null kriisiharjoitus

Tehtävä on annettu: 17 000 opiskelijan tiedot ovat uhattuna

Maria Virkkula

Tilanne on vähintäänkin kammottava. Arvostetun, fiktiivisen Guilderin yliopiston terveysdataa sisältävässä tietokannassa on havaittu tietovuoto. Tilanteella voi olla hirvittäviä vaikutuksia niin opiskelijoiden yksityisyydelle kuin yliopiston maineelle.

15 000 opiskelijan yliopisto tunnetaan laadukkaasta taloustieteiden, liiketalouden, lääketieteen, oikeustieteiden, humanististien tieteiden ja kielitieteiden opetuksestaan. Eräs tutkimusryhmistä pitää tietokantaa opiskelijoista epidemioiden tutkimustaan varten. Käyttöliittymän on ohjelmoinut yksi ryhmän väitöskirjatutkijoista.

On käynyt ilmi, että kaikkien yliopistojen yhteisestä tietoverkosta on voinut päästä haavoittuvaiseen tietokantaan käsiksi. Yliopiston kriisinhallintatiimi on koottu kasaan, jossa joukko vastuuhenkilöitä yrittää päästä tilanteen herroiksi.

Paikalla on hallinnosta vastaava vararehtori, tietoturvapäällikkö, tietosuojavastaava, tiedottaja ja tiedekunnan johtaja. Kriisinhallintaharjoitus voi alkaa.
 


 

Selvitä faktat

Harjoituksen ryhmänvetäjä, Aalto-yliopiston kyberturvallisuusasiantuntija Timo Salin (kuvassa yllä) esittelee tiimille tehtävän.

Tiimin tulee ensin pohtia, millaisia asioita heidän täytyy kriisin aikana hoitaa – kuten tiedotus. Ja millaisia asioita he tarvitsevat suoriutuakseen tehtävästä kunnialla, kuten dokumentaatio, puhelinlinjat.  

Tämän jälkeen tulee pureutua itse ongelmaan ja selvittää faktat: mitä on tapahtunut, mistä tapahtunut johtuu, mitkä ovat mahdolliset seuraukset, kehen tämä vaikuttaa ja miten. Mitä tapahtuneesta seuraa yliopiston maineelle. Onko yliopisto tilanteessa uhri vai jopa vastuussa siitä, että tilanne on päässyt syntymään?

Rajaa analyysi tapahtuneen syistä alussa oleellisimpiin asioihin, harjoituksen järjestäjä vinkkaa.

Tavoitteena on harjoitella suoriutumaan ja viestimään tilanteessa, jossa tieto on puutteellista. Tiimillä on käytettävänään kaksi oljenkortta. Teknisissä asioissa ryhmää opastaa CSC:n tietoturvapäällikkö Urpo Kaila. Muita mahdollisia sidosryhmiä näyttelee koko harjoituksen organisoija, kriisihallintaharjoituksista vastaava tuoteomistaja Charlie van Genuchten Surfnetista.

Ryhmä saa kaipaamansa lisätietoa kuitenkin vain, jos osaa esittää oikeat, täsmälliset kysymykset.


Rajataan vahingot

Pohdiskelevan näköinen tiimi käärii hihansa ja alkaa selvittää, pitävätkö annetut tiedot paikkansa.

– Aloittaisimme olemalla yhteydessä järjestelmän ylläpitoon, onko tietoa vuotanut kone irrotettu verkosta, onko lokitieto otettu talteen ja kopioitu jonnekin muualle, tiimi lähtee purkamaan tilannetta.

Ryhmä lähtee selvittämään, onko olemassa kuvausta siitä, missä tietoa on tallennettuna, minkälaista tietoa se on ja mihin se on vuotanut. Ensisijaisen tärkeäksi katsotaan, että tieto uhkaavasta tilanteesta siirtyy tietosuojavastaavalle, jotta hän voi tehdä tapahtuneesta ilmoituksen määräajan puitteissa.

Kun on varmistuttu, että oikea palvelin on löydetty ja poistettu verkosta, alkaa ryhmä valmistella tiedotusta ja sopia tarkempaa työnjakoa.

