Toistaiseksi ei kuitenkaan ole viitteitä, että luottotietorekisteriotteita olisi päätynyt vääriin käsiin, STT:lle kerrotaan.
Verohallinnolla ei ole toistaiseksi tiedossa, kuinka monen suomalaisen luottotietorekisteriotteita on kysytty väärin perustein positiivisesta luottotietorekisteristä.
Tiedossa ei ole vielä myöskään se, kuinka pitkään perusteettomien kyselyiden tekeminen rekisteriin on kestänyt. Toiminnallinen vastaava Marjaana Ohralahti Verohallinnosta kertoo STT:lle, että muun muassa nämä asiat ovat edelleen selvityksessä.
Verohallinto tiedotti keskiviikkona, että positiivisessa luottotietorekisterissä epäillään väärinkäytöstä. Tuoreeltaan epäiltiin, että erään luotonantajan käyttämään ohjelmistoon oli tehty tietomurto, jonka seurauksena positiivisesta luottotietorekisteristä on kysytty ihmisten luottotietorekisteriotteita ilman perustetta.
Ohralahti kertoo nyt STT:lle, että tietomurto on kohdistunut todennäköisesti kyseisen luotonantajan sopimuskumppaniin.
– Asia on vielä selvityksessä sekä luotonantajalla että (Verohallinnon) tulorekisteriyksikössä.
Ohralahti ei suostu kommentoimaan STT:lle, mikä luotonantaja on kyseessä ja onko toimija ylipäätään suomalainen. Hän on niukkasanainen myös siitä, minkälaiseen ohjelmistoon tietomurto on mahdollisesti tehty.
– Emme kommentoi yksittäisen asiakkaan tietoja. Luotonantaja voi viestiä itse tietomurrosta, Ohralahti sanoo.
– En osaa edes sanoa, onko tietomurto tehty varsinaisesti ohjelmistoon vai johonkin muualle. Yksityiskohdat ovat vielä selvityksessä.
Verohallinto valmistelee asiassa rikosilmoituksen tekemistä poliisille ja ilmoitusta tietoturvaloukkauksesta tietosuojavaltuutetulle.
Tieto tuli luotonantajalta
Ohralahti painottaa, ettei tällä haavaa ole viitteitä siitä, että rekisterin tietoja olisi päätynyt minkään kolmannen osapuolen käsiin. Hänen mukaansa perusteettomat kyselyt positiiviseen luottotietorekisteriin ovat tulleet luotonantajalta. Kyselyt ovat siis näyttäneet Verohallinnon näkökulmasta päällisin puolin normaaleilta.
Tieto kyselyiden perusteettomuudesta tuli Ohralahden mukaan Verohallinnolle itse luotonantajalta. Verohallinto sai tietää asiasta hänen mukaansa keskiviikkona eli samana päivänä, kun se julkaisi asiasta tiedotteen.
Ohralahden mukaan luotonantaja on itse ollut heihin yhteydessä ja kertonut, että kyselyt ovat olleet perusteettomia.
– Luotonantajalta saamamme tiedon mukaan kyselyissä on mahdollisesti käytetty aikaisemmin muihin organisaatioihin tehtyjen tietomurtojen seurauksena saatuja henkilötunnuksia.
Näin tarkistat
Positiivinen luottotietorekisteri otettiin Suomessa käyttöön huhtikuun alussa. Luotonantajat voivat saada rekisteristä tietoja luotonhakijan luotoista ja edellisten 12 kuukauden tuloista. Lisäksi rekisterissä on tieto vapaaehtoisesta luottokiellosta, jos asiakas on tehnyt sellaisen.
Verohallinnon Ohralahden mukaan rekisteriin tehdyillä kyselyillä ei voi saada asiakkaista mitään muita tietoja. Asiakas voi myös itse kirjautua rekisteriin ja tarkistaa, milloin hänen luottotietorekisteriotettaan on kysytty ja kuka kyselyn on tehnyt.
– Jos tietoja olisi kysellyt sellainen luotonantaja, jota asiakas ei tunnista tai josta hän kokee, että kysely on virheellinen, kannattaa olla rekisterin asiakaspalveluun yhteydessä, Ohralahti neuvoo.
Myös Traficomin asiakaspalvelunumerosta voi arkisin kysyä, onko omia tietoja päätynyt vääriin käsiin. Traficomin tiedotteessa on linkki Suomi.fi-sivustolle, jossa annetaan ohjeita tilanteeseen, jossa henkilötietoja on viety tai vuotanut. Vääriin käsiin päätyneistä ajoneuvorekisterin tiedoista henkilötunnus on Traficomin ylijohtajan Kati Heikkisen mukaan kriittinen tieto.
Jos omia tietoja on päätynyt ulkopuolisille, kannattaa Heikkisen mukaan tarkistaa, että esimerkiksi Digi- ja väestötietoviraston ja Patentti- ja rekisterihallituksen palveluissa asetukset ovat siten, ettei kukaan voi mennä tekemään muutoksia ilman omaa suostumusta.
