[Yliopiston pääsivustolle]

Tietoturvapoikkeamatilanteiden hallinta

 

 

 

 

 

 

Poikkeaman havaitsemisesta normaalitoimintaan.

Vahti 3/2005 (PDF)

Esimerkkejä tietojärjestelmien toipumissuunnitelmista

 

 

1. Poikkeaman havaitseminen

 

Mahdollista tietoturvapoikkeamaa voidaan epäillä indikaatioiden ja ennusmerkkien perusteella.
Indikaatiot ilmaisevat tietoturvapoikkeaman tapahtuneen tai olevan tapahtumassa parasta aikaa.

 

Esimerkkejä indikaatioista:

  • verkkotason hyökkäyksenhavaitsemisjärjestelmä (NIDS) hälyttää postipalvelimeen kohdistuvasta
    puskuriylivuotohyökkäyksestä
  • sähköpostijärjestelmän ylläpitäjä havaitsee huomattavan määrän käyttäjille palautuvia viestejä
  • virustorjuntaohjelmisto hälyttää tietojärjestelmästä löytyneestä haittaohjelmakoodista
  • internet-palveluntarjoaja, CERT-toimija tai kolmas osapuoli ilmoittaa epäilyttävistä liikennehavainnoista koskien organisaation omaa osoiteavaruutta
  • www-palvelin kaatuu
  • käyttäjät valittavat internet-yhteyden huomattavasta hitaudesta
  • verkkoylläpitäjä havaitsee epätavallisen poikkeaman verkon liikenneprofiilissa
  • järjestelmäylläpitäjä havaitsee tiedostonimen, joka sisältää outoja merkkejä
  • käyttäjä soittaa helpdeskiin raportoidakseen uhkaavasta sähköpostiviestistä
  • eheydenvalvontaohjelmisto ilmoittaa konfiguraatiomuutoksesta huoltoikkunan ulkopuolella
  • sovellus ilmoittaa useista epäonnistuneista kirjautumisyrityksistä tuntemattomasta organisaation ulkopuolisesta järjestelmästä
  • organisaation kirjanpidon luvut poikkeavat odotetusta
  • helpdeskiin tulee outoja puheluita
  • IRC- ja keskustelukanavilla näkyy organisaation tietojärjestelmiin liittyviä tietoja tai kommentteja
  • konesalin olosuhdehälytin hälyttää

Joissain tilanteissa voidaan havaita tietoturvapoikkeamatilanteen ennusmerkkejä.

Esimerkkejä ennusmerkeistä:

  • lokitiedostossa on merkintöjä, jotka viittaavat www-haavoittuvuusskannerin käyttöön palvelinta kohtaan
  • ilmoitus uudesta hyödyntämismenetelmästä postipalvelimen haavoittuvuudelle
  • levypalvelimesta kuuluu ääntä, joka viittaa fyysiseen vikaan levyjärjestelmässä
  • organisaatio on normaalia runsaammin hakkereiden mielenkiintoa herättävällä tavalla esillä mediassa
  • hakkerointia harjoittavan aktivistiorganisaation uhkaus organisaatiota kohtaan

Merkkejä tietoturvapoikkeamatilanteista voidaan saada esimerkiksi seuraavista lähteistä:

  • tietoturvaohjelmistojen hälytykset
    • verkko- ja tietojärjestelmäkohtaiset hyökkäyksen havaitsemisjärjestelmät (NIDS, HIDS)
    • antivirus-ohjelmistot
    • tiedostojen eheyden tarkistusohjelmistot
    • palveluiden käytettävyyden mittausohjelmistot
  • lokitiedostot
    • käyttöjärjestelmän, palveluiden ja sovellusten lokitiedostot
    • verkkoelementtien (esimerkiksi reitittimet, kytkimet, kuormanjakolaitteet) lokitiedostot
    • honeypot-järjestelmien lokit
  • julkiset tietolähteet (CERT-FI, Secunia...)
    • haavoittuvuusinformaatio
    • tiedot muihin organisaatioihin kohdistuvista / muista organisaatioista lähtevistä hyökkäyksistä
  • erilaiset keskusteluryhmät/kanavat
    • IRC-kanavat
    • NEWS-ryhmät
    • postituslistat
  • olosuhdehälytykset
    • lämpötila, kosteus, liiketunnistin, palo
  • käyttäjät
    • yhteydenotot asiakaspalveluun/ylläpitoon tietojärjestelmien tai muiden käyttäjien poikkeavan toiminnan johdosta.

