattinen ajaminen voi aiheuttaa vakavan kyberhyökkäyksen, kuten kiristyshaittaohjelman, pääsyn organisaation järjestelmään netistä ladatun tiedoston tai vaarantuneen oheislaitteen (esim. muistitikku) kautta.

Haittaohjelmasuojauksen päivittämiseen on olemassa prosessi myös järjestelmille, joita ei ole kytketty kytketä julkiseen verkkoon. Haittaohjelmatunnisteiden päivitys voidaan järjestää esimerkiksi käyttämällä hallittua suojattua päivitystenhakupalvelinta, jonka tunnistekanta pidetään ajan tasalla esimerkiksi erillisestä internetiin kytketystä järjestelmästä tunnisteet käsin siirtämällä (esim. 1-3 kertaa viikossa), tai tuomalla tunnisteet hyväksytyn yhdyskäytäväratkaisun kautta. Tunnisteiden päivitystiheyden riittävyyden arviointi tulee suhteuttaa riskienarvioinnissa kyseisen ympäristön ominaispiirteisiin, erityisesti huomioiden ympäristön muun tiedonsiirron tiheyden.

Myös päivitysten eheydestä varmistumiseen tulisi olla ennalta suunniteltu menettelytapa (lähde, tarkistussummat, allekirjoitukset, jne.).

Organisaatio on tunnistanut tietojärjestelmät, joissa haittaohjelman torjuntaohjelmistoilla pystytään saamaan lisäsuojausta.

Tietojenkäsittely-ympäristön turvallisuus testataan. Testaamisessa huomioidaan asianmukainen turvaamistaso ja toteutuksen, integroinning ja konfiguroinnin taso. Turvallisuudesta on huolehdittava ympäristön koko elinkaaren ajan.

Tässä olisi huomioitava ainakin:

• Ohjelmistojen (sovellukset, palvelut, järjestelmät) käyttötarkoitukset ja ohjelmistojen turvallisuutta mahdollisesti toteuttavat roolit on tunnistettu.
• Ohjelmistojen (sovellukset, palvelut, järjestelmät) turvallisuustarpeet on arvioitu, huomioiden erityisesti ohjelmiston käyttötarkoituksen ja sen turvallisuutta mahdollisesti toteuttavan roolin, hyökkäyspinta-alan, sekä käsiteltävien tietojen luonteen ja turvallisuusluokan.
• Ohjelmistojen (sovellukset, palvelut, järjestelmät) riippuvuudet ja rajapinnat on tunnistettu. Riippuvuuksiin ja rajapintoihin on kohdistettu ohjelmistoa vastaavat vaatimukset, huomioiden esimerkiksi käytetyt kirjastot, rajapinnat (API:t) ja laitteistosidonnaisuudet. Vaatimuksissa on huomioitu sekä palvelin- että asiakaspuolen osuudet.
• Kriittiset ohjelmistot (sovellukset, palvelut, järjestelmät) toteutetaan tai toteutus tarkastetaan mahdollisuuksien mukaan luotettavaa standardia vasten tai/ja turvallisen ohjelmoinnin ohjetta hyödyntäen.
• On varmistettu, että ohjelmistojen (sovellukset, palvelut, järjestelmät) ohjelmakoodin laadun ylläpito, kehitys ja muutoshallinta vastaavat tarpeita koko elinkaaren ajan.
• On varmistettu, että ohjelmistot (sovellukset, palvelut, järjestelmät) täyttävät lainsäädännöstä johdetut vaatimukset.

Organisaatiossamme on määritelty käytännöt ja toimenpiteet, joilla havaitaan ja estetään luvattoman laitteiston käyttö organisaation verkossa ja infrastruktuurissa.

The software that accompanies some documents (e.g. macros) also provides a large attack surface. To reduce this attack surface, one should remove unwanted software from external documents and emails before they reach the users, e.g. in the firewall, deactivate the option to run such software for users who do not need it, and explicitly allowlist software in documents that the users actually need, e.g. by using digital signatures.

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö.

Käytämme aina useamman toimittajan haittaohjelmajärjestelmää, jotta todennäköisyys havaita haittaohjelmia paranee.

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö mobiililaitteissa (esim. älypuhelimet, tabletit).