Kymmenientuhansien suomalaisten tietoja saatettu varastaa virtsankarkailusuojia koskevassa kyberhyökkäyksessä

Westlog arvioi elokuussa tietosuojavaltuutetun toimistoon tekemässään ensi-ilmoituksessa, että murron piirissä oli 100 000 ihmistä. Toimitusjohtaja Ossi Ojanen kertoo STT:lle, että kyseessä oli ensiarvio.

– Se (100  000) oli puhdas arvio tapahtumahetkellä. Se ei ole millään tavalla tarkka määrä, Ojanen sanoo.

STT:n keräämien tietojen perusteella tietomurron piirissä on ollut inkontinenssituotteiden kotiinkuljetusasiakkaita valtaosassa Suomen hyvinvointialueita.

Hyvinvointialueiden toistaiseksi tekemien tiedotteiden ja ilmoitusten mukaan murto on voinut kohdistua yli 36 000 ihmiseen. Ojanen ei kommentoi tarkkaa rekisterissä olleiden hyvinvointialueiden asiakkaiden määrää, koska hänen mukaansa tiedottamisvastuu on rekisterinpitäjällä eli hyvinvointialueella.

Lue myös: Virtsankarkailusuojia kotiin tilanneiden henkilötietoja on saattanut vuotaa

– Minulla ei itse asiassa ole tällä hetkellä olemassa sellaista lukua, mistä näkisin koko määrän, hän sanoo ja kertoo yhtiön välittäneen tietoja eteenpäin rekisterinpitäjille.

Valtaosa hyvinvointialueista murron piirissä

Westlog joutui kiristyshaittaohjelmalla tehdyn hyökkäyksen kohteeksi viime kuun lopussa.

Hyökkäyksestä seurannut tietomurto on tietoturvaloukkausilmoitusten ja hyvinvointialueiden mukaan kohdistunut kymmeniintuhansiin ihmisiin, jotka ovat saaneet Essity-yhtiön Tena-inkontinenssituotteita kotiinkuljetuksena. STT sai tietoturvaloukkausilmoitukset tietopyynnöllä.

Tena-tuotteiden valmistaja Essityn tietosuojaloukkausilmoituksessa mainitaan, että tietovuoto on voinut koskea sen 50 000:ta asiakasta. Joukossa on myös hyvinvointialueiden asiakaskuntaa.

– Olemme tietoisia, että joidenkin (mutta ei kaikkien 50 000:n) yksittäisen asiakkaamme henkilötunnukset ovat altistuneet tietomurrolle, Essityn syyskuisessa tietosuojaloukkausilmoituksessa todetaan.

STT:n keräämien tietojen perusteella tietomurron piirissä on ollut inkontinenssituotteiden kotiinkuljetusasiakkaita valtaosassa Suomen hyvinvointialueita. Tietovuodosta on osaltaan joko tiedottanut tai ilmoittanut tietosuojavaltuutetun toimistolle ainakin 15 Suomen 21 hyvinvointialueesta.

Ojanen ei kommentoi sitä, ovatko kaikki hyvinvointialueet olleet heidän kuljetusasiakkainaan.

– Asiakkaanamme on Oy Essity Finland Ab, ja heidän palveluaan toteutetaan meillä. Hyvinvointialueiden sopimukset on Oy Essity Finland Ab:n kanssa tehtyjä, hän sanoo.

Myös Essityn tietosuojaloukkausilmoituksessa mainitaan arvio, että Westlogin tietomurto on voinut vaikuttaa kaikkiaan 100 000 ihmisen tietosuojaan. Sekä Essity että Westlog arvioivat ilmoitusten perusteella tietomurron vaikutuksia vakaviksi. Niin Westlogin Ojanen kuin Essity ovat myös pahoitelleet tapahtunutta asiakkailleen.

Henkilötunnus annettu joskus tilauksen yhteydessä

Logistiikkayritys Westlog kirjoittaa ilmoituksessaan, että heidän järjestelmissään on ollut asiakkaidensa toimitus- ja asiakasrekisteritietoja, jotka ovat sisältäneet muun muassa asiakkaan osoitteen ja tuotetilaustiedot.

Tietosuojavaltuutetulle tehdyistä ilmoituksista ilmenee myös, että jos Tena-tuotteita tilannut asiakas on ilmoittanut tilauksen yhteydessä henkilötunnuksensa, se on voinut vaarantua. Ilmoitusten mukaan hyvinvointialueen asiakkaan henkilötunnus on ilmoitettu Westlogille, jos asiakas on tilannut omakustanteisesti inkontinenssituotteita.

Toisaalta jo siitä, että on ollut Tena-tuotteiden kotiinkuljetusasiakas, voi päätellä yksityisen terveystiedon. Tena-tuotteet ovat pääosin aikuisille suunnattuja siteitä ja vaippamaisia tuotteita, joita käytetään avuksi virtsankarkailuun.

Sekä Westlog että yhtiön kumppani Essity tekivät vaaditut ilmoitukset viranomaisille, kun verkkohyökkäys ilmeni. Molemmat myös ilmoittivat asiakkailleen tapahtuneesta. Tietomurrosta on tietosuojaloukkausilmoitusten mukaan tehty rikosilmoitus.

