Valioon on kohdistunut tietoturvahyökkäys, jossa hyökkääjä on voinut saada haltuunsa tuhansien ihmisen henkilökohtaisia tietoja. Valion mukaan hyökkääjä on saattanut saada haltuunsa kaikkien Valion Suomessa työskentelevien työntekijöiden ja maidonhankintaosuuskuntien työntekijöiden nimen, henkilötunnuksen, palkkatiedot ja tilinumerotietoja.
Tietomurron kohteena on Valion tämänhetkisen tiedon mukaan yli 5 000 henkilöä, jotka ovat Valion omaa henkilöstöä sekä sen Suomessa toimivien tytäryhtiöiden ja osuuskuntien henkilöstöä.
Lisäksi hyökkääjä on voinut saada haltuunsa Valion keskinäisen vakuutusyhtiön ja Valion eläkekassan vakuutettujen ja etuudensaajien henkilötunnuksia, palkkatietoja sekä etuuskäsittelyyn liittyviä terveystietoja. Näitä ihmisiä on arviolta noin tuhat.
– Totta kai olemme huolissamme, ja siksi olemme käyttäneet tämän päivän informoidaksemme työntekijöitämme, joita tämä koskee, Valion lakiasiainjohtaja Juha Hölttä sanoo Ylelle.
– Selvittämisen tekee haastavaksi se, että hyökkääjä on kryptannut viemänsä tiedostot, ja siksi kestää aikaa ennen kuin näemme, miten tämä on oikeasti mennyt.
Hyökkääjä mursi käyttäjätunnuksen
Yle on nähnyt työntekijöille lähetetyn sähköpostiviestin, jonka mukaan tietoturvahyökkäys havaittiin torstaina 12. joulukuuta. Viikon päästä eli torstaina 19. joulukuuta Valio sai selville, että kaikkien työntekijöiden tiedot ovat voineet vuotaa.
Hyökkääjä käytti hyväkseen kolmannen osapuolen palveluita. Käytännössä hyökkääjä pääsi murtautumaan Valion järjestelmään murtamalla IT-palvelukumppanin käytössä olleen käyttäjätunnuksen. Ylelle kerrotaan, että kyseinen palvelukumppani on it-yhtiö Vincit.
Vincit tiedotti illan suussa kyberhyökkäyksestä, joka on kohdistunut kaikkiaan kymmeneen sen nimeltä mainitsemattomaan asiakkaaseen.
Valio ja Vincit kertovat tehneensä tietoturvaloukkauksesta rikosilmoituksen poliisille. Valio on tehnyt myös ilmoitukset tietosuojavaltuutetun toimistoon ja liikenne- ja viestintävirastoon.
Lisäksi Valio kertoo tiedottaneensa asiasta kaikkia, joiden tietoja on voinut vuotaa hyökkääjälle. Työntekijöille lähetetyssä sähköpostissa Valio kehottaa heitä harkitsemaan vapaaehtoisen luottokiellon ja yhteystietojen luovutuskiellon tekemistä.
Henkilötietojen päätyminen vääriin käsiin altistaa kohteen esimerkiksi erilaisille identiteettivarkauksille. Se tarkoittaa tilannetta, jossa rikoksen tekijä käyttää toisen henkilötietoja tai muita tunnistamistietoja, ja aiheuttaa sillä tavoin taloudellista vahinkoa tai haittaa.
Tämä voi tarkoittaa esimerkiksi toisen ihmisen nimissä tehtyä osamaksukauppaa tai tuotetilausta.
Näin tilanne eteni
Juha Höltän mukaan hyökkäys käynnistyi viikko sitten torstain ja perjantain välisenä yönä. Ensi alkuun näytti siltä, että kyse olisi kiristyshaittaohjelmasta. Sellaisten tarkoitus on päästä sisään yritysten tietojärjestelmiin, salata tietoja ja häiritä liiketoimintaa niin paljon, että kohdeyhtiö on valmis maksamaan lunnaita.
– Alkuvaiheessa tosiaan näytti siltä, että hyökkäys aiheutti vain haittaa Valion liiketoimintajärjestelmille. Ja niitä saatiin palautettua viikonloppuna, Hölttä kuvaa
– Mutta kun aloimme siivota jälkiä, paljastui että kyse ei ollut vain kiristyshaittaohjelmasta, vaan myös Valion tiedostoja oli päätynyt hyökkääjän matkaan.
Höltän mukaan hyökkääjän tekemä tiedostojen salaus on haitannut selvitystyötä. Siksi se, mitä varastetun tiedon joukossa on ollut, on paljastunut pikku hiljaa tämän viikon aikana.
Valio jätti ilmoituksen tietosuojavaltuutetun toimistoon jo tiistaina. Silloin kyse oli vasta kadonneista sähköpostiosoitteista.
– Nyt sitten tänään kyse on ihmisten hyvinkin sensitiivisistä tiedoista.
Onko mitään viitteitä siitä kuka tai ketkä ovat tämän takana?
– Ei. Tämä toivottavasti selviää joskus poliisin tutkinnassa, mutta meillä ei ole tällä hetkellä mitään tietoa.
Entä onko viitteitä siitä, onko takana esimerkiksi valtiollista kybervaikuttamista vai tavallisempaa rikollisuutta?
– Uskon ja toivon, että poliisi saa jotain selville. Mutta emme lähde tällä asialla arvuuttelemaan tai ottamaan kantaa.
Entä vahingonkorvaukset – mikä on yksittäisen ihmisen asema tällaisessa tilanteessa?
– Jos käy ilmi, että meidän tai tämän ulkopuolisen kolmannen toimijan järjestelmissä on ollut puutteita ja taloudellista tai muuta vahinkoa on aiheutunut, niin tietenkin yksittäinen ihminen voi hakea korvauksia, Hölttä sanoo.
– Se on tietysti muistettava, että juurisyy on siis jonkun toistaiseksi tuntemattoman tahon tekemä rikos. Toivotaan, että rikollinen jää kiinni ja korvausvaatimukset voi esittää sinne minne ne kuuluvat.
Vincit: Yhteensä kymmenen kohdetta
It-palveluyhtiö Vincitin toimitusjohtaja Julius Manni ei kommentoi, miten hyökkääjä on onnistunut murtamaan yhtiön työntekijän tunnuksen.
– En valitettavasti voi avata tapauksen teknisiä yksityiskohtia. Voin kuitenkin vahvistaa, että Valion mainitsema it-palvelukumppani on Vincit. Vincitiin on tehty kyberhyökkäys ja sitä kautta on avautunut hyökkäys Valiolle, Manni sanoo.
Hyökkäyskohteita oli yhteensä kymmenen.
Mannin tiedossa ei ole, että muiden kuin Valion tapauksessa asiassa olisi ylittynyt tiedotuskynnys. Toisin sanoen, ainakaan henkilötietoja ei ole suuressa määrin menetetty.
Lisäksi Manni vakuuttaa, että hyökkäys on ollut teknisesti sellainen, ettei se ole voinut kohdistua muihin kuin havaittuun kymmeneen kohteeseen.