Yhteys Traficomin tapaukseen
Yksi tuore henkilötunnusten vuoto tuli julkisuuteen torstaina, kun Traficom kertoi, että ajoneuvorekisterin tietoja on käytetty väärin. Tapauksessa on samanlaisia piirteitä kuin positiivisen luottotietorekisterin väärinkäytöksessä.
Ajoneuvojen omistajien ja haltijoiden tietoja oli kysytty Traficomin asiakasorganisaation palvelusta ilman perustetta. Kyseessä on noin 65 000 omistajaa ja haltijaa, joiden ajoneuvon rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-xxx–ALJ-xxx.
Traficomin mukaan näiden omistajien ja haltijoiden henkilötunnuksia on päätynyt asiakkaan järjestelmästä kolmannen osapuolen haltuun. Kyseessä oleva asiakasorganisaatio on sopimuskumppani, jolla on oikeus hakea ajoneuvorekisteristä esimerkiksi henkilötunnuksia jotakin laillista tarkoitusta varten.
Traficomin ylijohtaja Kati Heikkinen kertoo STT:lle, että väärinkäytös tuli Traficomin tietoon, kun asiakasorganisaatio ilmoitti asiasta. Tietojen kysyminen ilman perustetta oli käynnissä sunnuntain ja maanantain aikana.
– Asiakasorganisaatio ilmoitti, että heillä on jotain kummallista meneillään, jolloin me laitoimme heti hanat kiinni eli estimme tietojen saamisen heidän yhteytensä kautta, Heikkinen sanoo.
Traficomin mukaan asia liittyy positiivisen luottotietorekisterin väärinkäytökseen. Verohallinnon Ohralahti taas sanoo, että on olemassa epäily, että tapaukset liittyvät toisiinsa.
– Ajallisesti nämä tapaukset sopivat yhteen, ja mahdollisesti kyseessä on ollut sama sopimuskumppani (johon tietomurto olisi tehty), Ohralahti kertoo.
Sama liikennepalvelujen tuottaja?
Ajoneuvorekisterin ja positiivisen luottotietorekisterin tapauksia yhdistää Traficomin Heikkisen mukaan kaksi asiaa. Tapaukset sattuivat samaan aikaan, ja kumpaankin liittyy sama Traficomin asiakasorganisaatio.
– Meille on vielä epäselvää, mitä tässä tarkalleen ottaen on tapahtunut. Koitetaan kovasti selvittää, mitä asiakasorganisaatiossa on ollut meneillään, Heikkinen sanoo.
Hänen mukaansa tapauksiin liittyvä asiakasorganisaatio on liikennepalvelujen tuottaja. Sen tarkemmin hän ei tässä vaiheessa kerro asiakkaasta.
– Meidän rajapintaamme käytetään kaikenlaisiin ajoneuvoihin liittyviin palveluihin, joita on vaikkapa autokaupoissa, katsastusasemilla tai autohuolloissa.
Traficomin tiedossa ei ole, mikä taho oli kysynyt ajoneuvorekisterin tietoja ilman perustetta. Myöskään teon motiivista ei ole tietoa, Heikkinen kertoo.
Verohallinnon tavoin myös Traficom valmistelee tapauksesta ilmoitusta tietosuojavaltuutetulle.
Ei viitteitä kiristyshaittaohjelmasta
Traficomin Kyberturvallisuuskeskus on saanut tiedot molemmista tapauksista.
– Me emme kuitenkaan lähde tällaisiin yksittäisiin tapauksiin julkisesti pureutumaan ja kommentoimaan, sanoo tietoturva-asiantuntija Sanna Autio Kyberturvallisuuskeskuksesta STT:lle.
– Organisaatiot tiedottavat omista poikkeamistaan, ja Kyberturvallisuuskeskus tukee tarvittaessa organisaatiota pyynnöstä.
Aution mukaan Kyberturvallisuuskeskus ei myöskään lähtökohtaisesti julkisesti linkitä tapauksia toisiinsa, jos niillä sellainen yhteys on. Yleisellä tasolla hän sanoo olevan tavanomaista, että jos johonkin palveluntarjoajaan kohdistuu kyberhyökkäys, sen vaikutukset ja vahingot heijastuvat usein aika moneen muuhunkin organisaatioon sekä näiden asiakaskuntiin.
– Sitten ilmoituksia saattaa tulla useampia vaikkapa yhteen tapaukseen liittyen.
Vaikka Kyberturvallisuuskeskus ei avaa tarkemmin nyt ilmi tulleita tapauksia, mikään ei Aution mukaan ainakaan vielä tässä vaiheessa viittaa kiristyshaittaohjelmaan.
– Mutta kiristyshaittaohjelmissa on usein ominaista se, että jos sellainen liittyy tapaukseen, sitä ei välttämättä aktivoida heti, vaan vasta myöhemmin. Joten tapauksen alkuvaiheessa voi olla vielä liian aikaista sanoa, mistä on kyse, Autio sanoo.