Information har stulits eller läckt ut från min organisation

• Ett problem som de egna medarbetarna upptäcker: observerad sårbarhet i informationssäkerheten eller misstanke om missbruk av uppgifter. 
• Systemleverantörens meddelande: upptäckt sårbarhet i informationssäkerheten eller misstanke om dataintrång. 
• Utpressningsmeddelande från en brottsling: ett meddelande där man hotar offentliggöra de uppgifter som stulits om lösensumman inte betalas. 
• Meddelande från informationssäkerhetsutredare: en aktör utanför din organisation har lagt märke till en sårbarhet i era datasystem och meddelar er om detta. 
• Kontakt från en kund: ett meddelande där man informerar om ett dataskyddsproblem eller en informationssäkerhetsrisk. 
• Media: en nyhet om ett dataläckage eller ett dataintrång i din organisation.
• Myndighet: polisen eller Cybersäkerhetscentret anmäler ett upptäckt dataintrång eller en sårbarhet som möjliggör sådana.

Om en sårbarhet i informationssäkerheten för era konfidentiella uppgifter har upptäckts lönar det sig att genast börja utreda saken grundligt. Det är alltid möjligt att brottslingar har hunnit utnyttja sårbarheten.

Om din organisation har utarbetat en beredskapsplan eller -anvisningar för en sådan situation ska ni i första hand följa dessa. Med hjälp av den här guiden kan du kontrollera om de viktigaste frågorna har beaktats i er plan.

I många mindre organisationer finns det inte nödvändigtvis till exempel utsedda personer som ansvarar för informationssäkerheten. I detta fall är det viktigt att samla personer i beslutande ställning och personer som vet mer om fallet.

Om din organisation endast består av några personer lönar det sig sannolikt att utreda situationen tillsammans med hela personalen.

Be myndigheterna om hjälp och råd. Överväg att anställa ett utomstående företag till exempel för att utreda ett dataintrång eller planera kriskommunikation.

• Cybersäkerhetscentret ger gratis och konfidentiellt råd om hur man får en överblick över situationen, förhindrar ytterligare skador och återhämtar sig från situationen. Gör en anmälan om en kränkning av informationssäkerheten och be om råd.
• Dataombudsmannens byrå ger råd i frågor som gäller skydd och behandling av personuppgifter. Rådfråga dataombudsmannens byråÖppnas i ett nytt fönster..
• Om du misstänker ett brott, gör en brottsanmälan. Polisen hjälper dig att få en överblick över situationen i samband med brottsutredningen.
• Du kan köpa service av företag som specialiserat sig på cybersäkerhet. Du hittar företag i cybersäkerhetsbranschen till exempel i medlemslistan för intresseorganisationen Finnish Information Security Cluster (FISC) (på finska)Öppnas i ett nytt fönster..
• Det finländska hackerkollektivet KyberVPKÖppnas i ett nytt fönster., som fungerar med frivilliga krafter, hjälper enligt prövning organisationer som utsatts för cyberangrepp, i första hand aktörer som tillhandahåller hälso- och sjukvård och andra kritiska tjänster.

• Mänskligt misstag: En arbetstagare kan av misstag förmedla konfidentiell information utanför din organisation. Arbetstagaren kan till exempel skicka e-post till fel person.
• Nätfiske: Brottslingar snokar reda på konfidentiell information via e-post, textmeddelanden, snabbmeddelanden, sociala medier eller samtal.
• Skadliga program: Till exempel kan ett skadligt program som installeras på en dator eller en annan enhet bifogas ett bluff-e-postmeddelande. Skadeprogrammet kan förmedla användarens lösenord och annan information till brottslingar. 
• Dataintrång: Brottslingarna utnyttjar informationssystemets tekniska sårbarhet och bryter sig in i systemet.

Observera att information som läckt ut eller stulits på ett sätt kan möjliggöra ett nytt och mer omfattande dataintrång. Om en brottsling till exempel genom nätfiske har fått reda på användarnamn och lösenord, kan hen sedan bryta sig in i din organisations datasystem.

