Mitä teen?

Organisaatioltani on viety tai vuotanut tietoja

Saat parhaat ohjeet tilanteeseesi, kun vastaat ensin kysymyksiin oppaan aloitussivulla.

Selvitä, miten tietojen turvallisuus on vaarantunut

Toimi ripeästi

Jos herää epäilys, että organisaatiosi tietojen turvallisuus on vaarantunut, aloita tapauksen selvittäminen heti.

Varmista välittömästi, että tietojärjestelmien lokitiedot ovat tallessa. Harkitse rikosilmoituksen tekemistä mahdollisimman aikaisessa vaiheessa.

Näin mahdolliset vahingot voivat jäädä pienemmiksi ja tiedät, että teit tilanteessa kaiken voitavan.

Omien työntekijöiden huomaama ongelma: havaittu tietoturvahaavoittuvuus tai epäilys tietojen väärinkäytöstä.
Järjestelmätoimittajan ilmoitus: havaittu tietoturvahaavoittuvuus tai epäilys tietomurrosta.
Rikollisen kiristysviesti: viesti, jossa uhataan vietyjen tietojen julkistamisella, jos lunnaita ei makseta.
Viesti tietoturvatutkijalta: organisaatiosi ulkopuolinen taho on huomannut tietojärjestelmissänne haavoittuvuuden ja ilmoittaa siitä teille.
Asiakkaan yhteydenotto: viesti, jossa kerrotaan huomatusta tietosuojaongelmasta tai tietoturvariskistä. Asiakas on esimerkiksi saanut epäilyttäviä yhteydenottoja tai havainnut jonkun levittävän salassa pidettäviä tietoja.
Media: uutinen organisaatiotasi koskevasta tietovuodosta tai tietomurrosta.
Viranomainen: poliisi tai Kyberturvallisuuskeskus ilmoittaa havaitsemastaan tietomurrosta tai sellaisen mahdollistavasta haavoittuvuudesta.

Peividum: 17.9.2024

Kokoa vastaavat henkilöt

Kokoa pikavauhdilla yhteen henkilöt, jotka vastaavat organisaatiosi

turvallisuudesta
tietoturvasta
tietosuojasta
varautumisesta ja jatkuvuudesta
viestinnästä.

Myös organisaation ylimmän johdon on yleensä syytä olla tietoinen asiasta. Jos ongelma koskee tietojärjestelmää, samaan yhteydenpitoon tulee saada mukaan myös tietojärjestelmästä vastaava henkilö ja esimerkiksi mahdollinen järjestelmätoimittajan edustaja.

Vastaavien henkilöiden kesken voitte tehdä päätöksiä siitä, miten olisi syytä toimia.

Jos organisaatiollasi on pääsy toisen organisaation tietoihin eikä organisaatiosi ole tietojen rekisterinpitäjä, ota yhteyttä tietojen rekisterinpitäjään. Esimerkki: Jos organisaatiosi käyttää väestötietojärjestelmän tietoja rajapinnan kautta ja organisaation tietojärjestelmään kohdistuu tietomurto tai -vuoto, ota yhteyttä väestötietojen rekisterinpitäjään eli Digi- ja väestötietovirastoon.

Monissa pienemmissä organisaatiossa ei välttämättä ole esimerkiksi tietojen turvallisuudesta vastaavia nimettyjä henkilöitä. Tässä tapauksessa on tärkeää koota yhteen päättävissä asemissa olevat henkilöt sekä tapauksesta tarkemmin tietävät henkilöt.

Jos organisaatiosi koostuu vain muutamasta henkilöstä, kannattaa tilannetta todennäköisesti selvittää koko henkilöstön kesken.

Voit harkita ulkopuolisen yrityksen palkkaamista esimerkiksi tietomurron tekniseen selvittämiseen tai kriisiviestinnän suunnitteluun.

Peividum: 17.9.2024

Selvitä, mitä on tapahtunut

Selvitä

mitä ovat ne tiedot, joiden turvallisuus on vaarantunut
mitä näille tiedoille on tehty (katseltu, kopioitu, muutettu, poistettu)
onko tietojen turvallisuus yhä vaarantunut.

Traficomin Kyberturvallisuuskeskus neuvoo ilmaiseksi ja luottamuksellisesti tilanteen hahmottamisessa, lisävahinkojen estämisessä ja tilanteesta toipumisessa. Tee ilmoitus tietoturvaloukkauksesta ja pyydä neuvoja.
Tietosuojavaltuutetun toimisto neuvoo henkilötietojen suojaamiseen ja käsittelyyn liittyvissä asioissa. Kysy neuvoa tietosuojavaltuutetun toimistosta.Lekkâs uđđâ laasân.
Jos epäilet rikosta, tee rikosilmoitus. Poliisi auttaa tilanteen hahmottamisessa rikoksen selvittämisen yhteydessä.
Voit ostaa palvelua kyberturvallisuuteen erikoistuneilta yrityksiltä. Kyberturvallisuusalan yrityksiä löydät esimerkiksi Finnish Information Security Cluster (FISC) -etujärjestön jäsenlistauksesta.Lekkâs uđđâ laasân.
Vapaaehtoisvoimin toimiva Suomalainen hakkerikollektiivi KyberVPK Lekkâs uđđâ laasân.auttaa harkinnanvaraisesti kyberhyökkäysten kohteeksi joutuneita organisaatioita, ensisijaisesti terveydenhuoltoa ja muita kriittisiä palveluita tarjoavia tahoja.

