Organisaatioltani on viety tai vuotanut tietoja

• Omien työntekijöiden huomaama ongelma: havaittu tietoturvahaavoittuvuus tai epäilys tietojen väärinkäytöstä. 
• Järjestelmätoimittajan ilmoitus: havaittu tietoturvahaavoittuvuus tai epäilys tietomurrosta. 
• Rikollisen kiristysviesti: viesti, jossa uhataan vietyjen tietojen julkistamisella, jos lunnaita ei makseta.  
• Viesti tietoturvatutkijalta: organisaatiosi ulkopuolinen taho on huomannut tietojärjestelmissänne haavoittuvuuden ja ilmoittaa siitä teille. 
• Asiakkaan yhteydenotto: viesti, jossa kerrotaan huomatusta tietosuojaongelmasta tai tietoturvariskistä. 
• Media: uutinen organisaatiotasi koskevasta tietovuodosta tai tietomurrosta.
• Viranomainen: poliisi tai Kyberturvallisuuskeskus ilmoittaa havaitsemastaan tietomurrosta tai sellaisen mahdollistavasta haavoittuvuudesta.

Jos luottamuksellisten tietojenne tietoturvallisuudessa on havaittu haavoittuvuus, kannattaa asiaa ryhtyä selvittämään heti perusteellisesti. On aina mahdollista, että rikolliset ovat ehtineet käyttää haavoittuvuutta hyväkseen.

Jos organisaatiossasi on tehty varautumissuunnitelma tai -ohjeistus tällaista tilannetta varten, noudattakaa ensisijaisesti sitä. Tämän oppaan avulla voit tarkistaa, onko suunnitelmassanne otettu huomioon tärkeimmät asiat.

Monissa pienemmissä organisaatiossa ei välttämättä ole esimerkiksi tietojen turvallisuudesta vastaavia nimettyjä henkilöitä. Tässä tapauksessa on tärkeää koota yhteen päättävissä asemissa olevat henkilöt sekä tapauksesta tarkemmin tietävät henkilöt.

Jos organisaatiosi koostuu vain muutamasta henkilöstä, kannattaa tilannetta todennäköisesti selvittää koko henkilöstön kesken.

Voit harkita ulkopuolisen yrityksen palkkaamista esimerkiksi tietomurron tekniseen selvittämiseen tai kriisiviestinnän suunnitteluun.

• Kyberturvallisuuskeskus neuvoo ilmaiseksi ja luottamuksellisesti tilanteen hahmottamisessa, lisävahinkojen estämisessä ja tilanteesta toipumisessa. Tee ilmoitus tietoturvaloukkauksesta ja pyydä neuvoja.
• Tietosuojavaltuutetun toimisto neuvoo henkilötietojen suojaamiseen ja käsittelyyn liittyvissä asioissa. Kysy neuvoa tietosuojavaltuutetun toimistosta.Avautuu uuteen ikkunaan.
• Jos epäilet rikosta, tee rikosilmoitus. Poliisi auttaa tilanteen hahmottamisessa rikoksen selvittämisen yhteydessä.
• Voit ostaa palvelua kyberturvallisuuteen erikoistuneilta yrityksiltä. Kyberturvallisuusalan yrityksiä löydät esimerkiksi Finnish Information Security Cluster (FISC) -etujärjestön jäsenlistauksesta.Avautuu uuteen ikkunaan.
• Vapaaehtoisvoimin toimiva Suomalainen hakkerikollektiivi KyberVPK Avautuu uuteen ikkunaan.auttaa harkinnanvaraisesti kyberhyökkäysten kohteeksi joutuneita organisaatioita, ensisijaisesti terveydenhuoltoa ja muita kriittisiä palveluita tarjoavia tahoja.

• Inhimillinen virhe: Työntekijä saattaa vahingossa välittää luottamuksellista tietoa organisaatiosi ulkopuolelle. Työntekijä saattaa esimerkiksi lähettää sähköpostin väärälle henkilölle.
• Tietojenkalastelu: Rikolliset urkkivat luottamuksellista tietoa sähköpostin, tekstiviestin, pikaviestien, sosiaalisen median tai puheluiden välityksellä.
• Haittaohjelmat: Esimerkiksi huijaussähköpostin liitteenä voi tulla haittaohjelma, joka asentuu tietokoneelle tai muulle laitteelle. Haittaohjelma voi välittää laitteen käyttäjän salasanoja ja muita tietoja rikolliselle. 
• Tietomurto: Rikolliset käyttävät tietojärjestelmän teknistä haavoittuvuutta hyväksi ja murtautuvat järjestelmään.

Huomioi, että yhdellä tavalla vuotanut tai viety tieto voi mahdollistaa uuden ja laajemman tietomurron. Jos rikollinen on esimerkiksi saanut tietojenkalastelun avulla selville tunnuksia ja salasanoja, pääsee hän seuraavaksi murtautumaan organisaatiosi tietojärjestelmiin.

