Funet CERT > Näin teet ilmoituksen tietoturvapoikkeamasta
Sisältö
 
Tehdyt toimenpiteet
This page in English

Näin teet ilmoituksen tietoturvapoikkeamasta

Ilmoituksessa on hyvä kertoa lyhyesti, mitä on tapahtunut ja miten tapahtuma on käynyt ilmi. Jos mahdollista, ilmoitukseen on usein hyvä liittää mukaan lokitietoja, joista voi käydä ilmi esimerkiksi lähde- ja kohdeosoite ja porttinumerot.

On hyvin tärkeää myös ilmoittaa ajankohta, jolloin poikkeama on tapahtunut. Aikaa ilmoittaessa tulee myös muistaa mainita aikavyöhyke, esimerkiksi UTC.

Kun keräät tietoja ilmoitusta varten, varo, ettet vahingossa tuhoa todistusaineistoa esimerkiksi muuttamalla tiedostojen aikaleimoja. Parasta olisi, jos voit ottaa levynkuvan (image) kiintolevystä ja jättää alkuperäisen, murretun koneen kiintolevyt todistusaineistoksi.

Mikäli ilmoitus sisältää luottamuksellisia tietoja, kuten henkilötietoja tai järjestelmäsi konfigutointiin tai turvallisuuteen liittyviä tietoja, pyri käyttämään sähköpostiviestinnässä salausta.

Kun teet ilmoituksen sähköpostitse, saat automaattisen vastauksen järjestelmästämme. Säilytä otsikkorivi sellaisenaan, jos lähetät myöhemmin lisätietoa. Näin viestisi voidaan automaattisesti kytkeä yhteen edelliseen viestiin.

Funet CERT käyttää tietoturvapoikkeamien palvelupyyntöjen käsittelyyn suunniteltua ohjelmistoa.

Esimerkki ilmoituksesta

Ilmoitus voi näyttää esimerkiksi tältä: 
     
    Hei,

    Ylläpitämällemme WWW-palvelimelle www.example.com,  192.0.34.166 
    tulee toistuvasti murtoyrityksiä osoitteesta 10.10.10.10.

    Yritykset näyttävät tältä:

    Jan 15 10:04:02 example sshd[14523]: Illegal user example from
    ::ffff:10.10.10.10

    Murtoyritysten lukumäärä osoitteesta  10.10.10.10  on melko korkea:

    www:/var/log# grep 10.10.10.10 auth.log |wc
    2359 23592 187184

    -> 2359 yritystä!

    Voitteko auttaa lopettamaan nämä murtoyritykset.

    Yrjö Ylläpitäjä

Muista, että muotoseikat eivät ole ratkaisevia, kun teet ilmoituksen Funet CERTille, älä epäröi kirjoittaa vapaamuotoisesti.

Sähköpostiviestien salaus


Mikäli poikkeamaan liittyy luottamuksellisia tietoja tai henkilötietoja on poikkeman käsittelyyn liittyvät sähköpostit hyvä salata. Funet CERT käyttää PGP-salausta luottamukselliseen viestintään.

Tämän järjestelmän avulla pystyt lähettämään ja vastaanottamaan vahvasti salattuja viestejä julkisen verkon yli Funet Certin kanssa, niin että vain sinä ja Funet CERTin asiantuntijat voivat lukea viestejä.

PGP perustuu on avomiin ja julkisiin algoritmeihin, ja siitä on saatavissa akateemiseen käyttöön tarkoitettuja ilmaisia versiota. GPG on ilmainen ohjelmisto. Molemmissa tapauksissa käytön lähtökohtana on sekä julkisen että salaisen salausavaimen käyttö.

PGP-ohjelmaa asennettaessa asennusohjelma luo julkisen avaimen sekä salaisen avaimen, joka suojataan salauslauseella ja tallennetaan turvalliseen paikkaan. Julkisen avaimesi voit jakaa Funet CERTille esimerkiksi WWW-sivun kautta tai sähköpostitse. Funet CERTin julkinen avain on saatavissa WWW-sivuiltamme.

Kun haluat lähettää salatun viestin Funet CERTille, salaa se julkisella avaimellamme, silloin vain me pystymme lukemaan viestin. Kun vastaamme, salaamme viestin sinun julkisella avaimellasi. Tieto siitä, miten PGP-salausta käytetään löydät

Rikosilmoitukset sekä väärinkäyttötapaukset

Vakavaista tapauksista, kuten tietoliikenteen häirintä tai tietomurto, on syytä ilmoittaa myös poliisille. Kyseessä on pääsääntöisesti asianomistajarikos, jolloin ilmoittajan tulee itse tehdä asiasta ilmoitus poliisille. Ilmoituksen voi tehdä paikalliselle poliisille, mutta laajemissa ja vakavimmissa tapauksissa voi myös ottaa suoraan yhteyttä keskusrikospoliisiin

Mikäli poikkeamassa on kyse yksittäisen käyttäjän lievemmästä väärinkäytöstä, esimerkiksi häiritsevästä tai sääntöjen vastaisesta toiminnasta, voit ottaa myös suoraan yhteyttä väärinkäyttöä valvoviin tahoihin. Yhteysosoite on muotoa abuse@organisaatio. Voi myös käyttää whois-palvelua, esim europpalaisen RIPE-järjestön www-palvelua käyttäen.

Miten Funet CERT käsittelee ilmoituksia


Saat automaattivastauksen kun ilmoituksesi on vastaanotettu. Tämän jälkeen Funet CERT ottaa tarvittaessa yhteyttä poikkeaman muihin osapuoliin. Jos osapuolia on useita, kukin saa vain itseään koskevia tietoja.

Kun poikkeamasta on ilmoitettu eteenpäin tai sitä on käsitelty muulla tavoin, kuittaame ilmoituksen hoidetuksi lähettäjälle.

Mikäli toinen osapuoli vastaa tai muuten raportoi tilanteesta, tämä tieto välitetään myös takaisin ilmoituksen tekijälle.

Funet CERT koordinoi


Mikäli poikkeama koskee useita tahoja, Funet CERT voi koordinoida tiedonkulkua. Mikäli poikkeama koskee vain yhtä tai kahta Funetin jäsenorganisaatioita, voimme myös toimia koordinaattorina tai osapuolet voivat itse hoitaa tiedonvälityksen. Otamme kuitenkin mielellään tietoa vastaan tapahtuneesta.

Miksi poikkeamista tulee ilmoittaa CERTille


Tietoturvapoikeamista on hyvä ilmoittaa CERTille koska:
  • Hyökkäyksiin tulee reagoida yhteisesti, kun niitä halutaan torjua
  • Organisaatiossa tietoturvaohjeet edellyttävät ilmoituksen tekemistä
  • Ilmoituksen avulla pystyt torjumaan hyökkäyksen tai muun haitan
  • Tarvitset lisätietoja tai teknisiä ohjeita
  • Kokonaiskuvan saaminen poikkeamista edellyttää yhteistyötä
  • Poikkeama saattaa olla osa laajempaa kokonaisuutta
  • Ilmoituksen avulla voit parantaa tietoisuutta tietoturva-asioista