Tosielämässä tietosuojan ja tietoturvan asiantuntijoina toimivien tiimiläisten huomio kiinnittyy helposti asioihin, joita he oikeasti hoitaisivat työssään. Kriisiharjoituksen kipakka tahti palauttaa kuitenkin nopeasti ryhmän huomion takaisin viestintään.

Kymmenen minuuttia harjoituksen alusta ryhmä saa Kyberturvallisuuskeskuksesta soiton.

– Emme voi olla varmoja siitä, kuinka kauan tietokanta on ollut haavoittuvainen ja paljonko dataa on vuotanut eteenpäin.

Kriisinhallintatiimi kertoo havainneensa haavoittuvuuden, sulkeneensa pääsyn järjestelmään ja selvittävänsä asiaa.
 


Totuus valkenee!

Ryhmä lähtee kaivamaan lisätietoa ja varautuu tiedottamaan mahdollisesti uhan alle joutuneita henkilöitä. Osa haluaa odottaa tiedottamisen kanssa siihen hetkeen, että tiedettäisiin tarkemmin, miten tietovuoto näitä henkilöitä koskee ja mitä se heille tarkoittaa.

Tiimi sopii tarkemmin keskinäisestä työnjaosta ja tilannehuoneen johdosta. Kriisihuoneen johtaja päättää tiedotusvastaavan ja vararehtorin kanssa, miten yhteydenpito sidosryhmiin organisoidaan. Samalla kun tarkempia raportteja odotetaan tietoturvapuolelta, tietosuojavastaava valmistelee tiedottajan kanssa ulostuloa.

Lisää vettä myllyyn syöttää viisi minuuttia myöhemmin tutkimusryhmältä vararehtorille tuleva viesti, jonka mukaan tietokanta on sisältänyt seuraavat tiedot: nimet, sähköpostiosoitteet, opiskelijatunnukset, iän, sukupuolen sekä henkilön terveystiedot. Tiedot ovat kertyneet vuodesta 2008 lähtien, mikä tarkoittaa, että lähes 17 000 henkilön tiedot ovat vaarassa.

Tietosuojavastaava tekee välittömästi tietosuojavaltuutetulle ilmoituksen tietosuojaloukkauksesta. Tietoturvapäällikkö tekee tapauksesta ilmoituksen turvallisuusviranomaiselle.
 


 

Kiristäminen on alkanut

Puhelin soi jälleen.

IT-tuki ilmoittaa, että opiskelijoille on tullut kyselyjä oudoista sähköposteista, joissa vaaditaan lunnaita henkilökohtaista dataa vastaan. He haluavat pikaisesti vastauksen, mitä on tapahtunut ja onko kyseessä huijaus.

Kriisinhallintaryhmä ohjeista IT-tukea keräämään kaikki tapaukset ylös ja lähettämään viestit talteen tietoturvapäällikölle. Käyttäjille vastataan, ettei viesteihin tule reagoida. Odotetaan lisätietoa.

Tiedottaja ja vararehtori valmistellaan kysymyksiä varten, sillä ryhmä olettaa seuraavan puhelinsoiton tulevan jo toimittajalta. Sovitaan, että puhelun tullessa se ohjataan vararehtorille.

Vielä kun ryhmä saa kuulla, että tiedot ovat vuotaneet Pastebin-vuotosivustolle, median kiinnostuksen katsotaan olevan varmaa.

Ryhmä valmistelee tiedotetta, jossa kerrotaan tähän mennessä tiedetyt faktat.

Lisäksi valmistaudutaan tiedottamaan vuodon kohteena oleville, rekisteröidyille henkilöille vuodon sisällöstä ja keräämään heidän yhteystietonsa. Rekisteröidyille kerrotaan kaikki relevantti tieto: mitä tietoa on vuotanut ja että sitä on käytetty kiristämiseen. Ryhmä neuvoo jälleen olemaan vastaamatta kiristyskirjeisiin.
 

Päätökset joutuvat testiin

Pelätty soitto kaikuu tilassa: Toimittaja soittaa tiedottajalle vaativasti tentaten.

