Eksoten tietoturva petti: satojen ihmisten tiedot olivat vaarassa paljastua vuodon takia, pahimmassa tapauksessa ulkopuoliset ovat voineet lukea yksityisiä tietoja keväästä 2018 lähtien

Yksityinen ihminen paljasti Eksotelle sen järjestelmän haavoittuvuuden viime torstaina.

All over press

Eksoten asiakkaiden yksityiset tiedot ovat saattaneet olla ulkopuolisten luettavissa keväästä 2018 lähtien.
Eksoten asiakkaiden yksityiset tiedot ovat saattaneet olla ulkopuolisten luettavissa keväästä 2018 lähtien.

Ihmisten yksityiset tiedot ovat olleet vaarassa paljastua Etelä-Karjalan sosiaali- ja terveyspiirin järjestelmässä ilmenneen tietoturva-aukon takia.

Viime torstaina 17. lokakuuta kävi ilmi, että tietoturva-aukon takia asiakkaiden hallinnollisiin prosesseihin liittyviä dokumentteja, kuten esimerkiksi sosiaalihuollon tekemiin päätöksiin liittyviä oikaisuvaatimuksia ja sopimuksia saattoi päätyä ulkopuolisten nähtäville.

Tietoturva-aukon kautta saatavilla oli tämän hetkisen epäilyn mukaan noin 700 asiakirjaa, kertoo Eksoten tietohallintojohtaja Toni Suihko. Asiakirjoista noin puolet olivat sellaisia, joita ei ole tarkoitettu julkisiksi. Arviolta 300─400 oli julkisia asiakirjoja, kuten kuntayhtymän kokousten pöytäkirjoja ja esityslistoja.

Tietoturva-aukko löytyi asianhallintajärjestelmä M-Filesistä. Eksote on tehnyt tietovuodosta tutkintapyynnön poliisille sekä ilmoittanut asiasta tietosuojavaltuutetulle.

Suihkon mukaan vielä ei tiedetä, ovatko ulkopuoliset katsoneet asiakirjoja tai kuinka kauan tietoturva-aukko on ollut olemassa.

— Pahimmassa tapauksessa aukko on ollut olemassa siitä asti kun M-Files otettiin käyttöön eli vuoden 2018 keväästä, Suihko sanoo.

Vuoto tuli esiin, kun kansalainen ilmoitti havaitsemastaan tietovuodosta Eksotelle viime torstaina. Suihkon mukaan tarkempaa tietoa siitä, miten kyseinen ihminen oli tietovuodon havainnut ei ole.

Eksoten selvittäessä havaintoa kävi ilmi, että asianhallintajärjestelmän julkaisualustassa oli virhe. Järjestelmän julkaisualusta on toistaiseksi suljettu kokonaan.

Eksote selvittää tällä viikolla lokeista, onko ei-julkisia asiakirjoja katseltu tietoturva-aukon kautta. Mikäli selviää, että ei-julkisia ja salassa pidettäviä asiakirjoja on päätynyt ulkopuolisille, on Eksote suoraan yhteydessä asianosaisiin.

— Tämän viikon lopulla tai ensi viikon alussa tiedämme, onko asiakirjoja katsottu, Suihko sanoo.

M-files on ulkopuolisen palveluntuottajan Eksotelle toimittama järjestelmä. Sama järjestelmä on käytössä muissakin julkishallinnon organisaatioissa.

Suihkon mukaan Eksote käyttää vain vähän vastaavanlaisia julkaisemiseen tarkoitettuja alustoja.

— Tällainen tietoturva-aukko on ensimmäinen luokkaansa Eksotessa.