Terveystalon verkkoajanvarauksesta kalasteltu henkilötietoja – järjestelmän haavoittuvuus oli tiedossa jo etukäteen

Henkilötietojen vuoto tuli ilmi, kun Terveystalo sai kiristyskirjeen. Terveystalo on tehnyt asiasta rikosilmoituksen.

Suomen Terveystalo
nainen terveystalon ovella
Terveystalo lähetti tapauksesta tiedotteen kaikille asiakkailleen maanantaiaamuna.Ismo Pekkarinen / AOP

Terveyspalveluita tarjoavan Terveystalon asiakkaita on joutunut tietojenkalastelun uhriksi.

Yksittäisten ihmisten henkilötunnuksia on todennäköisesti päätynyt ulkopuolisten tietoon Terveystalon verkkoajanvarauksessa olleen haavoittuvuuden kautta. Terveystalon digitalisaatiosta vastaavan johtajan Juha Juosilan mukaan kyse on alle kymmenen ihmisen tiedoista.

– Heidät kaikki on tavoitettu, ja toimenpiteisiin on ryhdytty vastaavien tapausten estämiseksi.

Tietojenkalastelu on kohdistunut ainoastaan sähköiseen verkkoajanvaraukseen, jossa ei käsitellä potilastietoja. Verkkoajanvarauksen kautta ulkopuolisten tietoon on voinut päätyä asiakkaiden nimi ja henkilötunnus.

Tapaus tuli esiin Terveystalon saaman kiristysviestin perusteella. Terveystalon on tehnyt asiasta rikosilmoituksen poliisille ja ilmoituksen tietosuojavaltuutetulle sekä Kyberturvallisuuskeskukseen.

– Kiristysviestin sisältöä tai yksityiskohtia en voi käydä läpi, koska se on poliisin tutkinnassa. Sitä kautta tietojenkalastelu kuitenkin tuli ilmi, Juosila toteaa.

Mahdollinen haavoittuvuus oli jo tiedossa

Jo ennen tietojen vuotamista oli tiedossa, että käytössä olevassa verkkoajanvarausjärjestelmässä on mahdollinen haavoittuvuus.

Juosilan mukaan Tietosuojavaltuutetun toimisto on pyytänyt heiltä selvitystä verkkoajanvarausjärjestelmän mahdollisesta haavoittuvuudesta viime syksynä, ja Terveystalo on toimittanut selvityksen joulukuussa.

– Meillä on ollut tiedossa teoreettinen mahdollisuus, että osaava tekijä voi tällaisen tehdä. Asiaa on selvitetty yhdessä tietosuojavaltuutetun kanssa, mutta heiltä ei ollut vielä tullut vastausta joulukuun selvitykseemme, Juosila sanoo.

Tietojenkalastelun tultua ilmi Terveystalo on lisännyt verkkoajanvarauksen teknistä valvontaa. Lisäksi yritys aikoo ottaa vahvan tunnistautumisen käyttöön verkkoajanvarauksessaan pikaisella aikataululla.

Vahvaa tunnistautumista käytetään myös monien julkisten palveluiden, esimerkiksi Kelan tai verottajan sivuille kirjautuessa.

– Tietosuojavaltuutetun toimistoon olemme olleet yhteydessä viimeksi eilen ja heidän mielestään nyt lisätyt suojaukset ovat olleet riittäviä. Meillä ei ole tiedossa, että verkkosivujemme kautta olisi tätä ennen ongittu henkilötietoja.

Vahva tunnistautuminen käyttöön ajanvarauksessa

Terveystalo lähetti tapauksesta tiedotteen kaikille asiakkailleen maanantaiaamuna. Juosilan mukaan asiakkaat voivat halutessaan ottaa verkkoajanvarauksen pois käytöstä soittamalla asiakaspalveluun.

– Näin voi halutessaan toimia siihen asti, kunnes verkkoajanvarauksen turvallisuutta parantava vahva tunnistautuminen otetaan käyttöön. Haluan korostaa, että riski on kuitenkin erittäin pieni eikä mitään arkaluonteisiksi luokiteltuja henkilötietoja ole voinut päätyä ulkopuolisille.