Microsoft 365 -personuppgiftsincidenter

När utomstående personer fått en användarkod och ett lösenord i sin besittning till exempel till följd av fiske, har de använt dem för inloggning till e-posten och OneDrive-disken. Syftet med denna anvisning är att ge handledning till organisationer som faller offer för en M365-personuppgiftsincident. 

En angripare kan med stulna koder logga in till M365-tjänster och få tillgång till exempel till e-posten, SharePoint-filer, filer som lagrats i OneDrive och Teams. 

Åtgärder vid en personuppgiftsincident

När en personuppgiftsincident ägt rum, ska organisationen vidta följande åtgärder:

1.    Säkerställa att angreppet inte längre pågår.
2.    Utreda omfattningen på angreppet vad gäller personuppgifter.
3.    Begära innehavaren att utreda vilka personuppgifter som finns på hans eller hennes e-postkonto.
4.    Utreda omfattningen och arten på de personuppgifter som läckt.
5.    Göra en riskbedömning över om en hög risk orsakats för personen.
6.    Underrätta din organisation om personuppgiftsincidenten.
7.    Ge anvisningar om de nödvändiga åtgärderna.
8.    Göra en anmälan till dataombudsmannen inom 72 timmar från upptäckten.

Anmälan om personuppgiftsincident

  1. En personuppgiftsincident ska anmälas till dataombudsmannens byrå (meddelande enligt artikel 33 i dataskyddsförordningen). 

    Anmälan om personuppgiftsincident till dataombudsmannens byrå
    ​​​​​​​
  2. Om personuppgiftsincidenten sannolikt lett till en hög risk för de personer som är föremål för incidenten, ska också de underrättas om incidenten (meddelande enligt artikel 34 i dataskyddsförordningen).

    ​​​​​​​Mer infomation om personuppgiftsincidenter

Efter att ha mottagit en anmälan, ger dataombudsmannens byrå organisationen råd och handledning om skydd av personuppgifter. En anmälan om personuppgiftsincident hjälper också organisationens ledning att skapa en lägesbild. Vid behov kan dataombudsmannen beordra organisationen att iaktta sina skyldigheter i enlighet med dataskyddsförordningen.

I anknytning till ett M365-angrepp begär dataombudsmannens byrå vanligen följande tilläggsutredningar. Uppgifterna fungerar också som dokumentation över personuppgiftsincidenter. Vid behov är det möjligt att begära till exempel fler logguppgifter.

Tilläggsuppgifter till anmälan om en personuppgiftsincident vid ett M365-dataintrång

1. Har olovliga vidarebefordringsregler kommit till kontona?
2. Om ja, till vilken e-postadress leder de?
3. Har olovliga inloggningar till kontot förekommit under incidenten (se till exempel Entra IDs sign ins -logg)?
4. Om inloggning ägt rum, har e-postmeddelanden laddats ner (se till exempel Microsoft Purview audit -loggar)?
5. Har OneDrive, Teams eller Sharepoint-tjänster varit tillgängliga på kontot?
6. Finns det personuppgifter i e-posten, OneDrive, Teams eller Sharepoint-tjänsterna på kontona?
7. Om detta är fallet, hur många personers uppgifter finns i dessa tjänster och till vilka personuppgiftskategorier hör dessa (till exempel namn, personbeteckning, e-post, adress)?
8. Har organisationen i bruk multifaktorautentisering (Multifactor Authentication, MFA)?
9. Hur mycket och vilka personuppgiftskategorier innehåller organisationens Global Address List?
10. Överlämna till dataombudsmannens byrå Entra IDs sign-ins -loggen och Purview audit -loggen vad gäller de läckta koderna.
11. Överlämna det e-postmeddelande som angriparna sänt.
12. Överlämna Message trace -loggen vad gäller de e-postmeddelanden som angriparna sänt.

Observera

  • Trots att Office 365:s lösenord byts, fungerar koden ännu flera timmar eller dagar med det gamla lösenordets toke-uppgifter, om angriparen loggat in på kontot. Följaktligen upphör inte utnyttjandet av själva koden direkt efter bytet av lösenordet.
  • Vad gäller användning av MFA förbättras säkerheten inte, om OWA/EWS/Activesync-inloggningssätt som fungerar med användarkoder och lösenord fortsättningsvis används.

Mer information:

Microsofts anvisningar (microsoft.com):

Cybersäkerhetscentrets anvisning (kyberturvallisuuskeskus.fi):