Ennusmerkit voivat aiheuttaa tarpeen organisaation operatiivisen valmiustason nostamiseen.

  • Esimerkiksi verkon aktiivilaitteiden seurantaa tehostetaan,
  • ohjelmistojen päivitystasot tarkistetaan sekä
  • varallaolo- ja päivystysrutiineja tehostetaan.

 

[Sivun alkuun]

 

2. Tapahtumapäiväkirjan pito

 

Tapahtumapäiväkirjaa aletaan pitää poikkeaman havaitsemisesta lähtien.

 

Päiväkirjasta on hyvä käydä ilmi ainakin seuraavat asiat:

  • tietoturvapoikkeamatilanteen nykystatus
  • tiivistelmä tilanteesta
  • henkilöiden toimenpiteet (mitä on tehty, kuka on tehnyt, toimenpiteen vaikutus...) ja havainnot
  • toimenpidepäätökset
  • tilanteeseen osallisten tahojen yhteystiedot (esimerkiksi järjestelmien omistajat, järjestelmäylläpitäjät)
  • lista kerätystä todisteaineistosta
  • tilannetta hoitaneiden henkilöiden kommentit
  • seuraavat toimenpiteet tilanteen johdosta.

Katso tarkemmin Liite 1 Poikkeaman dokumentaatioon kirjattavia asioita.


Jokainen kirjoittaa itse omat muistiinpanonsa (mitä teki ja milloin jne.), koska siten tapahtumat on tarvittaessa helpompi palauttaa mieleen. Reagointiryhmän johtaja vastaa tietoturvapoikkeaman selvitystyön dokumentoinnista kokonaisuutena.

 

Liite 2 - Esimerkki poikkeaman dokumentoinnista.

 

[Sivun alkuun]

 

3. Tapahtuma-analyysi

 

Poikkeaman rajoittamisen ja onnistuneiden ensitoimenpiteiden tähden on tärkeää, että poikkeaman analysointi aloitetaan mahdollisimman nopeasti ja siten saadaan selvyys,

  • mitä todella on tapahtunut ja
  • mitkä seikat ovat vain oireita.

Syiden ja oireiden erottaminen on tärkeimpiä selvityksen kohteita, koska korjausten on kohdistuttava ensin syihin. Alkuvaiheessa päätökset joudutaan usein tekemään puutteellisten tietojen nojalla, mikä on tiedostettava ennen korjaustoimiin ryhtymistä.

 

Tapahtuma-analyysissä arvioidaan poikkeaman tyyppi, laajuus ja vakavuus.

 

 

Taulukko 1. Tietoturvapoikkeamatyyppejä

 

 

Taulukko 2. Tietoturvapoikkeamien vakavuusasteet

 

Reagointi riippuu poikkeaman vakavuusluokasta ja siitä, mitä toipumissuunnitelmassa on määritelty (Vahti 3/2005 luku 2.3 Toipumiseen varautuminen).


Tässä vaiheessa myös arvioidaan alustavasti, millä edellytyksillä toimintaa voidaan jatkaa. Huomioon otettavia seikkoja ovat esimerkiksi:

  • tiedon korruptoitumisen aste ja
  • varmuuskopioiden tilanne.

Lievistä tietoturvapoikkeamista riittää ilmoitus tietoturvavastaavalle. Järjestelmän ylläpitäjä varmistaa, että uhka on torjuttu:

  • mahdollista turva-aukkoa ei ole käytetty hyväksi ja se paikataan,
  • kone puhdistetaan viruksesta tai
  • viallinen komponentti vaihdetaan.

Tilannetta seurataan jonkin aikaa.


Vakavan tai kriittisen tietoturvapoikkeaman selvitys keskitetään reagointiryhmälle, joka tekee tarvittavat päätökset ja kantaa vastuun toimenpiteistä. Reagointiryhmän kokoonpano on etukäteen määrätty. (Vahti 3/2005 luku 2.2.4 Reagoinnin organisointi ja toimivaltuudet.)

