Office 365-informationssäkerhetskränkning

Office 365-dataintrång

När utomstående personer fått en användarkod och ett lösenord i sin besittning till exempel till följd av fiske, har de nästan alltid använt dem för inloggning till e-posten, Skype och OneDrive-disken. Syftet med denna anvisning är att ge handledning till organisationer som faller offer för en sådan Office 365-informationssäkerhetskränkning.

Enligt Microsoft själv kan ”en angripare med stulna koder logga in till Office 365-e-posten, SharePoint-filer och filer som lagrats i OneDrive”. Källa: Responding to a compromised email account in Office 365, artikel på Microsofts webbplats.

Åtgärder vid en personuppgiftsincident

När en personuppgiftsincident ägt rum, ska den personuppgiftsansvarige vidta följande åtgärder:

1.    Säkerställa att angreppet inte längre pågår.
2.    Utreda omfattningen på angreppet vad gäller personuppgifter.
3.    Begära innehavaren att utreda vilka personuppgifter som finns på hans eller hennes e-postkonto.
4.    Utreda omfattningen och arten på de personuppgifter som läckt.
5.    Göra en riskbedömning över om en hög risk orsakats för personen.
6.    Underrätta din organisation om personuppgiftsincidenten.
7.    Ge anvisningar om de nödvändiga åtgärderna.
8.    Göra en anmälan till dataombudsmannen inom 72 timmar från upptäckten.

OBS! Vid ett intrång som gäller Office 365-konton har angriparna sannolikt laddat ner posten på hela kontot via en webbläsare.

Anmälan om personuppgiftsincident

1.    En personuppgiftsincident ska anmälas till dataombudsmannens byrå.
2.    Om personuppgiftsincidenten sannolikt lett till en hög risk för de registrerade, ska också de personer som är föremål för incidenten underrättas om detta (meddelande enligt artikel 33 i dataskyddsförordningen).

Anmälan om personuppgiftsincident till dataombudsmannens byrå

Efter att ha mottagit en anmälan, ger dataombudsmannens byrå den personuppgiftsansvarige råd och handledning om skydd av personuppgifter. En anmälan om personuppgiftsincident hjälper också organisationens ledning att skapa en lägesbild. Vid behov kan dataombudsmannen beordra organisationen att iaktta sina skyldigheter i enlighet med dataskyddsförordningen.

I anknytning till ett Office 365-angrepp begär dataombudsmannens byrå vanligen följande tilläggsutredningar. Uppgifterna fungerar också som dokumentation över personuppgiftsincidenter. Vid behov är det möjligt att begära till exempel fler logguppgifter.

Tilläggsuppgifter till anmälan om en personuppgiftsincident vid ett Office 365-dataintrång

1. Har olovliga vidarebefordringsregler kommit till kontona?
2. Om ja, till vilken e-postadress leder de?
3. Har olovliga inloggningar till kontot förekommit under denna tid (till exempel audit log för Azure AD-kod)?
4. Om inloggning ägt rum, har e-postmeddelanden laddats ner (till exempel Office 365 Exchange-loggar)?
5. Har OneDrive-eller Sharepoint-tjänster varit tillgängliga på kontot?
6. Finns det personuppgifter i e-posten, OneDrive eller Sharepoint-tjänsterna på kontona?
7. Om detta är fallet, hur många personers uppgifter finns i dessa tjänster och till vilka personuppgiftskategorier hör dessa (till exempel namn, personbeteckning, e-post, adress)?
8. Har ni funderat på att använda multifaktorautentisering (MFA)?
9. Hur mycket och vilka personuppgiftskategorier innehåller organisationens Global Address List?
10. Överlämna till dataombudsmannens byrå SIGN-INS-loggen för Azure AD från angreppstiden (csv-filen) vad gäller de läckta koderna.
11. Överlämna det e-postmeddelande som angriparna sänt, inklusive länkar.
12. Överlämna mailtrace-loggen vad gäller de e-postmeddelanden som angriparna sänt.

Observera att trots att Office 365:s lösenord byts, fungerar koden ännu flera timmar eller dagar med det gamla lösenordets toke-uppgifter, om angriparen loggat in på kontot. Följaktligen upphör inte utnyttjandet av själva koden direkt efter bytet av lösenordet.

Vad gäller användning av MFA, lönar det sig att observera att säkerheten inte förbättras, om OWA/EWS/Activesync-inloggningssätt som fungerar med användarkoder och lösenord fortsättningsvis används.

Länkar

Office 365-anvisningar på Microsofts webbplats:
Five steps to securing your identity infrastructure
Responding to a Compromised Email Account in Office 365

Cybersäkerhetscentrets anvisning (på finska):
Suojautuminen Microsoft Office 365 -tunnusten kalastelulta ja tietomurroilta