Tietoturva-asiantuntija Ville Stolpe, tietoturvapoikkeamien hallintamalli

Älä anna tietoturvapoikkeaman yllättää

Tietoturvapoikkeamien hallinta on jäänyt valitettavan monilla organisaatioilla ns. mustaksi aukoksi. Tällaisissa tapauksissa tietoturvapoikkeamien hallintaprosessi ei ole organisaatiolle tuttu tai prosessin hyötyjä ei vielä ymmärretä. Usein tietoturvaan liittyviä hallintaprosesseja ja -ohjeistuksia kehitetään vasta silloin, kun jotain on ehtinyt jo sattua.

Poikkeamien havainnointi on oleellinen osa tietoturvaa

Keväällä kohistu tietosuojalainsäädäntö tuo rekisterinpitäjälle myös vastuita tietoturvapoikkeamien havainnointiin. Henkilötietoihin liittyvää loukkausta ei voida havaita ajoissa, jos poikkeamia ei organisaatiossa systemaattisesti pyritä havaitsemaan ja käsittelemään.

Tietosuojalainsäädäntö velvoittaa tekemään ilmoituksen 72 h sisällä tietosuojaloukkauksesta, mutta tästä ei välttämättä hyödy rekisteröity eikä rekisteripitäjä. Hidas tai puutteellinen reagointi tietoturvapoikkeamaan saattaa pahimmassa tapauksessa aiheuttaa sen, että rekisteröidyn koko sairaushistoria on jo julkisesti saatavilla ja rekisterinpitäjän mainehaittoja on lähes mahdoton korjata. Poikkeamat täytyy pyrkiä havaitsemaan ja käsittelemään ajoissa, jotta vahingot voidaan minimoida.

Tietosuojan muita velvoitteita on, että henkilöstön tulee olla tietoinen siitä, minkälaisia poikkeamatilanteita heidän tulee pystyä havaitsemaan työtehtävissään ja kuinka niistä raportoidaan organisaatiossa. Organisaatiossa täytyy myös pystyä selvittämään havaitun poikkeaman syyt ja seuraukset sekä niiden vaikutukset yksityisyydensuojaan. Poikkeamien leviäminen tulee myös estää oikeanlaisilla hallintatoimenpiteillä.

Huoltovarmuuskriittisillä toimijoilla tietoturvapoikkeamien riskit liittyvät esimerkiksi vedenjakeluun tai energiatuotantoon ja heille lainsäädäntöä on tänä vuonna tiukennettu NIS-direktiivin myötä. NIS-direktiivistä voit lukea lisää täältä: NIS-direktiivi velvoittaa tiettyjä toimialoja raportoimaan tietoturvaloukkauksista valvontaviranomaisille.

Opsec Oy:n tietoturvapoikkeamien hallintamalli

Organisaatiot tarvitsevat heille soveltuvan tietoturvapoikkeamien hallintamallin, joka huomioi organisaation toimialan, resurssit ja muun toimintaympäristön. Kaikilla organisaatioilla ei esimerkiksi ole resursseja SIEM-järjestelmään (Security Information and Event Management -järjestelmä).

Opsec Oy:n tuottama hallintamalli on aina asiakaskohtainen, jossa on määritelty selkeät roolit ja vastuut. Hallintamalli on läpileikkaus tietoturvapoikkeamien havaitsemisesta aina toiminnan palauttamiseen asti. Hallintamalli on luotu siten, että kaikki poikkeamat pyritään tunnistamaan ja tietoturvapoikkeamista voidaan ilmoittaa asianmukaisesti.

Ota yhteyttä Opsec Oy:n asiantuntijoihin ja laita tietoturvapoikkeamien hallintaprosessit kuntoon. Tämä nimittäin kannattaa tehdä ennen kuin rapa osuu tuulettimeen.

Ville Stolpe
IT-joukkueen pelaaja #8
tietoturva-asiantuntija