Uutta tietoa Valioon kohdistuneesta tietoturvahyökkäyksestä

Mannin mukaan hyökkäyksen selvittäminen poliisin kanssa jatkuu. Sitä, mikä taho hyökkäyksen takana on, ei hän halua arvailla.

– Ammattirikollisista on kyse, mutta en lähde spekuloimaan, mitkä heidän taustansa tai motiivinsa ovat.

Manni ei ota tarkemmin kantaa siihen, millaisia digipalveluita Valio yhtiöltä ostaa. Suomalaisyritys Vincit toimii myös Yhdysvalloissa, Ruotsissa ja Puolassa.

Laajuus ei paljastunut heti

Valion tietosuojavaltuutetulle tekemien ilmoitusten mukaan ensimmäinen vihje hyökkäyksestä joulukuun 12. päivä myöhään illalla oli se, että tietoturva hälytti pääkäyttäjätasoisten tunnusten epäilyttävästä käytöstä. 

Valiolla alettiin tutkia tilannetta tarkemmin, ja hyökkääjän tietoliikenneyhteys saatiin katkaistua aamuyöllä.

Tuolloin kävi ilmi, että hyökkääjä oli onnistunut kryptaamaan parikymmentä palvelinta. Kryptaaminen estää hyökkäyksen kohdetta näkemästä, mitä tietoja on varastettu.

Valio teki ensimmäisen alustavan ilmoituksen tietosuojavaltuutetulle 16. joulukuuta. Useista myöhemmin tehdyistä ilmoituksista käy ilmi, että asian laajuus on paljastunut vaiheittain. 

19. joulukuuta saatiin selville, että että Valion Eläkekassan käytössä oleva verkkolevy on todennäköisesti kopioitu kokonaan ja sen tiedot on siirretty ulkomaille.

Julkisesti Valio kertoi asiasta 20. joulukuuta. Vincit ilmoitti samana päivänä tiedotteessa olleensa kyberhyökkäyksen kohteena. Yhteyttä Valion tietomurtoon ei kuitenkaan kerrottu, vaan asiasta kertoi Yle.

Aatonaattona tehdyssä ilmoituksessa Valio kertoo, että vielä julkista ilmoitusta seuraavana päivänä selvisi, että hyökkäys kohdistui luultua laajempaan joukkoon henkilötietoja.

Ilmoitusten mukaan hyökkääjä saattoi saada haltuunsa kaikkien Valion Suomessa työskentelevien työntekijöiden ja maidonhankintaosuuskuntien työntekijöiden nimet, henkilötunnukset, palkkatiedot ja tilinumerot. Tämä tarkoittaa yhteensä noin 5 000 ihmisen tietoja.

Tämän lisäksi hyökkääjä sai mahdollisesti muun muassa noin tuhannen Valion Keskinäisen Vakuutusyhtiön ja Valion Eläkekassan vakuutettujen ja etuudensaajien tiedot. 

Valio lähetti aatonaattona reilut tuhat kirjettä, joissa se ilmoitti hyökkäyksestä. 

STT sai kirjeen tietopyynnöllä tietosuojavaltuutetulta. Kirjeessä kerrotaan, että tietoja muun muassa terveydentilasta ja ansioista saattaa olla hyökkääjän hallussa. Kirjeessä neuvotaan myös harkitsemaan esimerkiksi vappaehtoista luottokieltoa ja tekemään tarvittaessa rikosilmoitus.

Valio kertoo kirjeessä tehneensä tietoturvaloukkauksesta ilmoituksen tietosuojavaltuutetulle, Traficomin kyberturvallisuuskeskukselle, Finanssivalvonnalle sekä rikosilmoituksen poliisille.

Tietoturvahyökkäysten motiivi raha

Liikenne- ja viestintävirasto Traficomin alaisen kyberturvallisuuskeskuksen tietoturva-asiantuntijan Olli Hönön mukaan vietyjen tietojen määrä on merkittävä.

Hönö kertoo STT:lle, että niin sanotut toimitusketjuhyökkäykset ovat melko harvinaisia.

– Yleisempää on, että hyökkäys kohdistuu suoraan sen varsinaiseen uhriin, Hönö sanoo.

Hönön mukaan Traficomille ja esimerkiksi poliisille on hyödyksi, jos ilmoitus tietomurrosta tehdään mahdollisimman nopeasti.

– Mutta voi olla todella vaikeaa arvioida, miten vakavasta tapauksesta on kyse, että missä vaiheessa ilmoitusta lähdetään tekemään esimerkiksi viranomaisille.

Hönö kertoo, että tietoturvahyökkäyksissä on yleensä motiivina tavalla tai toisella raha.

– Se, että millä tavalla se sitten konkretisoituu, että kiristetäänkö organisaatiota tai yksittäisiä henkilöitä tai kerätään maksukorttien tietoja, varmasti riippuu hyökkääjästä ja toimintatavasta.

Hönön mukaan henkilötunnusten, tilinumeroiden ja terveystietojen avulla on mahdollista yrittää tehdä erilaisia identiteettivarkauksia tai petoksia. Traficom on listannut verkkosivuilleen ohjeita identiteettivarkauksien ja tietovuotojen uhreille.