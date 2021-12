Henkilötietojen ei tiedetä vaarantuneen, mutta kahden tietoturvaloukkauksen tutkinta on kesken.

Erittäin laajaan Java-teknologian haavoittuvuuteen on hyökätty aktiivisesti jo viikkojen ajan. Tästä huolimatta vahingot tavallisille kuluttajille näyttävät jääneen toistaiseksi vähäisiksi Suomessa. Asiasta kertoi Tietosuojavaltuutetun toimisto torstaina.

Tietosuojavaltuutetun toimiston tietoon ei ole 30.12. mennessä tullut, että henkilötietoja olisi vaarantunut haavoittuvuuden vuoksi. Tietosuojavaltuutetun toimisto on vastaanottanut kaksi haavoittuvuuteen liittyvää tietoturvaloukkausilmoitusta, ja niiden käsittely on vielä kesken.

Kyse on niin kutsutusta Log4shell-haavoittuvuudesta, joka koskee Java-teknologian Log4j-komponenttia. Se on laajasti käytössä sovelluksissa ja internet-palveluissa. Aukkoon on olemassa useita virallisia korjauksia, ja päivittäminen on ennen kaikkea järjestelmien ja palveluiden ylläpitäjien vastuulla. Joissakin tapauksessa tavallisen kuluttajan voi olla tarpeen päivittää laitteitaan itse.

Rekisterinpitäjän tulee ilmoittaa Log4j-komponentin haavoittuvuudesta johtuvasta tietoturvaloukkauksesta toimistolle, jos hyökkäys on vaarantanut henkilötietoja. Loukkauksesta on ilmoitettava myös kohteeksi joutuneille henkilöille, jos tietojen vaarantuminen aiheuttaa heille korkean riskin.

Kyberturvallisuuskeskus julkaisi Log4shellistä punaisen varoituksen 10. joulukuuta. Varoitus on edelleen voimassa, ja keskuksen mukaan haavoittuvuutta pyritään käyttämään aktiivisesti hyväksi. Keskus on arvioinut, että käytännössä kaikki suomalaiset yritysverkot ovat hyökkäyksen kohteena, käytettiin niissä haavoittuvaa komponenttia tai ei.