Brottslingar är i allmänhet intresserade av till exempel

• personuppgifter, särskilt känsliga personuppgifter såsom hälsouppgifter
• användarnamn och lösenord
• uppgifter om bankkoder och -kort
• affärshemligheter och uppgifter om produktutveckling
• övrig säkerhetsklassificerad och sekretessbelagd information.

Med en enskild smula information kan man inte nödvändigtvis göra någonting. Brottslingarnas syfte kan dock vara att samla enskilda uppgifter från många olika källor. Genom att kombinera information kan man senare försöka göra till exempel dataintrång, bedrägerier eller identitetsstölder.

Brottslingarna strävar oftast efter att dra ekonomisk nytta av den information de kommit över. De strävar till exempel efter att

• utpressa organisationen genom att hota med spridning eller förhindrande av användning av information
• utpressa privatpersoner genom att hota med spridning eller förhindrande av användning av information
• utföra bedrägeri med hjälp av person- eller bankuppgifter
• sälja användarnamn, lösenord och personuppgifter vidare till andra brottslingar
• sälja affärshemligheter eller produktutvecklingsuppgifter.

Det kan också finnas andra motiv för dataintrång, såsom

• att skämma ut den organisation som blivit utsatt, till exempel som hämnd för något som inträffat tidigare
• att skrämma den organisation som blivit utsatt genom att hota med att göra saken offentlig
• att förbättra brottslingens eget rykte genom ett lyckat dataintrång
• brottslingens vilja att experimentera, dvs. testa sina egna förmågor
• statligt cyberspionage.

Ett dataintrång eller dataläckage kan ha flera negativa effekter, såsom

• kostnader i anslutning till utredning och korrigering av situationen
• rättsliga påföljder och därmed sammanhängande kostnader
• tillfällig nedskärning eller avbrott i verksamheten eller tjänsterna till följd av undantagssituationen
• försämrad offentlig bild av organisationen.

De negativa effekterna blir sannolikt mindre ju snabbare och allvarligare ni förhåller er till avvikelser i informationssäkerheten:

• För ett företags rykte är det skadligare än själva dataintrånget om det senare framgår att företaget har försökt dölja eller förhålla sig nedsättande till dataintrånget.
• De rättsliga påföljderna kan bli hårdare om de åtgärder som lagen kräver inte har vidtagits genast.
• Kostnaderna för ett fall som utretts snabbt är lägre än kostnaderna för ett undantagstillstånd som pågått länge.

Det lönar sig att grunda bedömningen på ett resonemang om

• med hur stor säkerhet man vet att uppgifterna hamnat i fel händer
• hurdana uppgifters säkerhet som har äventyrats
• hur omfattande uppgifterna har hamnat i fel händer
• hur sannolikt det är att uppgifterna kommer att missbrukas.

Till exempel är det redan en allvarlig situation att man misstänker att användarnamn och lösenord eller känsliga personuppgifter läckt ut. Om de uppgifter som stulits redan är offentliga är det inte särskilt skadligt om de hamnar i kriminella händer. 

Vidta åtgärder för att förhindra ytterligare skador med låg tröskel. Det centrala är att förstå vilka åtgärder som är obligatoriska 

• enligt lagen 
• på basis av organisationens avtal.

Till exempel ska en personuppgiftsincident i vissa situationer anmälas till dataombudsmannen.

Dessutom måste man bedöma hur man kan minimera de negativa effekterna

• på organisationens verksamhet 
• på de tjänster som organisationen producerar
• på organisationens samarbete med intressentgrupper.

Anteckna åtminstone följande uppgifter i dagboken:

• personerna som skött situationen och deras roller
• exakta tidpunkter för enskilda anteckningar
• fattade beslut, beslutsgrunder och de personer som fattat besluten
• vidtagna åtgärder och tidpunkterna för dem
• förteckning över insamlat bevismaterial
• kontakter med olika instanser.