Organisaatio on määritelly toimintatavat, joiden avulla kerätään säännöllisesti ajantasaista ja luotettavaa tietoa haittaohjelmista. Tällaisia voivat olla mm. postituslistat, lehdet, torjuntaohjelmistojen toimittajien blogit tai tietoturvaa käsittelevät uutissivustot.

Tietolähteiden avulla pyritään todentamaan haittaohjelmia koskeva tieto, erottamaan huijaukset todellisista haittaohjelmista ja varmistetaan saatujen varoituksien olevan todenmukaisia ja informatiivisia.

With adequate backups, all important data and programs can be restored after a disaster or media failure. To determine your backup strategy, it is important to map / decide on at least the following:

• What systems are on our responsibility to back up?
• How critical is each data asset and how often, based on this, they need to be backed up and to what extent (partial or complete copy)?
• Where are backups stored and how are they protected?
• How long will backups need to be retained?
• What system is used for doing the back up?
• How backup media is destroyed reliably

Olemme sopineet ja kirjanneet käytännöt, joiden avulla aiempi versio ohjelmistosta voidaan palauttaa, ennen julkaisujen toteuttamista.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.

Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:

• kuinka kattavasti kumppani varmuuskopioi tiedot?
• kuinka tiedot ovat tarvittaessa palautettavissa?
• mitä varmuuskopioinnista on sovittu sopimuksissa?

Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:

• onko tietoihin liittyvä varmuuskopiointiprosessi olemassa ja dokumentoitu?
• onko varmuuskopioinnin kattavuus ja toteutussykli tietojen tärkeyden vaatimalla tasolla?

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

• millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
• kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
• kuinka pitkään varmuuskopiot säilytetään?

Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

• mitä tietoja lokiin tallentuu
• kuinka pitkään lokin tiedot säilytetään

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

• onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
• onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
• onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

• rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
• toimintatapoja uusien laitteiden rekisteröintiin
• vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
• pääsynhallintaa koskevia vaatimukset
• organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
• organisaation mahdollisuuksia etähallita laitetta

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

Tiedon merkitsemistavat on määritelty, ne ovat helposti tunnistettavia ja ne kattavat sekä fyysiset että sähköiset tiedot ja omaisuudet. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Henkilöstöä ohjeistetaan merkintöjen tekemisestä.

Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:

• tallennettavien sanomatyyppien muutokset
• lokin tietojen muokkaaminen tai poistaminen
• lokin säilytyskapasiteetin ylittäminen, josta voi seurata tapahtumien ylikirjoittaminen tai jääminen kirjaamatta

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.

Kriittisiä liiketoimintaprosesseja tukevien järjestelmien ohjelmistot ja aineistosisältö katselmoidaan säännöllisesti haittaohjelmien paikallistamiseksi. Kaikki luvattomat tiedostot ja muutokset tutkitaan muodollisesti.

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.

Teknisten haavoittuvuuksien hallintaprosessia seurataan ja arvioidaan säännöllisesti, jotta voidaan varmistaa sen tehokkuus ja vaikuttavuus.

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

• yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
• aikataulutetaan tarvittavat toimenpiteet
• dokumentoidaan kaikki toimenpiteet

Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.

Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

• mobiilaitteiden käyttö ja päivitykset
• tiedon tallentaminen ja varmuuskopiointi
• tietosuoja
• sähköpostin käyttö
• tulosteiden, papereiden ja tiedostojen käsittely
• häiriöistä ilmoittaminen
• huijausten estäminen

Valvomalla pilvipalveluissa jaettujen tietojen määrää voidaan pyrkiä havaitsemaan riskejä, jotka voivat johtaa tiedon luvattomaan paljastumiseen. Tiedostoihin liittyen voidaan esimerkiksi valvoa:

• Ketkä työntekijät jakavat eniten tiedostoja pilvipalveluissa?
• Kuinka usein DLP-käytännöt ovat antaneet hälytyksiä?
• Miten usein DLP-käytäntöjen antamia varoituksia on ohitettu?
• Paljonko tärkeitä tietoja on muissa pilvipalveluissa - DLP-valvonnan ulottumattomissa?

Usein turvallisuustyökalut tarjoavat tavan asettaa hälytyksiä (alert policies), kun organisaation ympäristössä tapahtuu jotain mahdollisesti vaarallista. Esim. Microsoft 365 -ympäristössä on sisäänrakennettuja hälytyskäytäntöjä, jotka pyrkivät varoittamaan pääkäyttäjäoikeuksien väärinkäytöstä, haittaohjelmista, mahdollisista sisäistä ja ulkoisista riskeistä sekä riskeistä tietoaineistojen turvallisuudelle.

Organisaation on tunnistettava tietoturvaan liittyvät tapahtumat tietojärjestelmissä sekä niiden toimintaan liittyvissä ympäristöissä. Näihin tapahtumiin liittyviin muutoksiin reagoimiseksi on luotava hälytyskäytännöt.

Hälytyskäytäntöjä on valvottava aktiivisesti ja niitä on muokattava kokemuksen perusteella.

Verkkoselaimen valinta ja ajantasaisuus vaikuttavat suuresti mm. verkkopalvelujen käyttökokemukseen, toimintaan sekä selailun turvallisuuteen. Kun koko organisaatio käyttää samaa verkkoselainta, ohjeistaminen on helpompaa ja tietoturvallisuus parantuu.

