1. Kuhu teavitada: RIA/CERT-EE “Raport” (praktiline kanal)

Kui oled asutus või teenuseosutaja ja sul on vaja anda RIA-le/CERT-EE-le detailne intsidenditeavitus, siis tee seda Raporti keskkonnas:

RIA CERT-EE raportimisportaal (Raport): https://raport.cert.ee
Lisalugemine RIA juhendis: “Teavita küberintsidendist”

RIA ütleb ka üsna inimlikult: lihtsa teavituse võib saata e-kirjaga, aga detailne (ja praktikas “korrektne”) läheb Raporti kaudu.

Raportis sa:

• kirjeldad intsidenti (mis juhtus, millal, mis teenust mõjutas),
• märgid mõju ja põhjenduse, miks see on “oluline”,
• lisad teadaolevad indikaatorid, ulatuse ja esialgsed meetmed,
• ja saadad selle otse riiklikule kontaktile.

2. Millal teavitada: kell hakkab tiksuma, kui teada saad

A) Esmane teade: 24 tunni jooksul

Teenuseosutaja esitab RIA-le teate viivitamata, kuid hiljemalt 24 tundi pärast teadasaamist, kui intsident:

• mõjutab oluliselt süsteemi turvalisust või teenuse toimepidevust, või
• oluline mõju ei ole veel “silmanähtav”, aga seda võib mõistlikult eeldada.

B) Intsidenditeade (täpsustus): 72 tunni jooksul

Kui tegu on olulise mõjuga intsidendiga, tuleb esitada täpsustav intsidenditeade viivitamata, kuid hiljemalt 72 tunni jooksul pärast teadasaamist.

C) Vahearuanne RIA taotlusel

Kui küberintsident ei ole kiiresti lahendatav või RIA vajab olukorrast jooksvalt täpsemat ülevaadet, võib RIA nõuda vahearuande esitamist.

Vahearuandes tuleb kirjeldada:

• millises faasis intsidendi lahendamine parasjagu on,
  
• kas ja millised meetmed on juba rakendatud,
  
• kas mõju teenuse toimepidevusele või turvalisusele on muutunud,
  
• ning millised järgmised sammud on planeeritud.
  

D) Lõppraport: 1 kuu jooksul

Teenuseosutaja esitab lõppraporti 1 kuu jooksul intsidenditeate esitamisest. Kui intsident pole selleks ajaks lahendatud, käsitletakse seda vahearuandena ja lõpparuanne tuleb esitada 1 kuu jooksul pärast küberintsidendi lahendamist.

Ehk siis:
24h = “me teame, et midagi juhtus”
72h = “me teame juba rohkem ja anname täpsema pildi”
1 kuu = “siin on tervik: põhjus, mõju, meetmed, õppetunnid”

3. Millal on intsident KüTS mõttes “olulise mõjuga”?

KüTS § 8 annab rea kriteeriume. Oluline mõju on näiteks siis, kui:

• riskianalüüsi järgi on tagajärgede raskus vähemalt “raske”,
• teenuse katkestus ületab lubatud maksimaalse katkestuse aja,
• häiritud saab teise teenuseosutaja toimepidevus,
• tuleb rakendada riskianalüüsis või taastamisplaanis kirjeldatud erakorralisi abinõusid,
• on tekkinud või võib tekkida märkimisväärne kahju.

Lisaks: kui mõju ulatub teenuse häirena ka vähemalt ühte teise EL liikmesriiki, loetakse see KüTS järgi alati olulise mõjuga intsidendiks.

4. Kui sul on majutus / teenusepartner: “outsourcing ei tähenda out-of-responsibility”

Kui sa volitad süsteemi haldamise või majutad süsteemi teise isiku juures, siis teenuseosutajana vastutad sina, et partner teavitab sind hiljemalt 24 tunni jooksul pärast intsidendist teada saamist.

5. Kas pean teavitama ka kliente või avalikkust?

KüTS ütleb, et asjakohasel juhul tuleb teavitada mõistliku aja jooksul isikuid, keda intsident või oluline küberoht võib mõjutada, ja anda (võimalusel) juhised, mida nad saavad teha.

Ja kui avalikkuse teavitamine on vajalik intsidendi ennetamiseks/lahendamiseks või üldsuse huvides, võib RIA avalikkust teavitada või nõuda, et teeksid seda sina (pärast konsulteerimist).

6. Vabatahtlik teavitamine intsidentidest

KüTS võimaldab ka vabatahtlikku teavitamist – ja see on alakasutatud, aga tegelikult väga mõistlik tööriist. Tihti kardetakse, et see võib tuua tahtmatut tähelepanu ettevõttele või viidata, et midagi on ettevõttes valesti, kuid tegelikkuses on see abiks nii ettevõttele (RIA-lt võib saada head nõu) kui ka RIA-le, mis tähendab, et nad saavad teada, mis on võimalikud uued trendid.

RIA-le võib:

• teenuseosutaja vabatahtlikult teatada küberintsidendist, turvahaavatavusest või küberohust;
  
• muu isik (nt partner, spetsialist, teadlane) teatada olulise mõjuga küberintsidendist või ohust.
  

Defending Data juhend ja vormipakett aitab sul teavitused teha õigel ajal ja õiges mahus. Komplekt sisaldab 4 praktilist vormi:

• Esmane teade (24 h) – kui tead, et midagi juhtus
  
• Intsidenditeade (72 h) – kui pilt on selgem
  
• Vahearuanne – RIA taotlusel
  
• Lõppraport (1 kuu) – tervikpilt ja õppetunnid
  

Vormid aitavad:

• täita KüTS § 8 nõudeid korrektselt,
  
• anda RIA-le just seda infot, mida oodatakse,
  
• hoida ajajoont ja otsused selged ka hiljem.
  

Küberintsidentidest teavitamise dokumendid - 49 EUR

8. KKK - korduma kippuvad küsimused – küberintsidentidest KüTS-i järgi teavitamine

Millal peab küberintsidendist RIA-le teatama?

KüTS järgi tuleb küberintsidendist RIA-le teatada viivitamata, kuid hiljemalt 24 tunni jooksul pärast intsidendist teada saamist, kui sellel on või võib olla oluline mõju.

Kuidas küberintsidendist RIA-le teatada?

Ametlik ja soovitatav kanal on RIA/CERT-EE Raporti keskkond aadressil raport.cert.ee, kus esitatakse intsidendi kirjeldus, mõju ja rakendatud meetmed.

Kas küberintsidendist võib RIA-le teatada ka vabatahtlikult?

Jah. KüTS võimaldab vabatahtlikku teavitamist küberintsidentidest, turvahaavatavustest ja küberohtudest ning turvahaavatavusest võib teatada ka anonüümselt.

Loe järgmisest postitusest selle kohta, mida nõutakse sinu ettevõttelt sinu tarnijate osas.

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.