Kyberhyökkäys iskee Valioon, asettaen 5 000 henkilön tiedot vaaraan
20.12. 18:33 Päivitetty 20.12. 18:37
Suomen suureennokertaiseen Valioon kohdistunut kyberhyökkäys on saattanut vaarantaa yli 5 000 henkilön henkilötiedot, mukaan lukien työntekijät ja osuuskunnan henkilökunta, yhtiö vahvisti.
Hyökkäys paljastui 12. joulukuuta ja siihen liittyi luvaton pääsy IT-palveluntarjoaja Vincitin tunnisteiden kautta.
Valion mukaan varastettuun tietoon kuuluu myös arkaluonteisia tietoja Valion keskinäiseen vakuutusyhtiöön ja eläkerahastoon liittyen, vaikuttaen noin 1 000 vakuutettuun henkilöön ja edunsaajaan.
Tämä tieto sisältää henkilötunnukset, palkkatiedot sekä terveyteen liittyvät tiedot etuuksien käsittelyä varten.
Valion mukaan hyökkäystä pidettiin aluksi lunnastusohjelmahyökkäyksenä, joka oli suunnattu häiritsemään liiketoimintaa. Kuitenkin myöhemmät tutkimukset paljastivat, että hyökkääjä pääsi käsiksi arkaluonteisiin tiedostoihin.
Hyökkäys jäljitetään kompromisoituneeseen käyttäjätiliin Vincitissä, joka on vahvistanut vastaavia hyökkäyksiä kymmeneen muuhun asiakkaaseen.
Valio ja Vincit ovat ilmoittaneet tapauksesta viranomaisille, Suomen tietosuojaviranomaiselle ja Liikenne- ja viestintävirasto Traficomille. Vaikutetut yksilöt on kehotettu harkitsemaan vapaaehtoisten luottokiellon asettamista ja henkilötietojen jakamisen rajoituksia identiteettivarkauden riskin minimoimiseksi.
Valio: Olemme syvästi huolissamme
Valion lakiasiainjohtaja Juha Hölttä ilmaisi huolensa hyökkäyksestä korostaen haasteita varastettujen tietojen laajuuden arvioinnissa hyökkääjän käyttämän salauksen vuoksi.
”Olemme syvästi huolissamme ja olemme asettaneet prioriteetiksemme tiedottaa työntekijöitämme. Täysimittainen laajuuden määrittäminen vie aikaa”, hän totesi.
Vaikka hyökkääjien henkilöllisyyttä ja motiiveja ei vielä tiedetä, Hölttä ei spekuloinut, oliko valtiovaltainen toimija vai rikollisjärjestö mukana.
”Toivomme, että poliisin tutkimus tuo valoa asiaan”, hän lisäsi.
Hyökkäys altistaa vaikutetut yksilöt mahdolliselle identiteettivarkaudelle, jossa varastettuja henkilötietoja voidaan käyttää talouspetoksiin tai muihin haitallisiin toimintoihin.
Valio myönsi vastuunsa todeten, että korvausvaatimuksia voitaisiin harkita, jos haavoittuvuudet sen tai Vincitin järjestelmissä edistivät hyökkäystä.
IT-yritys Vincitin toimitusjohtaja Julius Manni ei kommentoinut, miten hyökkääjä onnistui murtautumaan yrityksen työntekijän salasanaan.
”Valitettavasti en voi paljastaa teknisiä yksityiskohtia tapahtumasta. Voin kuitenkin vahvistaa, että IT-palvelukumppani, josta Valio mainitsi, on Vincit. Vincitissä tapahtui kyberhyökkäys, joka avasi tien hyökkäykselle Valioon”, Manni kertoi Ylelle.
Kohdekohteita oli yhteensä kymmenen, mukaan lukien Valio. Manni sanoi, ettei hän ollut tietoinen mistään tietovuodosta, joka vaikuttaisi asiakkaisiin näiden kymmenen asiakkaan ulkopuolella.