 

Kriisin aikana

  • ryhmän toimintaan ei pääsääntöisesti puututa eikä
  • sen yksittäisiltä jäseniltä odoteta jatkuvaa raportointia.
  • Ryhmä huolehtii tapahtumien kirjaamisesta ja ryhmän kontaktihenkilö hoitaa viestinnän viestintäsuunnitelman mukaisesti. (Vahti 3/2005 luku 2.2.6 tietoturvapoikkeamatilanteiden viestintäsuunnitelman luonti.)

 

[Sivun alkuun]

 

4. Lähteen määrittäminen

 

Oireiden korjaaminen ei auta, jos syihin ei puututa, joten lähteen määrittäminen on tärkeä osa ongelman käsittelyä. Poikkeaman tyyppi määrittää sen, miltä alueelta syytä etsitään.


Olosuhdeongelmat

  • Ovat useimmiten aistein havaittavissa ja
  • niiden poistaminen kuuluu muille kuin tietotekniikan ammattilaisille.
  • Sivuvaikutukset voivat kuitenkin työllistää runsaasti
    • Esimerkiksi jäähdytyksen pettämisen hajottamat laitteet ja
    • sähkökatkoista aiheutuvat käyttökatkot.

Ohjelmistovirheet

  • löytäminen tietojärjestelmässä saattaa olla vaikeaa
    • Dokumentaation ja ympäristönsä hyvin tuntevien tietotekniikan ammattilaisten tärkeys korostuvat.
    • Huoltosopimukset mahdollistavat järjestelmätoimittajien asiantuntemuksen käytön ongelmissa.
  • Inhimilliset virheet, tietämättömyys ja laiminlyönnit edellyttävät ohjeistuksen ja koulutuksen kehittämistä.


Haittaohjelmat

  • omat leviämistapansa
    • ne leviävät yleensä tiettyjä protokollia ja portteja käyttäen
    • leviämistavan avulla voidaan rajata etsimisaluetta
    • hyökkäyksen aiheuttavan tahon jäljille pääsee tutkimalla liikennettä

 

Kun todennäköinen tietoturvapoikkeaman lähteen IP-osoite onnistutaan selvittämään, etsitään seuraavaksi osoitteen omistajaa. Yliopiston verkon IP-osoitteiden tiedot löytyvät nimipalvelurekisteristä. Ulkopuolisten IP-osoitteiden tiedot löytyvät ns. whois-palveluista. Tällaista palvelua löytyy osoitteista:

On muistettava, että lähdeosoite voi olla väärennetty tai lähdeosoiteen haltija käytetään hyökkäyksen välikätenä.

 

[Sivun alkuun]

 

5. Eristämisestä päättäminen

 

Todisteaineiston turvaaminen on huomioitava eristämistaktiikasta päätettäessä.

 

Ennen todisteaineiston talteen saamista

  • järjestelmää ei saa käynnistää uudelleen
  • eikä siinä käynnissä olevia prosesseja tai ohjelmia lopettaa.

Enempien muutosten tai tietojen vaarantumisen estämiseksi palvelu voidaan esimerkiksi irroittaa verkosta. Keskeyttäminen ja/tai uudelleenkäynnistäminen mietitään tapauskohtaisesti huomioiden sekä palvelun että uhan kriittisyys.

 

Poikkeaman leviäminen oman organisaation ulkopuolelle on estettävä.

  • Normaalisti luvallista liikennettä voidaan rajoittaa haittaohjelmaepidemian aikana järjestelmä- ja verkkopalumuurien asetusmuutoksilla.
  • Tietojärjestelmiä tai –verkkoja voidaan eristää muusta ympäristöstä myös ennaltaehkäisevänä suojaustoimenpiteenä.

Eristämistaktiikkaan vaikuttavia kriteereitä ovat:

  • tietoihin/tietojärjestelmiin kohdistuvat akuutit uhat
  • poikkeaman kohteena olevien järjestelmien käytettävyystarve
  • poikkeaman leviämisuhka muihin järjestelmiin ja organisaatioihin
  • tarve säilyttää todisteaineistoa
  • tarvittavien eristämistoimenpiteiden laajuus
  • eristämistoimenpiteiden tehokkuus ja toteuttamiseksi tarvittava aika ja resurssit

 

[Sivun alkuun]

 

6. Poikkeamatyypin mukaiset toimenpiteet

 

Eristämisen jälkeen poikkeamatilanteen korjauksen ensimmäiset tehtävät liittyvät tilanteen rauhoittamiseen ja lisävahinkojen estämiseen.


