Office 365 -tietoturvaloukkaukset

Office 365 -tietomurrot

Kun käyttäjätunnus ja salasana ovat joutuneet ulkopuolisten haltuun esimerkiksi kalastelun seurauksena, niitä on lähes aina käytetty sähköpostiin, Skypeen ja OneDrive-levylle kirjautumiseen näiden ulkopuolisten toimesta. Tämän ohjeen tarkoitus on ohjata organisaatioita, jotka joutuvat tällaisen Office 365 tietoturvaloukkauksen kohteeksi.

Microsoftin oman ilmoituksen mukaan ”varastettuja tunnuksia käyttämällä hyökkääjä voi kirjautua käyttäjän Office 365 -sähköpostiin, SharePoint-tiedostoihin sekä OneDriveen tallennettuihin tiedostoihin”. Lähde: Responding to a compromised email account in Office 365, artikkeli Microsoftin verkkosivuilla

Toimenpiteet tietoturvaloukkauksen tapahduttua

Kun tietoturvaloukkaus on tapahtunut, rekisterinpitäjän on tehtävä seuraavat toimenpiteet:

  1. Varmista, että hyökkäys ei ole enää käynnissä.
  2. Selvitä hyökkäyksen laajuus henkilötietojen osalta.
  3. Pyydä tilin haltijaa selvittämään, mitä henkilötietoja hänen sähköpostitilillään on.
  4. Selvitä vuotaneiden henkilötietojen määrä ja laatu.
  5. Tee riskiarvio siitä, onko henkilöille aiheutunut korkeaa riskiä.
  6. Tiedota organisaatiotasi tietoturvaloukkauksesta.
  7. Anna ohjeet tarvittavista toimenpiteistä.
  8. Tee ilmoitus tietosuojavaltuutetulle 72 tunnin sisällä havainnosta.

HUOM! Office 365 -tilien murrossa hyökkääjät ovat todennäköisesti ladanneet koko tilin postin www-selaimen kautta.

Tietoturvaloukkauksesta ilmoittaminen

  1. Henkilötietoihin kohdistuneesta tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle.
  2. Mikäli tietoturvaloukkauksesta on todennäköisesti aiheutunut rekisteröidyille korkea riski, on ilmoitettava myös loukkauksen kohteena oleville henkilöille (tietosuoja-asetuksen 33 artiklan mukainen ilmoitus).

Tietosuojavaltuutetun toimiston tietoturvaloukkausilmoitukseen

Ilmoituksen saatuaan tietosuojavaltuutetun toimisto antaa rekisterinpitäjälle neuvontaa ja ohjausta henkilötietojen suojaamisesta. Tietoturvaloukkausilmoitus auttaa myös tilannekuvan luomisessa organisaation johdolle. Tarvittaessa tietosuojavaltuutettu voi määrätä organisaation noudattamaan tietosuoja-asetuksen mukaisia velvoitteita.

Office 365 -hyökkäykseen liittyen tietosuojavaltuutetun toimisto pyytää tavallisesti seuraavat lisäselvitykset. Tiedot toimivat myös tietoturvaloukkauksen dokumentaationa. Tarvittaessa voidaan pyytää esimerkiksi enemmän lokitietoja.

Tietoturvaloukkausilmoituksen lisätiedot Office 365 -tietomurrossa

  1. Onko tileille tullut luvattomia uudelleenlähetyssääntöjä?
  2. Jos on, mihin sähköpostiosoitteeseen ne johtavat?
  3. Onko tilille kirjauduttu luvattomasti tuona aikana (esimerkiksi Azure AD -tunnuksen audit log)?
  4. Jos kirjautumisia on tapahtunut, onko sähköposteja ladattu (esimerkiksi Office 365 Exchange -lokit)?
  5. Onko tilillä ollut käytössään OneDrive- tai Sharepoint-palveluita?
  6. Onko tilien sähköposteissa, OneDrivessa tai Sharepoint-palveluissa henkilötietoja?
  7. Jos on, kuinka monen henkilön tietoja näissä palveluissa on ja mihin henkilötietoryhmiin ne kuuluvat (esimerkiksi nimi, henkilötunnus, sähköposti, osoite)?
  8. Onko organisaatiossa harkittu käytettäväksi monen tekijän tunnistautumista (MFA)?
  9. Miten paljon ja mitä henkilötietoryhmiä organisaation Global Address List sisältää?
  10. Toimita tietosuojavaltuutetun toimistolle vuodettujen tunnusten osalta niiden Azure AD:n SIGN-INS -loki hyökkäyksen ajalta (csv-tiedosto).
  11. Toimita hyökkääjien lähettämä sähköposti, joka sisältää linkit.
  12. Toimita mailtrace-loki hyökkääjän lähettämien sähköpostien osalta.

Huomioi, että vaikka Office 365:n salasana vaihdetaan, tunnus toimii vielä useita tunteja tai päiviä vanhan salasanan token-tiedoilla, mikäli hyökkääjä on kirjautunut tilille. Näin itse tunnuksen hyödyntäminen ei välttämättä pääty heti salasanan vaihtamisen jälkeen.

MFA:n käytössä kannattaa huomioida myös, että se ei lisää turvallisuutta, jos verkkoon jää vielä käyttöön käyttäjätunnuksella ja salasanalla toimivia OWA/EWS/Activesync -kirjautumistapoja.

Linkkejä

Office 365 -ohjeistusta Microsoftin verkkosivuilla:
Five steps to securing your identity infrastructure
Responding to a Compromised Email Account in Office 365

Kyberturvakeskuksen ohje:
Suojautuminen Microsoft Office 365 -tunnusten kalastelulta ja tietomurroilta