Tekesin tietomurron esitutkinta loppuvaiheessa

26.5.2015
Tekesin hakemuspalveluun helmikuussa 2015 kohdistuneen tietomurron esitutkinta on loppuvaiheessa. Esitutkinnassa ei ole löytynyt viitteitä siitä, että tietomurrosta epäillyt henkilöt olisivat välittäneet lataamiaan hakemuksia eteenpäin tai käyttäneet niitä muuten hyväkseen. Poliisi pyytää tietomurron kohteeksi joutuneita Tekesin asiakkaita ilmoittamaan mahdolliset vahingonkorvausvaatimuksensa.

Poliisi on tutkinut tapausta Tekesiin kohdistuvana petosrikoksena. Lisäksi syyttäjä on arvioinut, että Tekesin asiakkaiden näkökulmasta tapausta voitaisiin pitää viestintäsalaisuuden loukkauksena. Poliisi on pyytänyt tietomurron kohteeksi joutuneita Tekesin asiakkaita esittämään mahdolliset vaatimuksensa 30.6.2015 mennessä. Tekes on välittänyt poliisin pyynnön asiakkaille.

Tekes on parantanut tietoturvakäytäntöjään

Tekes käynnisti heti tietomurron tapahduttua toimenpiteet välittömien korjausten tekemiseksi ja tietoturvan edelleen kehittämiseksi.

Haavoittuvuuden korjauksen jälkeen palveluarkkitehtuuria muokattiin kokonaisuudessaan turvallisemmaksi. Lisäksi hakemuspalvelun auditointikäytäntöjä on edelleen parannettu ja auditoijan kanssa sovittu tarkennetuista menettelyistä sekä tiheämmistä tarkastusväleistä.

"Tapahtuma osoittaa jälleen kerran, miten tärkeää on kiinnittää tietoturvaan entistä enemmän huomiota. Pitää varmistua tietojärjestelmien palveluntarjoajien tietoturvaosaamisesta, huolehtia säännöllisestä auditoinnista ja reagoida itse ripeästi epäilyttäviin tapahtumiin", johtaja Ara Haikarainen Tekesistä listaa oppia tapahtuneesta.

Tästä on kyse – hakemuspalvelussa oli tietoturva-aukko

Tekesin uusittu hakemuspalvelujärjestelmä otettiin käyttöön kesäkuussa 2013. Toteutusvirheiden vuoksi järjestelmään jäi tietoturva-aukko, joka jäi huomaamatta auditoinnissa. Näiden virheiden johdosta hakemuspalveluun rekisteröityneen ja tunnistautuneen käyttäjän oli mahdollista päästä tietyin toimenpitein näkemään myös muita kuin omia hakemuksiaan. Ulkopuoliset eivät päässeet näkemään hakemusten liitetiedostoja, kuten projekti- ja liiketoimintasuunnitelmia.

Helmikuussa 2015 Tekesin asiakkaaksi rekisteröityneet kolme käyttäjää latasivat hakemuskannan koko sisällön kolmeen kertaan. Yksi tekijöistä ilmoitti tietoturva-aukosta jälkikäteen Tekesille. Kun asia tuli Tekesin tietoon, haavoittuvuus tukittiin välittömästi. Tekes teki asiasta tutkintapyynnön poliisille, koska oli tarpeen selvittää ladatun aineiston sijainti ja mahdollinen hyödyntäminen. Poliisi on saanut aineiston takaisin.

Pia Mörk
comments powered by Disqus