Harkitsemattomat korjaustoimenpiteet voivat pahentaa tilannetta ja aiheuttaa uusia ongelmia, joten toimenpiteet tulee suorittaa suunnitellusti. Toimenpidesuunnitelmien yhteydessä esitetään mm. seuraavat kysymykset:

  • mitä on ajateltu tehtäväksi?
  • mikä on toimenpiteiden kustannus ja suunniteltu hyöty?
  • mikä on toimenpiteiden kustannus?
    • mikä on toimenpiteisiin tarvittava työmäärä ja -aika?
    • mitkä ovat toimenpiteiden sivuvaikutukset?
      • vähimmäis- ja enimmäisvaikutukset?
    • tarvitaanko erityisosaamista, työkaluja tms.?
    • tarvitaanko jotain, mitä ei aiemmin ole testattu tai mihin ei ole annettu koulutusta?
  • suunnitelman toteutuksen riskitaso
    • esim. matala, siedettävä, korkea tai erittäin korkea

Eri suunnitelmia verrataan keskenään toimenpiteiden hyödyn maksimoimiseksi. Tällä voidaan myös ennakoida ja varautua mahdollisiin toimenpiteiden sivuvaikutuksiin. Valitut toimenpiteet toteutetaan suunnitelman mukaisesti.

 

 

6.1 Verkkoa vastaan on käynnistetty palvelunestohyökkäys


Jos näyttää siltä, että omassa verkossa olevia koneita käytetään palvelunestohyökkäykseen, ne tulee ensimmäiseksi paikallistaa ja eristää:

  • häirintään valjastettu kone on irrotettava fyysisesti/loogisesti verkosta
  • kone on tutkittava se perusteellisesti,
    • sillä todennäköisesti se on joko murrettu
    • tai haittaohjelman saastuttama.
    • koneen omistaja voi olla tarkoituksellisesti tai vahingossa saanut aikaan palvelunestohyökkäyksen

Yleisiä toimenpiteitä palvelunestohyökkäyksen torjumiseksi ovat esimerkiksi:

  • korjataan mahdollinen haavoittuvuus tai heikkous, jota hyökkäys hyödyntää
  • suodatetaan haittaliikenne palomuurilla
  • siirretään hyökkäyksen alainen kohdejärjestelmä toiseen verkko-osoitteeseen

 

6.2 Järjestelmässä on tunkeutuja


Kyseessä voi olla paitsi tarkoituksellinen tai vahingossa tapahtuva luvaton toiminta, myös erilaiset haittaohjelmat ja niiden käyttö.

 

Toimenpiteet luvaton käyttö -tilanteessa:

  • ensisijainen toimintamalli on, että järjestelmän käyttö estetään tarvittavilta osin ainakin aktiivisen tutkinnan ajaksi
    • konetta ei sammuteta eikä prosesseja keskeytetä ilman harkintaa
  • vaihtoehtoinen toimintamalli on, että oikeudetonta käyttöä seurataan ja tallennetaan lokiin todisteaineistoksi
    • käyttöoikeus jätetään auki siksi aikaa, kun se on aktiivisesti seurattuna
    • varmistuttava, ettei väärinkäyttö vaaranna muun järjestelmän tietoturvallisuutta
    • toimenpide vaatii korkeaa ammattitaitoa ja resursseja kohdejärjestelmän jatkuvaan seurantaan
    • seuraaminen on poikkeuksellinen toimintamalli, jota on käytettävä äärimmäisen harkiten ja yleensä
      tiiviissä yhteistyössä esitutkintaviranomaisen ja/tai CERT-toimijan kanssa

Pääkäyttäjämurron jälkeen mihinkään koneessa olevaan tietoon ei voi varmuudella luottaa, ei myöskään varusohjelmistoihin.