IT on valinnut käytettävän selaimen, valvoo henkilöstön käyttävän oikeaa ja ajantasaista selainta sekä tukee henkilöstöä sen hyödyntämisessä.

Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.

Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

• verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• verkkosivustot tarkistetaan haittaohjelmien varalta

Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.

Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.

Vain ennalta määritellyt, valtuutetut käyttäjät saavat julkaista muutoksia koodiin.

Kehitettävänä, testauksessa ja tuotannossa olevia ohjelmistoja ajetaan eriytetyissä teknisissä ympäristöissä, jotta kehitystyön laatu voidaan varmistaa tuotantoympäristöä mukailevassa ympäristössä ja toisaalta tuotantoympäristöä ei häiritä keskeneräisellä kehityksellä.

Käyttäjien arkaluonteisia tai henkilökohtaisia tietoja ei kopioida ja käytetä kehitysympäristössä.

Kaikista tuotanto- tai asiakaskäytössä oleviin ohjelmistoihin tai omiin IT-palveluihin tehdyistä päivityksistä olisi pidettävä tapahtumalokia.

Ohjelmistopäivityksiä varten olisi toteutettava hallintaprosessi, jotta voidaan varmistaa, että viimeisimmät hyväksytyt korjaustiedostot ja sovelluspäivitykset on asennettu kaikkiin hyväksyttyihin ohjelmistoihin. Ohjelmistojen aikaisemmat versiot olisi säilytettävä varotoimenpiteenä.

Ohjelmistoille ja muulle teknologialle on tietoisesti yksilöity tietolähteet, joita käyttämällä tunnistetaan meille relevantteja teknisiä haavoittuvuuksia ja ylläpidetään tietoa niistä (esim. viranomaiset tai laite- ja ohjelmistovalmistajat). Tietolähteitä arvioidaan ja päivitetään löydettäessä uusia hyödyllisiä lähteitä.

Haavoittuvuuksia voi löytyä suoraan hyödyntämistämme toimittajien järjestelmistä tai monien järjestelmiemme hyödyntämistä open source -komponenteista. On tärkeää seurata useita lähteitä, jotta oleellisista asioista ollaan kärryillä.

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

• ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
• haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
• tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
• tiimi päättää, jatketaanko käsittelyä tietoturvahäiriönä (kiireellisemmin) vai yleisen muutostenhallinnan mukaisesti
• haavoittuvuuden käsittelyä jatkamaan valitaan tarvittavat henkilöt

Riskialttiisiin järjestelmiin liittyvät haavoittuvuudet saavat aina korkean vakavuuden ja ne käsitellään ensimmäisinä.

Suojausjärjestelmät ovat niitä tietojärjestelmiä, jotka ovat käytössä suojatakseen meillä olevaa tietoa, ei niinkään sen käsittelemiseksi.

Arvioimme säännöllisesti eri suojausjärjestelmien toimintaa ja tarvetta uusille järjestelmille.

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä.

Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota.

Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

• voidaanko korjaustiedosto testata ennalta kunnolla?
• onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
• onko korjaustiedosto on saatavilla luotettavasta lähteestä?
• mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
• tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista

Ohjelmistojen hallinnoimattomat asennukset tietokoneille voivat johtaa haavoittuvuuksiin ja tietoturvahäiriöihin.

Organisaation olisi määriteltävä, minkä tyyppisiä ohjelmistoja tai päivityksiä kukin käyttäjä voi asentaa. Ohjeet voivat sisältää mm. seuraavia reunaviivoja:

• vain erikseen nimetyt henkilöt saavat asentaa laitteille uusia ohjelmia
• aiemmin erikseen turvalliseksi määriteltyjä ohjelmia saa asentaa kuka tahansa
• tiettyjen ohjelmistojen käyttö voi olla mahdotonta kaikille
• olemassa olevien ohjelmistojen päivitykset ja tietoturvakorjaukset ovat sallittuja asentaa kaikille

Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö.

Organisaation on tunnistettava verkkosivustojen tyypit, joihin henkilöstöllä tulisi ja toisaalta ei tulisi olla pääsyä.

Organisaation on harkittava seuraavien sivustotyyppien käytön estämistä (joko automaattisesti tai muilla tavoin):

• tiedostojen lataustoiminnon sisältävät verkkosivustot, ellei tätä ole tiettyä liiketoimintatarvetta varten sallittu
• tunnetut tai epäillyt haitalliset verkkosivustot (esim. haittaohjelmia jakavat tai tietojenkalastelusisältöä sisältävät)
• komento- ja ohjauspalvelimet
• laitonta sisältöä jakavat verkkosivustot

Käytämme aina useamman toimittajan haittaohjelmajärjestelmää, jotta todennäköisyys havaita haittaohjelmia paranee.

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö mobiililaitteissa (esim. älypuhelimet, tabletit).

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

Palautuskyky viittaa siihen, miten nopeasti henkilötietojen saatavuus ja pääsy henkilötietoihin voidaan palauttaa fyysisen tai teknisen vian sattuessa.

Eri järjestelmien välisten kellojen synkronointi mahdollistaa hyvän yhteentoimivuuden sekä helpottaa ongelmatilanteiden jäljittämistä sekä tapahtumakulkujen hahmottamista.

Organisaation on käytettävä luotettavaa lähdettä ajan säätämiseksi ja synkronisoimiseksi vähintään omalle toiminnalle kriittisten järjestelmien osalta.