Kuka tahansa olisi voinut lukea Eksoten salaisia asiakirjoja keväästä 2018 lähtien — ”Tämä oli meiltä vakava virhe”

Eksoten Ei-julkaistavaksi tarkoitettujen dokumenttien tarkasteleminen vaati edistynyttä tietotekniikan käyttöä.

AOP

Eksoten yksityisten dokumenttien lukemiseen tarvittiin edistyneempää tietoteknistä osaamista kuin pelkkää googlaamista.
Eksoten yksityisten dokumenttien lukemiseen tarvittiin edistyneempää tietoteknistä osaamista kuin pelkkää googlaamista.

Etelä-Karjalan sosiaali- ja terveyspiirin (Eksote) tietoturva-aukosta ei suoranaisesti vuotanut tietoja nettiin.

Yksityisiä dokumentteja ei ollut tietoturva-aukon aikana mahdollista tutkia pelkästään googlettamalla, sanoo tietoturvaltaan heikoksi paljastuneen julkaisualustan Eksotelle toimittaneen M-Filesin toimitusjohtaja Miika Mäkitalo.

— Ei-julkaistavaksi tarkoitettujen dokumenttien tarkasteleminen vaati edistynyttä tietotekniikan käyttöä. Tietoihin käsiksi päästäkseen olisi täytynyt muokata julkaistun asiakirjan URL-osoitetta manuaalisesti, mutta niihin käsiksi pääseminen ei ole vaatinut tietomurtajatason osaamista, Mäkitalo sanoo.

Jos tietotekniset taidot ovat riittäneet, on ulkopuolisten ollut mahdollista tarkastella yksityisiä dokumentteja Eksoten järjestelmässä koko ohjelman käytössäoloajan eli keväästä 2018 lähtien.

— Näin ei vain pitäisi pystyä olemaan. Tämä oli meiltä vakava virhe ja olen siitä hyvin pahoillani, Mäkitalo sanoo.

Mäkitalon mukaan tietoturva-aukko ei ollut varsinaisessa dokumenttien ja muiden asiakirjojen hallintaan tarkoitetussa M-Filesissa, vaan siihen liittyvässä julkaisualustassa. Kyseinen asiakirjojen julkaisemiseen tarkoitettu alusta oli räätälöity Eksoten tarpeisiin. Eksoten lisäksi sitä käyttää toinen julkishallinnon organisaatio sekä niiden asiakkaana olevat muutamat kunnat, mutta Mäkitalo ei voi paljastaa niiden nimiä toistaiseksi.

Räätälöity alusta petti

Mäkitalon mukaan tietoturva-aukko johtuu siitä, että asiakkaan tarpeisiin muokattua yksittäistä järjestelmää ei testata yhtä mittavasti kuin laajalle käyttäjäkunnalle tarkoitettuja alustoja.

— Jatkossa meillä on syytä toimia julkishallinnon hankkeissa varmemmin sekä suunnitella ja testata tietoturvaulottuvuutta laajemmin.

Ihmisten tietojen yksityisyyttä uhannut tietoturva-aukko paljastui Eksoten järjestelmässä kansalaisen toimesta torstaina 17. lokakuuta. M-Files kuuli asiasta perjantaina ja korjasi ongelman saman päivän aikana. Eksote on sulkenut julkaisualustan toistaiseksi suljettu kokonaan.

Tietoturva-aukon kautta saatavilla oli tämän hetkisen epäilyn mukaan noin 700 asiakirjaa, joista noin puolet olivat sellaisia, joita ei ole tarkoitettu julkisiksi. Arviolta 300─400 oli julkisia dokumentteja, kuten kuntayhtymän kokousten pöytäkirjoja ja esityslistoja.

Eksote ja M-Files selvittävät parhaillaan, onko ei-julkisia asiakirjoja katseltu tietoturva-aukon kautta.

Eksote on ollut asiasta yhteydessä poliisiin ja tietosuojavaltuutettuun. M-Files on ilmoittanut tietoturvapoikkeamasta myös Liikenne- ja viestintävirastoon Traficomiin.

— Traficomin kyberturvallisuuskeskus voi tutkia, mitä asia koskee ja mitä se ei koske, Mäkitalo toteaa.