 

Toimenpiteet pääkäyttäjämurtotilanteessa:

  • kohdekone irrotetaan fyysisesti tietoliikenneverkosta
  • konetta ei sammuteta
    • sammutettaessa kone menetetään tietoa, esim. tunkeutujan prosessien varaamista resursseista
  • tiedostojärjestelmästä otetaan kopio sillä järjestelmän tutkiminen muuttaa järjestelmän tilaa
    • toipumissuunnitelmassa on huomioitava, miten varmuuskopiointi on mahdollista tehdä
    • raakakopio levyjärjestelmätasolla / mahdollisimman täydellinen tiedostojärjestelmätason varmistus
      • vähintään tutkinnan kohteeksi tulevat osat tiedostojärjestelmää on otettava talteen
    • käsiteltäessä varmuuskopiotietoja todisteaineistona, tulee varmistaa, että tunkeutuja ei ole muuttanut tietoja jo ennen niiden varmuuskopiointia
  • selvitetään järjestelmän lokitietojen ja verkkoliikenteen perusteella muut hyökkääjän kohteet
    • käynnistetään torjuntatoimenpiteet muiden löydettyjen kohdejärjestelmien osalta
  • poistetaan mahdollisuuksien mukaan tunkeutumiseen käytetty palvelu käytöstä
    • estetään kyseisen palvelun käyttö muissa järjestelmissä uusien tunkeutumisien estämiseksi
    • estetään tunkeutujan käyttämän hyökkäysreitin hyväksikäyttö esim. pakettisuodatuksella

Mikäli ilmenee, että hyökkäyksen kohteena on ollut myös kolmannen osapuolen järjestelmiä, näiden ylläpitäjiä tulee tiedottaa CERT-toimijan kautta.

 

6.3 Palvelimia on käytetty muuhun laittomaan tarkoitukseen


Tarve toimenpiteisiin voi tulla esiin

  • organisaatiolta itseltään,
  • muulta organisaatiolta tai henkilöltä.

Ennen toimenpiteitä väärinkäyttöilmoituksen asianmukaisuus arvioidaan. Kyseessä saattaa olla esimerkiksi ilkivaltainen ilmoitus, jolla pyritään haittaamaan syylliseksi ilmoitetun toimintaa.

 

Kun ilmoituksen asiallisuudesta on varmistuttu:

  • epäillyn käyttöoikeuden käyttö on estettävä viivytyksettä
  • kaikista tiedoista, joihin epäilty pääsee käsiksi, tulee ottaa varmuuskopio ennen mahdollisten muutosten tutkimista

 

6.4 Oman henkilökunnan tekemät tietoturvaloukkaukset


Kun tietoturvapoikkeaman aiheuttaja kuuluu omaan henkilökuntaan, seuraamukset ovat organisaation omien sääntöjen ja asiaa koskevien lakien mukaiset. Omissa säännöissä teot on hyvä luokitella rikkomuksen vakavuuden ja teon tahallisuuden mukaan.

  • Lievimmissä tapauksissa riittää huomautus asiattomasta toiminnasta.
  • Vakavimmat tapaukset voivat johtaa irtisanomiseen tai palvelusuhteen purkuun.

Opiskelijoille on oma seuraamustaulukko.

 

6.5 Haittaohjelmatilanteet


Haittaohjelmia on käsitelty kattavasti Haittaohjelmilta suojautumisen yleisohjeessa.

 

6.5.1 Haittaohjelmien havaitseminen

 

  • Haittaohjelmat havaitaan käytettyjen virustorjuntaohjelmien antaman tiedon perusteella.
  • Havaintoja tehdään verkkoliikenteestä.
  • Ilmoituksia saadaan myös organisaation ulkopuolelta (yleensä FUNET-CERT) silloin, kun haittaohjelman saastuttama kone lähettää jollekin haittaohjelmalle tyypillistä liikennettä verkkoon.

 

Käyttäjä ottaa yleensä yhteyttä ylläpitäjään, tietoturvavastaavaan tai tietohallintoon silloin, kun työskentely koneella syystä tai toisesta hidastuu tai häiriintyy. Syyksi saattaa paljastua haittaohjelma.

 

6.5.2 Haittaohjelmatilanteen hallinta


Haittaohjelmien torjunnassa toimitaan sovitun toimintatavan mukaisesti.

  • ensimmäinen tehtävä on rajoittaa vahinkojen vakavuutta
    • reagointiaika on lyhyt ja toiminta pitää käynnistää välittömästi ilman, että paikalla on vielä päätöksiä tekemässä muita kuin mikrotuen päivystäjä tai vastaava
  • jos yksi laite havaitaan saastuneeksi, on muidenkin koneiden mahdollinen saastuminen tutkittava
    • Laitteen tai ohjelmiston omistajan / ylläpitäjän on kartoitettava, miten laajalle vaikuttavasta järjestelmästä on kyse.
    • vahingot pyritään rajaamaan mahdollisimman suppeiksi
      • rajoitetaan tiettyjen tietoliikenneprotokollien käyttöä
      • irroitetaan kone fyysisesti verkosta
      • Myös sähköpostiliikennettä voidaan viivästyttää, jotta saadaan aikaa sähköpostin kautta leviävältä haittaohjelmalta suojautumiseen.