Rikollisia kiinnostavat yleensä esimerkiksi

• henkilötiedot, erityisesti arkaluonteiset henkilötiedot kuten terveystiedot
• tunnukset ja salasanat
• pankkitunnusten ja -korttien tiedot
• liikesalaisuudet ja tuotekehitystiedot
• muut turvaluokitellut ja salassa pidettävät tiedot.

Yksittäisellä tiedonmurusella ei välttämättä voi tehdä mitään. Rikollisten tarkoituksena voi kuitenkin olla koota yksittäisiä tietoja monista eri lähteistä. Tietoja yhdistelemällä voidaan myöhemmin yrittää tehdä esimerkiksi tietomurtoja, petoksia tai identiteettivarkauksia.

Rikolliset pyrkivät useimmiten hyötymään viedyistä tiedoista taloudellisesti. He pyrkivät esimerkiksi

• kiristämään organisaatiota uhkaamalla tietojen levittämisellä tai käytön estämisellä
• kiristämään yksityishenkilöitä uhkaamalla tietojen levittämisellä tai käytön estämisellä
• tekemään petoksen henkilötietojen tai pankkitietojen avulla
• myymään tunnuksia, salasanoja ja henkilötietoja eteenpäin toisille rikollisille
• myymään liikesalaisuuksia tai tuotekehitystietoja.

Tietomurtoon saattaa olla myös muita motiiveja, kuten

• kohteeksi joutuneen organisaation nolaaminen, esimerkiksi kostona jostain aiemmasta asiasta
• kohteeksi joutuneen organisaation pelottelu uhkaamalla asian julkistamisella
• rikollisen oman maineen parantaminen onnistuneella tietomurrolla
• rikollisen kokeilunhalu eli omien kykyjen testaaminen
• valtiollinen kybervakoilu.

Tietomurrolla tai tietovuodolla saattaa olla useita negatiivisia vaikutuksia, kuten

• tilanteen selvittelyyn ja korjaukseen liittyvät kulut
• oikeudelliset seuraamukset ja niihin liittyvät kulut
• poikkeustilanteesta johtuva toiminnan tai palveluiden väliaikainen supistaminen tai keskeytyminen
• organisaation julkisuuskuvan heikkeneminen.

Negatiiviset vaikutukset jäävät todennäköisesti sitä pienemmiksi mitä ripeämmin ja vakavammin suhtaudutte tietoturvallisuuden poikkeamiin:

• Yrityksen maineelle tietomurtoakin haitallisempaa on, jos myöhemmin selviää, että yritys on yrittänyt peitellä tietomurtoa tai on suhtautunut siihen vähättelevästi.
• Oikeudelliset seuraamukset voivat muuttua kovemmiksi, jos lain vaatimiin toimenpiteisiin ei ole ryhdytty heti.
• Nopeasti selvitetyn tapauksen kulut ovat pienemmät kuin pitkään jatkuneen poikkeustilan kulut.

Arvio kannattaa perustaa pohdinnalle

• kuinka varmasti tietojen tiedetään päätyneen vääriin käsiin
• millaisten tietojen turvallisuus on vaarantunut
• kuinka laajasti tietoja on päätynyt vääriin käsiin
• kuinka todennäköisesti tietoja tullaan käyttämään väärin.

Esimerkiksi jo pelkkä epäilys käyttäjätunnusten ja salasanojen tai arkaluonteisten henkilötietojen vuotamisesta on vakava tilanne. Jos viedyt tiedot ovat puolestaan jo valmiiksi julkisia, ei niiden päätyminen rikollisiin käsiin ole todennäköisesti kovin vahingollista.

Ryhdy lisävahingot estäviin toimiin matalalla kynnyksellä. Keskeistä on ymmärtää, mitkä toimenpiteet ovat pakollisia 

• lain mukaan 
• organisaation tekemien sopimusten perusteella.

Esimerkiksi henkilötietojen tietoturvaloukkauksesta on tietyissä tilanteissa ilmoitettava tietosuojavaltuutetulle.

Lisäksi täytyy arvioida, miten pystytään minimoimaan negatiiviset vaikutukset

• organisaation toimintaan 
• organisaation tuottamiin palveluihin
• organisaation yhteistyöhön sidosryhmien kanssa.

Kirjaa päiväkirjaan vähintään seuraavat tiedot:

• tilannetta hoitaneet henkilöt ja heidän roolinsa
• erillisten kirjausten tarkat ajankohdat
• tehdyt päätökset, päätösten perusteet ja niistä päättäneet henkilöt
• tehdyt toimenpiteet ja niiden ajankohdat
• lista kerätystä todistusaineistosta
• yhteydenpito eri tahoihin.