Suomessa on havaittu viime viikolla maailmalla hurjaa vauhtia leviävä avoimen lähdekoodin haavoittuvuus.

Kyse on Log4j-ohjelmistokoodista, jonka asian osaava saa auki. Sitä kautta voidaan murtautua tietokoneen ja palvelimien sisälle ja yrittää saada sieltä tietoja ja hallita konetta. Kotikoneille voidaan esimerkiksi asentaa ohjelmistopätkä, jolla voidaan tehdä kryptolouhintaa. Louhinta hidastaa selvästi konetta.

– Ongelmana tässä on se, ettemme tiedä missä ja kuinka paljon koodia on käytössä, sanoo erityisasiantuntija Kimmo Rousku Digi- ja väestötietokeskuksesta Radio Suomen Päivän haastattelussa.

Rousku pitää haavoittuvuuden löytymistä samalla hyvänä herätyksenä sille, että hyväksi havaittu avoin lähdekoodi on periaatteessa kenen tahansa muokattavissa. Koodin suosiosta kertoo esimerkiksi se, että sitä käytetään muun muassa Yhdysvaltain avaruushallinnon Nasan Mars-mönkijöissä.

Koodin suosion takia haitan raajaminen ja ongelman ratkaisu on hankalaa.

– Me voimme päivittää ja vaihtaa turvalliseen versioon ohjelmasta, mutta valitettavasti se on levinnyt joka paikkaan ja otettu hallitsemattomasti käyttöön.

Avoimen lähdekoodin käyttö ja sen vikatilanteiden raportointi ovat vapaa-ehtoista. Tämän takia ei tarkkaan tiedetä, kuinka paljon haittoja haavoittuvuudesta on aiheutunut ja aiheutumassa.

Ensimmäinen havainto Suomessa reilu viikko sitten

Kyberturvallisuuskeskuksen mukaan ensimmäinen haavoittuvuus on löydetty Suomesta reilu viikko sitten. Sen jälkeen havaintojen (siirryt toiseen palveluun) määrä on kasvanut räjähdysmäisesti ja niitä tehdään koko ajan lisää.

Digi- ja väestötietokeskuksen Kimmo Rouskun mukaan muun muassa pankeissa on tehty viime päivinä ohjelmistopäivityksiä, joilla voidaan ehkäistä haavoittuvuutta.

– Lähes kaikissa organisaatioissa on tehty tämän eteen pitkiä päiviä ja haittaa on saatu korjattua, on ajettu päivityksiä ja tehty muita keinoja.