Kyberturvallisuusvirasto CISA:lla ei ollut valmista toimintasuunnitelmaa”, virasto paljastaa
Yhdysvaltain kyberturvallisuusvirasto CISA myöntää, ettei sillä ollut ennen toukokuun tietoturvapoikkeamaa valmista toimintasuunnitelmaa sen käsittelyyn.

Yhdysvaltain kyberturvallisuusvirasto CISA paljasti, ettei sillä ollut toukokuussa valmista varautumissuunnitelmaa tietoturvapoikkeaman varalta. Viraston mukaan henkilöstön oli laadittava toimintasuunnitelma eli ”playbook” tapauksen alkuvaiheessa, kun toimittaja oli huomauttanut julkisesti paljastuneista arkaluontoisista avaimista ja tunnuksista Yhdysvaltain hallituksen järjestelmiin.
CISA, Yhdysvaltain sisäisen turvallisuuden virasto, joka vastaa liittovaltion verkkojen puolustamisesta ja kriittisen infrastruktuurin turvaamisesta, totesi julkaistussa jälkiselvityksessä, että valmiiden toimintasuunnitelmien laatiminen etukäteen on tärkeää. Tavoitteena on varmistaa organisaatioiden valmius reagoida tietoturvapoikkeamiin, sen sijaan että niitä yritettäisiin improvisoida kriisin aikana.
Virasto ei kertonut, kuinka kauan valmiin toimintasuunnitelman puuttuminen viivästytti reagointia. Asiasta uutisoi ensimmäisenä toukokuussa tietoturvatoimittaja Brian Krebs, joka kertoi tietoturvatutkijan havainneen julkisessa GitHub-arkistossa olevia paljastuneita tunnuksia. Nämä tunnukset oli julkaissut CISA:n alihankkijan työntekijä.
Raportin mukaan tutkija oli yrittänyt hälyttää alihankkijaa, mutta ei saanut vastausta. Vasta Krebsin yhteydenoton jälkeen CISA poisti arkiston käytöstä ja mitätöi sekä korvasi paljastuneet tunnukset mahdollisten väärinkäytösten estämiseksi. Virasto kertoi, ettei asiakas- tai muita tietoja vaarantunut, ja kiitti tutkijaa sekä raportoijaa avusta. CISA myönsi, että sen kanavat tietoturvatutkijoiden yhteydenottoja varten eivät olleet riittävän selkeät, ja että muutoksia on tehty.