Elintarvikeyhtiö Valioon kohdistunut laajaa tietomurto sai alkunsa varastetuista vpn-tunnuksista, selviää ohjelmistoyhtiö Vincitin tilinpäätöstiedotteesta.
Toimitusjohtaja Julius Manni toteaa tiedotteessa, että tunnukset varastettiin Vincitin työntekijän henkilökohtaisen tietokoneen kautta. Niiden avulla rikolliset pääsivät tunkeutumaan asiakkaan suljettuun verkkoon.
– Varastetuilla tunnuksilla ei suoraan päästy murtautumaan asiakkaiden järjestelmiin tai asiakkaiden hallinnoimiin henkilötietoihin, hän sanoo.
Manni selvensi asiaa myös tulosjulkistuksen jälkeisessä tiedotustilaisuudessa torstaina aamupäivällä.
– Tämä monivaiheinen hyökkäys kykeni hyödyntämään näitä varastettuja tunnuksia, pääsemään sisään niin sanotusti asiakkaan toimiston aulaan ja siitä eteenpäin hyödyntämään muita, Vincitistä riippumattomia tietoturvahaavoittuvaisuuksia ja saamaan laajempaa tuhoa aikaan, Manni totesi.
Hän sanoi, ettei Vincit ollut suoraan ylläpitovastuussa järjestelmistä tai datasta, joihin rikolliset pääsivät lopulta käsiksi.
"Tietoturvariskit kohonneet merkittävästi"
Mannin mukaan kaikki tarvittavat toimenpiteet tehtiin Vincitin osalta välittömästi: koko vaarantunut käyttäjätili poistettiin ja vpn-ratkaisu ajettiin alas. Asiasta tehtiin perusteellisen selvitystyön yhteistyössä tietoturva-ammattilaisten ja viranomaisten kanssa.
– Tulemme nopeuttamaan jo käynnissä olleiden tietoturvahankkeiden aikataulua ja entisestään lisäämään panostuksia tietoturvan kehittämiseen ja riskienhallintaan yhdessä asiakkaidemme kanssa, Manni sanoi.
Hän totesi, että olennaista on oppia tapauksesta.
– Tietoturvariskit ovat kohonneet merkittävästi viimeisten parin vuoden aikana. Olennaista on ymmärtää, että kukaan yksittäinen toimija ei pysty ratkaisemaan yksin turvallisempaa tietoturvakokonaisuutta, varsinkaan tässä meidän toimialalla, vaan se on yhteistyötä läpi koko ekosysteemin.
Tutkitaan törkeänä tietomurtona
Joulukuussa tapahtunut tietomurto on vaarantanut noin 70 000 ihmisen henkilötiedot. Valtaosassa tapauksista hyökkääjän haltuun on päätynyt uhrin nimi ja henkilötunnus.
Poliisi kertoi helmikuun alussa, että tapausta tutkitaan törkeänä tietomurtona.
Vincit on Valion it-palvelukumppani, eli se myy Valiolle it-palveluita.
Tietoturvahyökkäykseen liittyneiden kustannusten kerrotaan rasittaneen Vincitin viimeisen vuosineljänneksen tulosta. Liikevaihto laski loppuvuonna 2,1 miljoonaa euroa vuotta aiemmasta ja oli 21,5 miljoonaa euroa.
Oikaistu ebita-tulos oli 0,4 miljoonaa miinuksella, kun se vuotta aiemmin oli 1,7 miljoonaa miinuksella.
Tämän vuoden liikevaihdon arvioidaan jäävän alle edellisvuoden, mutta suhteellisen kannattavuuden arvioidaan olevan edellisvuotta parempi.