Kun on selvillä, mistä haittaohjelmasta on kyse,

  • voidaan käyttää sitä vastaan tehtyjä työkaluja.
    • Virustorjuntaohjelmistojen valmistajilla on erilaisia haittaohjelman poistotyökaluja, jotka ovat ladattavissa heidän sivuiltaan.

Kun laite on puhdistettu,

  • päivitetään ohjelmistot tai ainakin paikataan tiedossa olevat haavoittuvuudet.
  • Kun järjestelmän tiedetään olevan kunnossa, voi koneen liittää takaisin verkkoon.

 

[Sivun alkuun]

 

7. Todisteaineiston turvaaminen

 

Tietoturvapoikkeaman todisteaineistoa on kaikki informaatio, josta on apua selvitettäessä mitä ja missä on tapahtunut. Todisteaineistoa ovat siten yhtä lailla yhteyksiä dokumentoivat

  • lokitiedot ja
  • käyttäjien kuvaukset poikkeaman ilmenemisoireista
  • kuin poikkeaman kohteeksi joutuneen tietojärjestelmän tallennusmedioilta löytyvä tekninen todisteaineistokin.

7.1 Todisteaineiston käyttö


Todisteaineistolla on kaksi eri merkitystä:

  • organisaatio saa tärkeää informaatiota poikkeamasta ja
  • aineistoa voidaan käyttää todisteena mahdollisessa rikosprosessissa.


Tietoa tarvitaan selvittämään poikkeaman laajuus ja sen merkitys organisaation toiminnalle:

  • missä poikkeama esiintyy ja
  • millaisia vaikutuksia uhka aiheuttaa.

Todisteaineiston avulla selvitetään myös, millaisista olosuhteista, esimerkiksi haavoittuvuutta hyväksikäyttäen, poikkeamatilanne syntyi. Tämän perusteella on edelleen selvitettävä,

  • mistä syystä järjestelmässä oli hyväksikäytettävissä oleva haavoittuvuus ja
  • miten ylläpitoprosesseja voidaan parantaa vastaavien poikkeamien estämiseksi jatkossa.

 

7.2 Todisteaineiston kerääminen ja käsittely


Todisteaineiston keruutapa on riippuvainen aineiston keruun tarkoituksesta.

  • Jos voidaan heti päätellä, ettei taustalla ole rikosta, todisteaineiston voi kerätä uhriorganisaation itsensä kannalta järkevällä tarkkuudella.
  • Jos kysymys on selkeästi rikoksesta, organisaation on syytä ottaa tietohallinnon avustukselle yhteyttä poliisiin ja keskustella heidän kanssaan todisteaineiston keräämisestä.
    • Rikostutkinnan käynnistyttyä poliisi joko kerää aineiston itse tai ohjeistaa tapauksesta ja kohdejärjestelmistä riippuen.

Jos poikkeaman syystä ei ole selvyyttä, organisaation tulee varautua keräämään aineisto tavalla, joka tekee siitämahdollisimman käyttökelpoisen oikeusprosessissa.

 

Todisteaineiston käsittelyssä rikosprosessin yhteydessä on olennaista:

  1. aineiston mahdollisimman suuri muuttumattomuus
  2. mahdollisimman täydellisen aineiston kerääminen
  3. aineiston keruun dokumentointi


Aineiston muuttumattomuutta edesauttaa, että tutkinta kohdistuu kopioon eikä alkuperäiseen mediaan.

  • Tällöin tutkinta ei muuta tutkittavaa järjestelmää lukuaikaleimojenkaan osalta.
  • Kopion muuttumattomuus osoitetaan käyttämällä vain kerran kirjoitettavissa olevaa mediaa
  • tai laskemalla tarkistussummat sekä alkuperäisestä mediasta että kopiosta (esim. md5sum-ohjelmalla).
  • Tutkittaessa tunkeutujan jälkiä tulisi tietojärjestelmän kopiota käsitellä vain lukemisen sallivassa muodossa.
  • otetaan mieluummin levyjärjestelmän image kuin kopio tiedostojärjestelmien sisällöstä
    • Imagen ottaminen ei sen sijaan ole tarpeen silloin, kun tunkeutuja ei ole ollut kohdejärjestelmässä, vaan järjestelmästä löytyy vain todisteaineistoa, esimerkikisi lokipalvelimet.

