Microsoft 365 -tietoturvaloukkaukset

Organisaation M365-tiliin kohdistuvassa tietomurrossa kirjautumistiedot ovat joutuneet ulkopuolisten haltuun esimerkiksi kalastelun seurauksena. Varastettujen tunnusten avulla hyökkääjä saa pääsyn M365-tilille ja sillä oleviin tietoihin, kuten sähköposteihin, tiedostoihin ja yhteystietolistoihin. Tämän ohjeen tarkoitus on ohjata organisaatioita, jotka joutuvat M365-tietoturvaloukkauksen kohteeksi. 

​​​​​​​M365-tietomurrossa hyökkääjä voi kirjautua varastetuilla tunnuksilla M365-ympäristön palveluihin ja saada pääsyn muun muassa käyttäjän sähköpostiin, SharePoint- ja OneDrive-tiedostoihin sekä Teamsiin. M365-tietomurto on käytännössä aina henkilötietoihin kohdistuva tietoturvaloukkaus.

Tietosuojavaltuutetun toimiston havaintojen mukaan hyökkääjät käyttävät usein automaattisia työkaluja tilille tallennettujen tietojen kopioimiseen murron yhteydessä. Tiliä pyritään myös hyödyntämään muiden tileihin ja tietojärjestelmiin murtautumisessa organisaation sisällä ja sen sidosryhmissä muun muassa lähettämällä tilien kautta uusia kalasteluviestejä.

Toimi näin loukkauksen sattuessa

Kun tietoturvaloukkaus on tapahtunut, organisaation on tehtävä seuraavat toimenpiteet:

  1. Varmista, että hyökkäys ei ole enää käynnissä.
  2. Selvitä hyökkäyksen laajuus henkilötietojen osalta.
  3. Pyydä tilin haltijaa selvittämään, mitä henkilötietoja hänen sähköpostitilillään ja muissa hänen käytettävissään olevissa tietovarannoissa on talletettuna.
  4. Selvitä vuotaneiden henkilötietojen määrä ja laatu.
  5. Dokumentoi kaikki tietoturvaloukkaukseen liittyvät havainnot ja tehdyt toimenpiteet sekä ota kopiot palvelun keskeisistä lokeista (Entra ID sign-ins, Microsoft Purview audit).
  6. Tee riskiarvio siitä, onko henkilöiden tietosuojalle aiheutunut korkeaa riskiä.
  7. Tiedota organisaatiotasi tietoturvaloukkauksesta.
  8. Anna ohjeet tarvittavista toimenpiteistä.
  9. Tee ilmoitus tietosuojavaltuutetulle 72 tunnin sisällä havainnosta.

Ilmoita henkilötietojen tietoturvaloukkauksesta 

  1. Tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle (tietosuoja-asetuksen 33 artiklan mukainen ilmoitus). 
    ​​​​​​​
    ​​​​​​​Tietosuojavaltuutetun toimiston verkkolomake tietoturvaloukkausilmoitukseen
     
  2. Jos tietoturvaloukkauksesta todennäköisesti aiheutuu korkea riski loukkauksen kohteena olevien henkilöiden oikeuksille ja vapauksille, on loukkauksesta ilmoitettava myös heille ilman aiheetonta viivytystä (tietosuoja-asetuksen 34 artiklan mukainen ilmoitus). 

    ​​Lisätietoa tietoturvaloukkauksista ja ilmoitusvelvollisuudesta 

Kun tietosuojavaltuutetun toimisto on saanut ilmoituksen, se antaa organisaatiolle neuvontaa ja ohjausta henkilötietojen suojaamiseksi. Tietoturvaloukkausilmoitus auttaa myös organisaatiota tilannekuvan luomisessa johdolle. Tarvittaessa tietosuojavaltuutettu voi määrätä organisaation noudattamaan tietosuoja-asetuksen mukaisia velvoitteita.

M365-hyökkäyksen osalta tietosuojavaltuutetun toimisto pyytää tavallisesti seuraavat lisäselvitykset. Tiedot auttavat myös organisaatiota tietoturvaloukkauksen dokumentoinnissa. Tarvittaessa voidaan pyytää esimerkiksi täydentäviä lokitietoja.

Tietoturvaloukkausilmoituksen lisätiedot M365-tietomurrossa

  1. Onko tileille lisätty luvattomia uudelleenlähetyssääntöjä?
  2. Jos on, mihin sähköpostiosoitteeseen ne johtavat?
  3. Onko tilille kirjauduttu luvattomasti tietoturvaloukkauksen aikana (tarkista esimerkiksi Entra ID -tunnuksen sign-ins loki)?
  4. Jos kirjautumisia on tapahtunut, onko sähköposteja käsitelty tai ladattu (tarkista esimerkiksi Microsoft Purview audit -lokit)?
  5. Tarkista onko tilille oikeutettu uusia ohjelmistoja (esimerkiksi eM Client tai PERFECTDATA Software).
  6. Onko tilillä ollut käytössä OneDrive-, Teams- tai Sharepoint-palveluita?
  7. Onko tilien sähköposteissa, OneDrivessa, Teamsissa tai Sharepoint-palveluissa henkilötietoja?
  8. Jos on, kuinka monen henkilön tietoja näissä palveluissa on ja mihin henkilötietoryhmiin ne kuuluvat (esimerkiksi nimi, henkilötunnus, sähköposti, osoite)?
  9. Onko organisaatiossa käytössä monimenetelmäinen todentaminen? (Multifactor Authentication, MFA, monivaiheinen tunnistautuminen)
  10. Tarkista ettei tilin monimenetelmäisen todentamisen asetuksia ole muutettu (esimerkiksi lisätty Microsoft authenticator tai SMS-varmennus).
  11. Miten paljon ja mitä henkilötietoryhmiä organisaation yleinen osoiteluettelo (Global Address List) sisältää?
  12. Toimita vuodettujen tunnusten osalta niiden Entra ID:n sign-ins-loki ja Purview audit-loki hyökkäyksen ajalta (csv-tiedosto).
  13. Toimita mahdollinen hyökkääjän lähettämä kalasteluviesti.
  14. Toimita Message trace -lokit hyökkääjän tililtä lähettämien sähköpostien osalta.
    Lisätietoa Microsoftin verkkosivuilla

Huomioi​​​​​

  • Tunnuksen hyödyntäminen ei välttämättä pääty heti salasanan vaihtamisen jälkeen. Vaikka salasana vaihdetaan, tunnus toimii vielä useita tunteja tai päiviä vanhan salasanan token-tiedoilla, jos hyökkääjä on kirjautunut tilille. 
  • Monimenetelmäinen todentaminen (MFA) ei lisää turvallisuutta, jos käyttöön jää vielä rinnakkaisia käyttäjätunnuksella ja salasanalla toimivia OWA/EWS/Activesync -kirjautumistapoja.

Lisätietoja:

Microsoftin ohjeita (microsoft.com):

Kyberturvallisuuskeskuksen ohjeita (kyberturvallisuuskeskus.fi):