Valioon kohdistunut tietomurto koskee 5000 henkilön sijaan jopa 70 000 henkilöä, Valio tiedottaa.
He ovat henkilöitä, jotka ovat joskus olleet työsuhteessa Valioon ja saaneet Valiolta palkkaa, kertoo Valion lakiasiainjohtaja Juha Hölttä.
Höltän mukaan valtaosassa tapauksista hyökkääjän haltuun on päätynyt uhrin nimi ja henkilötunnus. Noin 200 uhrilta on vuotanut myös terveydentilaa koskevaa tietoa. Ennen joulua Valio arvioi, että noin tuhannelta vakuutetulta ja etuudensaajalta olisi voinut vuotaa etuuskäsittelyyn liittyviä terveystietoja, joten terveystietojen osalta tilanne näyttää nyt aiemmin pelättyä paremmalta.
Lisäksi pieneltä joukolta on vuotanut tilinumero.
20. joulukuuta paljastui, että tietoturvahyökkäyksen kohteena oli Valion, Suomessa toimivien tytäryhtiöiden ja maidonhankintaosuuskuntien henkilöstöä yli 5 000 henkilöä. Tapauksen tutkinnassa on paljastunut, että yhteensä noin 70 000 Valion Eläkekassan nykyisten ja aiempien vakuutettuna olleiden henkilötiedot ovat vaarantuneet. Lisäksi hyökkääjä on saanut haltuunsa rajatun määrän Valion taloustietoja, jotka sisältävät jonkin verran henkilötietoja, Valio kertoo.
– Ennen joulua meillä oli oletus, että tietomurto olisi kohdistunut vain tällä hetkellä Valioon työsuhteessa oleviin, jotka sitä kautta ovat vakuutettuna Valion Keskinäisessä Vakuutusyhtiössä. Nyt viranomaisten tutkimuksissa selvisi, että myöskin tällainen tiedosto, jossa on kaikki siellä joskus vakuutettuna olleet, on päätynyt hyökkääjän matkaan, Hölttä sanoo STT:lle.
Uhreille lähetetty kirje
Tietoturvaloukkauksesta on tehty ilmoitus tietosuojavaltuutetun toimistoon, Traficomin Kyberturvallisuuskeskukselle ja Finanssivalvonnalle sekä rikosilmoitus poliisille. Poliisi tutkii edelleen tietomurtoa.
Valio on lähettänyt tietomurron kohteena olleille henkilöille kirjeen, jossa kerrotaan, mitkä kirjeensaajan henkilötiedot ovat altistuneet tietomurrolle ja miten viranomaisten suositusten mukaisesti tulee toimia omien tietojen suojaamiseksi väärinkäytöltä.
– On erittäin valitettavaa, että tietomurron kohteena olevien henkilöiden määrä on merkittävästi aiempaa arvioitua suurempi. Muita kuin kirjeessä kerrottuja tietoja ei ole päätynyt hyökkääjän haltuun. Olemme erittäin pahoillamme tapahtuneesta ja siitä aiheutuvasta harmista, kommentoi Jari Laaninen, Valion Keskinäisen Vakuutusyhtiön ja Valion Eläkekassan toimitusjohtaja.
Tietomurron kohteita varten on avattu päivystyspalvelu ja verkkosivu, joista on saatavilla lisätietoja ja neuvoja omien tietojen suojaamiseen.
Valion lakiasiainjohtaja Höltän mukaan lisää uusia uhreja ei pitäisi käydä ilmi enää tämän jälkeen.
– Niin varmaa kuin tässä maailmassa nyt joku voi olla, niin nyt me tiedämme kokonaisuuden,
Hyökkääjän jälkien selvittely on vaatinut erityisosaamista ja vienyt aikaa.
Hyökkääjä on saanut haltuunsa myös rajatun määrän Valion taloustietoja, jotka sisältävät jonkin verran henkilötietoja.
Tapauksen selvitys jatkuu "katkeamatta" poliisin ja viranomaisten kanssa, Hölttä kertoo.
Salasana vuoti it-yhtiön työntekijän koneelta
Hyökkääjä pääsi tietoihin käsiksi Valion it-palvelukumppani Vincitin kautta. Ohjelmistoyhtiö Vincit myy Valiolle it-palveluita.
– Tästä syystä heillä piti olla yhteys Valion verkkoihin. Tätä kautta hyökkääjä pääsi verkkoihin, Hölttä sanoo.
STT kysyi Höltältä, aikooko Valio hakea palvelukumppanilta korvauksia asiasta.
– Meillä on keskusteluyhteys avattu tästä. Puolin ja toisin tutkitaan, mitä on tapahtunut. Asiaa selvitetään.
Vincitin tietosuojavaltuutetulle tekemästä ilmoituksesta käy ilmi, että Vincitin työntekijän koneelta oli vuotanut salasana työntekijän toiminnan seurauksena. Vincitin toimitusjohtaja Julius Manni kertoi STT:lle aiemmin tässä kuussa, että salasana vuoti työntekijän henkilökohtaiselta koneelta, joka ei ollut osa Vincitin hallitsemia it-ympäristöjä. Hänen mukaansa työntekijän toiminta oli tahatonta.
Valio kertoo, että tietoturvaloukkauksesta on tehty ilmoitus tietosuojavaltuutetun toimistoon, Traficomin kyberturvallisuuskeskukselle ja Finanssivalvonnalle sekä rikosilmoitus poliisille. Poliisi tutkii edelleen tietomurtoa.
Valio teki ensimmäisen alustavan ilmoituksen tietosuojavaltuutetulle 16. joulukuuta. Useista myöhemmin tehdyistä ilmoituksista käy ilmi, että asian laajuus on paljastunut vaiheittain. 19. joulukuuta saatiin selville, että Valion Eläkekassan käytössä oleva verkkolevy on todennäköisesti kopioitu kokonaan ja sen tiedot on siirretty ulkomaille.
STT sai Vincitin ja Valion tekemät ilmoitukset tietopyynnöllä.