 

Dokumentointi on korostetun tärkeää erityisesti silloin, kun kriteerit 1 ja 2 eivät ole saavutettavissa. Muulloin dokumentoinnin tarkoituksena on helpottaa aineiston luotettavuuden osoittamista sekä auttaa muistamaan toimenpiteet koko pitkän oikeusprosessin ajan.


Jos todisteaineistoa käytetään rikosprosessissa,

  • se tulee lähtökohtaisesti säilyttää koko rikosprosessin ajan huolehtien samalla,
    • etteivät asiattomat pääse aineistoon käsiksi kuin
    • sen enempää muuttamaan sitä kuin tutustumaan sen sisältöön
  • Säilyttämistavasta voidaan sopia poliisin kanssa.

Omaan käyttöön tarkoitettu aineisto

  • säilytetään sen ajan kuin aineisto on tarpeellinen ja sitä käytetään vain poikkeaman tutkimiseen
  • käsitellään ja myös hävitetään sillä huolellisuudella, mitä sen sisältämät tiedot edellyttävät.

 

[Sivun alkuun]

 

8. Viestintä

 

Poikkeamatilanteeseen liittyvä tiedottaminen tulee käynnistää heti poikkeaman ilmettyä. Viestintävastaava ja poikkeaman reagointiryhmä arvioivat, keille poikkeamatilanne näkyy ja keiden toimintaan se vaikuttaa. Tiedottamisen ja viestinnän tulee olla

  • informoivaa,
  • ohjaavaa (esim. ei avata tiettyjä haittaohjelman sisältäviä sähköposteja),
  • ohjeistavaa ja rauhoittavaa ja
  • sen perustarkoituksena on ylläpitää tietoisuutta tosiasioista ja toimenpiteistä.
  • Sen tulee ehtiä väärien tietojen edelle.

Kohteena oleville henkilöille ja muille tahoille tiedotetaan poikkeaman laajuuden mukaisesti toimenpiteistä, vaikutuksista ja palautumisen tilanteesta, sekä mahdollisista jatkotoimenpiteistä.

 

 

8.1. Yhteydenpito omaan verkkopalvelujen tarjoajaan ja CERT-toimijoihin


Kun havainnot osoittavat poikkeamatilanteen vaativan yhteistyötä oman verkkopalvelun tarjoajan tai CERT-toimijan, hoidetaan kommunikointi tietohallinnon kautta.

 

CERT-toimijaan ollaan erityisesti yhteydessä, kun

  • tietoturvapoikkeama vaikuttaa Internet-verkon runkopalveluihin (nimipalvelu, IP-reititys)
  • organisaation merkittävä palvelu on uhattuna
  • poikkeamatilanne vaikuttaa laajalle levinneeltä
  • poikkeamatilanteessa on mukana useita osapuolia, joihin ei ole suoraa luontevaa
    kontaktia ja organisaatio tarvitsee tilanteessa koordinointiapua
  • poikkeamatilanteessa havaitut menetelmät ovat uusia tai niitä käytetään uudella tavalla

CERT-toimijat:

  • omaavat yhteyksiä muihin tietoturvatoimijoihin, myös kansainvälisesti
    • Yhteyksien avulla huolehtivat muiden tietoturvapoikkeaman kohteeksi joutuneiden tahojen varoittamisesta ja siten vähentää oman organisaation resurssikuormitusta poikkeamatilanteen ollessa aktiivisimmillaan.
    • hoitavat tarvittaessa myös tiedonvälitystä eri osapuolten välillä ja auttavat tilanteen hallinnassa tarvittavientietojen hankkimisessa.

 

8.2. Yhteydenpito poliisiin


Jos havainnot viittaavat siihen, että teon taustalla saattaa olla rikos, tulee lähtökohtaisesti aina olla yhteydessä poliisiin.

