Näin valiolaisten henkilötunnukset ja terveystiedot päätyivät hyökkääjän käsiin
Ohjelmistoyhtiö Vincitin tietosuojavaltuutetulle tekemä ilmoitus paljastaa uutta tietoa joulukuisesta Valioon kohdistuneesta tietoturvahyökkäyksestä, jossa hyökkääjä vei tuhansien ihmisten tiedot.
Hyökkääjä pääsi käsiksi tietoihin Valion it-palvelukumppani Vincitin kautta. Vincit siis myy Valiolle it-palveluita.
STT sai Vincitin ja Valion tekemät ilmoitukset tietopyynnöllä. Vincitin ilmoituksesta käy ilmi, että Vincitin työntekijän koneelta oli vuotanut salasana työntekijän toiminnan seurauksena. Hyökkäys tapahtui 12. joulukuuta. Vincitin ilmoitus on puolestaan päivätty aatonaatolle.
Vincitin toimitusjohtaja Julius Manni kertoo STT:lle, että salasana vuosi työntekijän henkilökohtaiselta koneelta, joka ei ollut osa Vincitin hallitsemia it-ympäristöjä. Hänen mukaansa työntekijän toiminta oli tahatonta.
Käyttäjätunnuksen ja vuotaneen salasanan kautta hyökkääjä kuitenkin pääsi sisälle yhteen Vincitin asiakkaan suljettuun verkkoon. Mannin mukaan työntekijän käyttäjätunnuksella ei ollut asiakasverkossa oikeuksia järjestelmiin, joissa käsiteltiin henkilötietoja.
– Tässä hyökkäyksessä on useampi eri porras. Yksittäisen peruskäyttäjän tunnuksilla on päästy niin sanotusti linnan muurien etupihalle, Manni sanoo.
Manni sanoo, että Vincitin työntekijä on joutunut rikollisen hyökkäyksen kohteeksi, mutta ei ota kantaa siihen, vaikuttiko työntekijän huolimattomuus asiaan tai rikkoiko työntekijä Vincitin tietoturvaan liittyviä ohjeita.
– Tässä kohtaa sekä Vincitin sisäinen tutkinta että poliisitutkinta on vielä kesken, joten en voi kommentoida tätä.
Tietoturvahyökkäys koski kymmentä Vincitin asiakasyritystä. Muiden asiakkaiden tietoihin hyökkääjät eivät kuitenkaan Vincitin mukaan päässeet käsiksi.
Manni sanoo, että Vincitin työntekijöiden peruskoulutus ja ymmärrys tietoturva-asioista ovat erittäin vahvoja. Hän kertoo, että hyökkäysyrityksiä tapahtuu jatkuvasti, mutta muita merkittäviä onnistuneita yrityksiä Mannin toimitusjohtajakaudella syksystä 2021 lähtien ei ole ollut.
Mannin mukaan hyökkäyksen selvittäminen poliisin kanssa jatkuu. Sitä, mikä taho hyökkäyksen takana on, ei hän halua arvailla.
– Ammattirikollisista on kyse, mutta en lähde spekuloimaan, mitkä heidän taustansa tai motiivinsa ovat.
Manni ei ota tarkemmin kantaa siihen, millaisia digipalveluita Valio yhtiöltä ostaa. Suomalaisyritys Vincit toimii myös Yhdysvalloissa, Ruotsissa ja Puolassa.
Valion tietosuojavaltuutetulle tekemien ilmoitusten mukaan ensimmäinen vihje hyökkäyksestä joulukuun 12. päivä myöhään illalla oli se, että tietoturva hälytti pääkäyttäjätasoisten tunnusten epäilyttävästä käytöstä.
Valiolla alettiin tutkia tilannetta tarkemmin, ja hyökkääjän tietoliikenneyhteys saatiin katkaistua aamuyöllä. Tuolloin kävi ilmi, että hyökkääjä oli onnistunut kryptaamaan parikymmentä palvelinta. Kryptaaminen estää hyökkäyksen kohdetta näkemästä, mitä tietoja on varastettu.