– Miten on mahdollista, että tieto on päässyt vuotamaan? Onko tieto vuotanut työntekijän kautta? Oletteko ottaneet yhteyttä uhreihin? Miten kompensoitte tämän uhreille? Miksi yliopistoilla ylipäänsä on tällainen tietokanta?

 
"Valtava tietovuoto Guilderin yliopistossa: 17 000 opiskelijan tiedot vaarassa."
 

Puhelu siirretään vararehtorille sovitun mukaisesti.

Vararehtori selvittää rauhallisesti, että kyse on tietoturvahaavoittuvuudesta johtuneesta tietomurrosta eli rikoksesta. Joku on hakenut yksityistä tietoa, ja aiheesta on oltu yhteydessä tietoturvaviranomaisiin. Hän vakuuttaa, että asia on niin hallinnassa kuin se tässä vaiheessa voi olla.

Asianosaisia on informoitu ja jatkotoimenpiteitä selvitellään vielä. Kyseessä on yliopiston normaaliin toimintaan liittyvää tietoa, ja kyseiset henkilöt ovat hyväksyneet, että tiedot löytyvät tietokannasta.

Toimittajan soiton jälkeen ryhmä tekee rikosilmoituksen.

Tämän jälkeen otsikot huutavat: "Valtava tietovuoto Guilderin yliopistossa: 17 000 opiskelijan tiedot vaarassa".
 

Tilanne raukeaa

Ryhmä päättää, että viimeistään tässä vaiheessa IT-tukea on ohjeistettava tiedotteen lähtemisestä ja muista toimenpiteistä. Lisäksi on korostettava sitä, että tilanne on hallinnassa ja haavoittunut järjestelmä otettu pois käytöstä. Myös muulle henkilökunnalle on tiedotettava asiasta.

Jatkossa painotettaisiin entistä tarkemmin tutkimusta varten kerätyn tiedon anonymisointia, eli henkilöt ovat tunnistamattomia.

Kun harjoituksen päätteeksi opetus- ja kulttuuriministeriö vielä tivaa tietoja, on yliopistolla vastaukset kysymyksiin valmiina. Tietovuoden perimmäinen syy oli siinä, että järjestelmä oli teknisesti haavoittuva.

Jatkossa yliopiston on pidettävä entistä parempi huoli järjestelmistä, joihin henkilötietoja tallennetaan. Katsotaan, ettei siellä ole tallennettuna tietoja, joita ei järjestelmissä tarvitse olla.
 

Jälkiviisaudet:

  • Tutkitaan, missä muualla on sama haavoittuvuus
  • Parannetaan tietoturvauhkien valvontaan liittyviä prosesseja
  • Laaditaan valmiita viestintäpohjia ja esitäytettyjä lomakkeita tietosuojavastaavalle
  • Uskalletaan sanoa, että asiasta tiedotetaan lisää, kun tiedetään tarkemmin yksityiskohdista
  • Viestintä tulee keskittää ja roolittaa
  • Tilannehuoneeseen kuuluvien vastuiden proaktiviinen jalkautus asianomaisille, mielellään jo ennen kriisitilannetta
  • Varaudutaan myös tilanteisiin, joissa joku vastuuroolissa on estynyt tai poissa
  • Lisää harjoittelua kaikille
     

Kriisinhallintaharjoitus pidettiin Seinäjoen ammattikorkeakoululla järjestetyillä korkeakoulujen tietoturvapäivillä. Järjestelyistä vastasivat SEAMKin Jarmo Jaskari ja Asmo Myllyaho sekä Urpo Kaila CSC:ltä. Kirjoitusta varten seurattiin yhtä harjoitukseen osallistuneista tiimeistä. Tiimissä olivat Jukka Tuomela (Tampereen yliopisto), Hannu Hirvonen (Vaasan yliopisto), Maria Rehbinder (Aalto-yliopisto), Mikael Albrecht (Hanken), Dennis Holtlund (Åbo Akademi), Timo Salin (Aalto-yliopisto), Vesa Gynther (Haaga-Helia), Göran Jansson (Novia) sekä Jouni Kangas (Vaasan yliopisto).

PÄÄKUVA: ADOBE STOCK
 

Lue myös: Harjoittelu varmistaa kriisitilanteisiin