Inhimillinen virhe: Työntekijä saattaa vahingossa välittää luottamuksellista tietoa organisaatiosi ulkopuolelle. Työntekijä saattaa esimerkiksi lähettää sähköpostin väärälle henkilölle.
Luvaton katselu: Työntekijä saattaa käyttää hyväkseen pääsyä järjestelmiin, joissa on luottamuksellisia tietoja, vaikka hänellä ei ole työtehtäviensä perusteella syytä tarkastella niitä.
Tietojenkalastelu: Rikolliset urkkivat luottamuksellista tietoa sähköpostin, tekstiviestin, pikaviestien, sosiaalisen median tai puheluiden välityksellä.
Haittaohjelmat: Esimerkiksi huijaussähköpostin liitteenä voi tulla haittaohjelma, joka asentuu tietokoneelle tai muulle laitteelle. Haittaohjelma voi välittää laitteen käyttäjän salasanoja ja muita tietoja rikolliselle.
Tietomurto: Rikolliset käyttävät tietojärjestelmän teknistä haavoittuvuutta hyväksi ja murtautuvat järjestelmään.

Huomioi, että yhdellä tavalla vuotanut tai viety tieto voi mahdollistaa uuden ja laajemman tietomurron. Jos rikollinen on esimerkiksi saanut tietojenkalastelun avulla selville tunnuksia ja salasanoja, pääsee hän seuraavaksi murtautumaan organisaatiosi tietojärjestelmiin.

Rikollisia kiinnostavat yleensä esimerkiksi

henkilötiedot, erityisesti arkaluonteiset henkilötiedot kuten terveystiedot
tunnukset ja salasanat
pankkitunnusten ja -korttien tiedot
liikesalaisuudet ja tuotekehitystiedot
muut turvaluokitellut ja salassa pidettävät tiedot.

Yksittäisellä tiedonmurusella ei välttämättä voi tehdä mitään. Rikollisten tarkoituksena voi kuitenkin olla koota yksittäisiä tietoja monista eri lähteistä. Tietoja yhdistelemällä voidaan myöhemmin yrittää tehdä esimerkiksi tietomurtoja, petoksia tai identiteettivarkauksia.

Rikolliset pyrkivät useimmiten hyötymään viedyistä tiedoista taloudellisesti. He pyrkivät esimerkiksi

kiristämään organisaatiota uhkaamalla tietojen levittämisellä tai käytön estämisellä
kiristämään yksityishenkilöitä uhkaamalla tietojen levittämisellä tai käytön estämisellä
tekemään petoksen henkilötietojen tai pankkitietojen avulla
myymään tunnuksia, salasanoja ja henkilötietoja eteenpäin toisille rikollisille
myymään liikesalaisuuksia tai tuotekehitystietoja.

Tietomurtoon saattaa olla myös muita motiiveja, kuten

kohteeksi joutuneen organisaation nolaaminen, esimerkiksi kostona jostain aiemmasta asiasta
kohteeksi joutuneen organisaation pelottelu uhkaamalla asian julkistamisella
rikollisen oman maineen parantaminen onnistuneella tietomurrolla
rikollisen kokeilunhalu eli omien kykyjen testaaminen
valtiollinen kybervakoilu.

Peividum: 26.3.2026

Miten tietomurtoa selvitetään?

Tekniseen ympäristöön tehdyn tietomurron selvittäminen tapahtuu useimmiten järjestelmien, sovellusten, palvelinten ja palveluiden lokitietojen avulla.

Lokien avulla tietojärjestelmistä voidaan selvittää

mitä tapahtui
miksi tapahtui
milloin tapahtui.

Lue tietomurroista ja lokitiedoista tarkemmin Traficomin Kyberturvallisuuskeskuksen julkaisusta Opas tietomurtojen havaitsemiseenLekkâs uđđâ laasân..

Peividum: 17.9.2024

Arvioi riskejä ja päätä toimenpiteistä

Kun tiedät kohtalaisella varmuudella, mitä on tapahtunut, arvioi

mitä tapahtuneesta saattaa seurata
millaiset todennäköisyydet eri seurauksien toteutumiseen on.

