Kuljetusyhtiö Westlogiin tehty kyberhyökkäys on voinut vaarantaa yhteensä yli 116 000 suomalaisen henkilötiedot. Westlog hoitaa kotiinkuljetuksia ihmisille, jotka saavat hyvinvointialueilta Tena-inkontinenssisuojia, siis virtsankarkailun hoitotuotteita.
Tieto ilmenee hyvinvointialueiden ilmoituksista, jotka STT on kerännyt. Hyvinvointialueet saivat murrosta tietoa Westlogilta ja Essityltä elo–syyskuussa. Hyvinvointialueet puolestaan hoitivat viestintäänsä kukin omaan tyyliinsä.
Hajanainen tiedottaminen johti siihen, ettei murron laajuudesta saanut julkisuudessa kokonaiskuvaa.
Keskenään erilaisten ilmoitusten vuoksi myös Tietosuojavaltuutetun toimisto halusi hyvinvointialueilta vielä tarkempaa selkoa vuodon vaikutuksista ja teki siitä oman selvityspyyntönsä.
Kun laskee yhteen julkisen terveydenhoidon toimijoiden ilmoittamia määriä altistuneista, on marraskuun loppuun mennessä tiedossa yhteensä yli 116 600 ihmistä, joiden henkilötiedot vaarantuivat Westlogin murrossa. Joukossa on asiakkaiden lisäksi myös terveydenhuollon työntekijöiden tietoja.
Harvinainen vaan ei tavaton
Yli 116 000 ihmisen tietoja koskeva vuoto on Suomessa harvinaisen laaja. Tietoturva-asiantuntija Antti Louko Traficomin Kyberturvallisuuskeskuksesta arvioi yleisellä tasolla, että suuri altistuneiden määrä ei suoraan tarkoita, että vuoto olisi poikkeuksellisen vakava.
– Tietovuodon vakavuus riippuu siitä, millä tavalla vuodettuja tietoja voidaan hyväksikäyttää, Louko sanoo.
Kuljetusyhtiö Westlogilta vuotaneessa aineistossa on ollut henkilötunnuksia, mutta tarkkaa määrää ei ole kukaan kertonut julkisesti. Toisaalta jo tieto siitä, että tilaa inkontinenssituotteita tai diabeteksen hoitovälineitä, paljastaa todennäköisesti terveystiedon eli sen, että sairastaa diabetesta tai kärsii virtsankarkailusta.
Kyberturvallisuuskeskuksen Loukon mukaan yleensä kaapattuja tietoja yritetään käyttää hyväksi melko pian hyökkäyksen jälkeen.
– Kauhean yleistä ei ainakaan meidän tiedossamme ole se, että tietoja jotenkin sitten tosi takaperoisesti kaiveltaisiin, Louko sanoo yleisellä tasolla.
Westlogin toimitusjohtaja Ossi Ojanen kertoo marraskuussa, että murto oli erittäin ikävä kokemus.
Yhtiö ei lähtenyt hänen mukaansa keskustelemaan Akira-ryhmän kanssa eikä mitään vaadittuja lunnaita myöskään maksettu.
– Tämä oli myös kaikkien asiantuntijoiden neuvo, hän sanoo.