Westlogin mukaan asiakkaiden verkkopankki- tai maksukorttitietoja ei ole ollut tietovuotoaineistossa.

Maksuttomien hoitotarvikkeiden saajia

Kaikki hyvinvointialueet ja terveysalan toimijat, joiden asiakkaita tietovuoto on koskenut, eivät ole tiedottaneet asiasta vielä perjantaiaamupäivään mennessä julkisesti. Kaikki eivät myöskään ole kertoneet, kuinka monta heidän asiakastaan on voinut olla tietomurron piirissä.

Tietomurto on koskenut sellaisia hyvinvointialueiden potilaita, joilla on ollut oikeus saada maksuttomina hoitotarvikkeina inkontinenssisuojia kotiinkuljetuksena. Hyvinvointialueet ovat voineet kuitenkin kertoa Tena-kotiinkuljetusasiakkaille suoraan tietovuodosta julkaisematta asiasta tiedotetta.

Aiemmin on tullut jo ilmi, että tuhansiaPäijät-Hämeen (noin 6  200), Pohjois-Pohjanmaan (632), Pirkanmaan, Satakunnan, Varsinais-Suomen ja Pohjanmaan hyvinvointialueiden asiakkaita on voinut olla tietomurron piirissä. Keski-Uudenmaan hyvinvointialue kertoi torstaina, että vuoto voi koskea yli 4 000:ta sen asiakasta. Myös Kanta-Hämeen, Keski-Suomen, Etelä-Pohjanmaan, Pohjois-Karjalan ja Kymenlaakson hyvinvointialueet ovat tiedottaneet verkkohyökkäyksestä, mutta he eivät ole kertoneet asiakasmäärää, jota tietomurto heidän osaltaan voi koskea.

Etelä-Savon hyvinvointialue tiedotti murrosta perjantaina.

STT:n haltuunsa saamista tietosuojailmoituksista ilmenee kuitenkin, että hyökkäys on voinut koskea tuhansia asiakkaita Pohjois-Karjalan (5  022), Itä- Uudenmaan (3  300) ja Länsi-Uudenmaan (9  773) sekä Kymenlaakson (7  604) hyvinvointialueilla. Pohjois-Savon hyvinvointialue on ilmoituksessaan kertonut, että sen asiakkaan Roche Diagnostics -yhtiön tietoja altistui Westlog-murrosta.

Pelkästään hyvinvointialueiden ilmoitusten ja tiedotteiden perusteella vuodossa on voinut vaarantua lähes 36 000 ihmisen henkilötiedot.

Myös Helsingin kaupunki ja erikoissairaanhoidosta Uudellamaalla vastaava Hus on ollut tietovuodon piirissä, mutta molemmissa vasta selvitetään vaikutusten laajuutta.

Helsingin kaupungin ilmoituksen mukaan tietoon hyökkäyksestä reagoitiin syyskuun puolenvälin jälkeen vasta sitten, kun eräs sen työntekijä sattumalta huomasi asiasta maininnan Essityn verkkosivuilla. Asiasta oli tullut kaupungille kuitenkin ilmoitus jo elokuun lopussa.

Myös 500:n varsinaissuomalaisen korvalaiteyhtiön asiakkaan tietoja on voinut vuotaa, ilmenee aineistosta.

Hyvinvointialueet ovat voineet ilmoittaa tietosuojavaltuutetulle murrosta myös STT:n alkuviikosta tekemän tietopyynnön jälkeen.

Haittaohjelma lukitsi tiedot

Westlog joutui 25. elokuuta kyberhyökkäyksen kohteeksi niin, että yrityksen hallussa olleita tietoja kaapattiin ja niihin pääsy lukittiin kiristyshaittaohjelman avulla. Yhtiö sai hälytyksen hyökkäyksestä sen palvelintarjoajalta ja sulki palvelimet pian havainnon jälkeen.

Ossi Ojanen kertoi aiemmin tällä viikolla STT:lle, että tietoihin oli murtauduttu hyödyntäen Cisco-yhtiön VPN-palvelussa ilmennyttä heikkoutta. Ojanen kertoi myös, että Westlog on sittemmin parantanut tietoturvansa tasoa ja käyttänyt resursseja siihen, ettei vastaava toistuisi.

STT:n tiedossa ei toistaiseksi ole, että Westlogilta varastettuja tietoja olisi julkaistu pimeässä verkossa tai yritetty kaupata pimeän verkon kauppapaikoilla.

Hyvinvointialueet ja Essity ovat kehottaneet asiakkaitaan ilmoittamaan poliisille, jos he alkavat epäillä tietojaan käytetyn väärin.

Tietosuojavaltuutetun toimiston sivuilta osoitteesta tietosuoja.fi löytyvät toimintaohjeet, jos joutuu tietoturvaloukkauksen kohteeksi.

Juttua korjattu 2.10.2023 kello 14.07: Jutusta sai alun perin virheellisesti käsityksen, ettei Kymenlaakson hyvinvointialue olisi tiedottanut tietomurrosta. Kymenlaakso oli tiedottanut murrosta 22.9.