  • Yhteydenotto poliisiin hoidetaan tietohallinnon/tietoturvapäällikön kautta.
  • Rikosilmoituksen voi kuitenkin tehdä kiireellisessä tapauksessa ”rikoksen silminnäkijän roolissa”.
    • Tällöin poliisi voi aloittaa rikoksen tutkinnan nopeasti.

Muista huolellinen todisteaineiston keruu sekä varsinkin dokumentointi, sillä dokumentointi helpottaa aineiston oikeusvarmuuden arviointia oikeudessa.

 

[Sivun alkuun]

 

9. Normaalitoiminnan palauttaminen

 

Normaaliin toimintaan palataan suunnitelmien ja hyväksytyn riskitason mukaisesti.

  • Tilannetta palautettaessa tehdään pysyviä toimenpiteitä, joilla toivutaan poikkeamasta ja estetään samalla vastaavien poikkeamien uusiutuminen.
  • Palauttamisessa hyödynnetään toipumissuunnitelmia niin paljon kuin mahdollista.


Kaikki suunnitellut toimenpiteet eivät välttämättä ole niin helppoja toteuttaa kuin on ajateltu ja palautumisvaiheessa voi tulla vastaan yllättäviä ongelmia. Esimerkiksi:

  • palvelin ei ole käytettävissä, vaan poliisin takavarikossa tai tuhoutunut palossa
  • avainhenkilöt eivät ole käytettävissä
  • rakennusta, jossa pitäisi työskennellä, ei enää ole
  • varavoimakoneisiin ei ole toimitettu polttoainetta
  • varmuuskopioilta palauttaminen on mahdotonta

Usein luullaan, että varmuuskopiot, etenkin jos ne ovat testattu, olisivat pelastus.
On kuitenkin tilanteita, joissa varmuuskopioiden palauttaminen voi olla mahdotonta.

  • Esimerkiksi joissakin reaaliaikajärjestelmissä ei varmuuskopioita välttämättä kannata palauttaa tai
  • palautuksen jälkityö muodostuu hyvin työlääksi.

Muutoinkin ennen tietojen palautusta varmuuskopioilta on tarkistettava, mitä versiota palautuksessa voidaan käyttää:

  • esimerkiksi milloin tiedon korruptoituminen on alkanut ja
  • onko sitä edeltävä varmuuskopioversio muutoin vielä käyttökelpoinen.

 

[Sivun alkuun]

 

10. Tiedottaminen

 

Kun tilanne on korjattu, on vielä kerran tiedotuksen aika. Tietoturvapoikkeama ja siihen reagointi vaikuttavat monien tahojen toimintaan:

  • oma henkilökunta,
  • organisaation sidosryhmät,
  • muut tapausta tutkineet tahot ja
  • mahdolliset muut uhrit.

Tietojen ja palveluiden käyttäjille tulee kertoa, milloin he voivat palata omalta osaltaan normaaliin toimintaan ja vaatiiko tämä jotain erityistoimenpiteitä.

 

 

[Sivun alkuun]

 

11. Oppiminen ja raportointi

 

Kun tilanne on saatu normalisoitua, ei tapaus vielä ole ohi. Uusien tapauksien välttämiseksi ja poikkeamatilanteiden korjaamisen nopeuttamiseksi on tärkeää, että

  • kaikki tapaukseen liittyvät dokumentaatiot ja tiedot kootaan yhteen ja
  • materiaali analysoidaan huolellisesti.

Jos poikkeaman käsittelyn aikana tuli esiin puutteita organisaation toiminnassa tai toiminnan ohjeistuksessa, tulee ohjeet päivittää ja kouluttaa asianosaiset niiden mukaiseen toimintaan.

  • Toipumissuunnitelmia tulee parantaa ja tarkentaa havaittujen puutteiden perusteella sekä
  • laatia puutteiden korjaamisesta aikataulutetut suunnitelmat.


Yksityiskohtainen raportti palvelee parhaimmin toimintojen kehittämisessä. Poikkeamatilanteista voi raportoida tietohallinnolle

Tietohallinto raportoi sopivalla tarkkuustasolla myös organisaation johdolle tapahtuneista tietoturvapoikkeamista. Johdolle suunnattu raportointi edistää tietoturvallisuuden kokonaiskehitystä organisaatiossa ja tietoturvatyön resursoinnin varmistamista.

 

[Sivun alkuun]

 

Lähde: VAHTI 3/2005 (PDF)

 

18.11.05 /MR