Valio teki ensimmäisen alustavan ilmoituksen tietosuojavaltuutetulle 16. joulukuuta. Useista myöhemmin tehdyistä ilmoituksista käy ilmi, että asian laajuus on paljastunut vaiheittain.
19. joulukuuta saatiin selville, että että Valion Eläkekassan käytössä oleva verkkolevy on todennäköisesti kopioitu kokonaan ja sen tiedot on siirretty ulkomaille.
Julkisesti Valio kertoi asiasta 20. joulukuuta. Vincit ilmoitti samana päivänä tiedotteessa olleensa kyberhyökkäyksen kohteena. Yhteyttä Valion tietomurtoon ei kuitenkaan kerrottu, vaan asiasta kertoi Yle.
Aatonaattona tehdyssä ilmoituksessa Valio kertoo, että vielä julkista ilmoitusta seuraavana päivänä selvisi, että hyökkäys kohdistui luultua laajempaan joukkoon henkilötietoja.
Ilmoitusten mukaan hyökkääjä saattoi saada haltuunsa kaikkien Valion Suomessa työskentelevien työntekijöiden ja maidonhankintaosuuskuntien työntekijöiden nimet, henkilötunnukset, palkkatiedot ja tilinumerot. Tämä tarkoittaa yhteensä noin 5 000 ihmisen tietoja.
Tämän lisäksi hyökkääjä sai mahdollisesti muun muassa noin tuhannen Valion Keskinäisen Vakuutusyhtiön ja Valion Eläkekassan vakuutettujen ja etuudensaajien tiedot. Valio lähetti aatonaattona reilut tuhat kirjettä, joissa se ilmoitti hyökkäyksestä.
STT sai kirjeen tietopyynnöllä tietosuojavaltuutetulta. Kirjeessä kerrotaan, että tietoja muun muassa terveydentilasta ja ansioista saattaa olla hyökkääjän hallussa. Kirjeessä neuvotaan myös harkitsemaan esimerkiksi vappaehtoista luottokieltoa ja tekemään tarvittaessa rikosilmoitus.
Valio kertoo kirjeessä tehneensä tietoturvaloukkauksesta ilmoituksen tietosuojavaltuutetulle, Traficomin kyberturvallisuuskeskukselle, Finanssivalvonnalle sekä rikosilmoituksen poliisille.
Liikenne- ja viestintävirasto Traficomin alaisen kyberturvallisuuskeskuksen tietoturva-asiantuntijan Olli Hönön mukaan vietyjen tietojen määrä on merkittävä.
Hönö kertoo STT:lle, että niin sanotut toimitusketjuhyökkäykset ovat melko harvinaisia.
– Yleisempää on, että hyökkäys kohdistuu suoraan sen varsinaiseen uhriin, Hönö sanoo.
Hönön mukaan Traficomille ja esimerkiksi poliisille on hyödyksi, jos ilmoitus tietomurrosta tehdään mahdollisimman nopeasti.
– Mutta voi olla todella vaikeaa arvioida, miten vakavasta tapauksesta on kyse, että missä vaiheessa ilmoitusta lähdetään tekemään esimerkiksi viranomaisille.
Hönö kertoo, että tietoturvahyökkäyksissä on yleensä motiivina tavalla tai toisella raha.
– Se, että millä tavalla se sitten konkretisoituu, että kiristetäänkö organisaatiota tai yksittäisiä henkilöitä tai kerätään maksukorttien tietoja, varmasti riippuu hyökkääjästä ja toimintatavasta.
Hönön mukaan henkilötunnusten, tilinumeroiden ja terveystietojen avulla on mahdollista yrittää tehdä erilaisia identiteettivarkauksia tai petoksia. Traficom on listannut verkkosivuilleen ohjeita identiteettivarkauksien ja tietovuotojen uhreille.