Riskien arvioinnin avulla voit päättää

mihin toimenpiteisiin on syytä ryhtyä heti lisävahinkojen estämiseksi ja tilanteen ratkaisemiseksi
mihin toimenpiteisiin kannattaa varautua pidemmällä aikavälillä.

Tietomurrolla tai tietovuodolla saattaa olla useita negatiivisia vaikutuksia, kuten

tilanteen selvittelyyn ja korjaukseen liittyvät kulut
oikeudelliset seuraamukset ja niihin liittyvät kulut
poikkeustilanteesta johtuva toiminnan tai palveluiden väliaikainen supistaminen tai keskeytyminen
organisaation julkisuuskuvan heikkeneminen.

Negatiiviset vaikutukset jäävät todennäköisesti sitä pienemmiksi mitä ripeämmin ja vakavammin suhtaudutte tietoturvallisuuden poikkeamiin:

Yrityksen maineelle tietomurtoakin haitallisempaa on, jos myöhemmin selviää, että yritys on yrittänyt peitellä tietomurtoa tai on suhtautunut siihen vähättelevästi.
Oikeudelliset seuraamukset voivat muuttua kovemmiksi, jos lain vaatimiin toimenpiteisiin ei ole ryhdytty heti.
Nopeasti selvitetyn tapauksen kulut ovat pienemmät kuin pitkään jatkuneen poikkeustilan kulut.

Arvio kannattaa perustaa pohdinnalle

kuinka varmasti tietojen tiedetään päätyneen vääriin käsiin
millaisten tietojen turvallisuus on vaarantunut
kuinka laajasti tietoja on päätynyt vääriin käsiin
kuinka todennäköisesti tietoja tullaan käyttämään väärin.

Esimerkiksi jo pelkkä epäilys käyttäjätunnusten ja salasanojen tai arkaluonteisten henkilötietojen vuotamisesta on vakava tilanne. Jos viedyt tiedot ovat puolestaan jo valmiiksi julkisia, ei niiden päätyminen rikollisiin käsiin ole todennäköisesti kovin vahingollista.

Ryhdy lisävahingot estäviin toimiin matalalla kynnyksellä. Keskeistä on ymmärtää, mitkä toimenpiteet ovat pakollisia

lain mukaan
organisaation tekemien sopimusten perusteella.

Esimerkiksi henkilötietojen tietoturvaloukkauksesta on tietyissä tilanteissa ilmoitettava tietosuojavaltuutetulle.

Lisäksi täytyy arvioida, miten pystytään minimoimaan negatiiviset vaikutukset

organisaation toimintaan
organisaation tuottamiin palveluihin
organisaation yhteistyöhön sidosryhmien kanssa.

Peividum: 29.11.2021

Dokumentoi tapahtumat ja toimenpiteet

Pidä tapahtumapäiväkirjaa tapahtumista sekä tehdyistä päätöksistä ja toimenpiteistä.
Varmista, että tapaukseen liittyvien tietojärjestelmien lokitiedot pysyvät tallessa ja muuttumattomina, ja että niistä on kopiot suojatussa paikassa.
Ota varmuuskopiot kaikista tapaukseen liittyvistä dokumenteista. Myös esimerkiksi asiaa käsittelevistä sähköpostiviesteistä.

Tietoja tarvitaan tapauksen selvittämisessä sekä mahdollisessa rikostutkinnassa ja oikeuskäsittelyssä.

Peividum: 2.12.2021

Lah-uv tun tuđâvâš taan siijđo siskáldâsân?

Muistilista

Taat sijđo ij tuáistáážân lah finniimist anarâškielân

Selvitä, miten tietojen turvallisuus on vaarantunut

Toimi ripeästi

Miten tieto murrosta, tietovuodosta tai haavoittuvuudesta voi tulla?

Tietojen ei tiedetä päätyneen vääriin käsiin, mutta tietoturvallisuudessa on havaittu aukko. Mitä teen?

Organisaatiollani on varautumissuunnitelma tai -ohjeistus. Miten toimin?

Kokoa vastaavat henkilöt

Organisaatiossani ei ole edellä mainittuja vastaavia henkilöitä. Mitä teen?

Selvitä, mitä on tapahtunut

Mistä voin saada apua tapahtuneen selvittämiseen?

Millä eri tavoin tietoja voi päätyä vääriin käsiin?

Millaisia tietoja rikolliset pyrkivät saamaan käsiinsä?

Mihin rikolliset yleensä pyrkivät?

Miten tietomurtoa selvitetään?

Arvioi riskejä ja päätä toimenpiteistä

Miten tietovuoto tai tietomurto voi vaikuttaa organisaatiooni?

Millaisin perustein riskiarvio kannattaa tehdä?

Mitä kannattaa huomioida, kun toimenpiteistä päätetään?

Dokumentoi tapahtumat ja toimenpiteet

Mitä tapahtumapäiväkirjaan kirjataan?

Lah-uv tun tuđâvâš taan siijđo siskáldâsân?