Valtorin tietomurto laajeni Puolustusvoimiin ja presidentin kansliaan – KRP epäilee vakoilua
Helmikuussa paljastunut Valtorin mobiilihallinnan tietomurto ulottuu syvemmälle valtion ydintoimintoihin kuin viranomaiset ovat aiemmin julkisesti kertoneet. Vuotanut aineisto sopii kohdennettuun kalasteluun, ja KRP on jo päivittänyt rikosnimikkeisiin vakoilun.
Tiivistelma
Yle on saanut asiakirjat, joiden mukaan helmikuun Valtori-tietomurto kosketti myös Puolustusvoimia, tasavallan presidentin kansliaa, Tullia ja Poliisihallitusta. KRP lisäsi rikosnimikkeisiin vakoilun huhtikuussa. Vuotanut metatieto on raaka-ainetta kohdennettuun kalasteluun, ja kuka tahansa suomalainen voi nähdä lähikuukausina aiempaa uskottavampia huijausviestejä.
Puolustusvoimat, tasavallan presidentin kanslia, Tulli ja Poliisihallitus. Siinä neljä uhrijoukon nimeä, joita Valtorin helmikuisesta tiedotteesta puuttui. Yle sai julkisuuteen asiakirjat, joista näiden virastojen rooli käy ilmi.
Tietomurto havaittiin valtion tieto- ja viestintätekniikkakeskus Valtorilla 30. tammikuuta. Julkinen tiedote annettiin helmikuun kuudentena. Alkuperäinen arvio kosketti noin 20 000:n laitteen tietoja, mutta jälkikäteen luku on tarkentunut.
Vuotaneessa aineistossa on noin 50 000 keskushallinnon työntekijän mobiilihallinnan käyttäjä- ja konfiguraatiotietoja. Valtori palvelee kaikkiaan noin 77 000 valtionhallinnon työntekijää.
Asiakirjojen mukaan Puolustusvoimien kohdehenkilöiden tarkka määrä on peitetty. Presidentin kanslian osalta vuotaneita henkilöitä on yli 50, Tullissa noin 50 ja Poliisihallituksessakin 16–30. Listalla on lisäksi useita ministeriöitä.
Aiemmin julkisuudessa puhuttiin lähinnä valtioneuvoston piirin laitteista.
Vakoilu nousi rikosnimikkeisiin huhtikuussa
KRP avasi esitutkinnan helmikuun toisena päivänä. Alun perin nimikkeenä oli törkeä tietomurto, mutta huhtikuun 21. päivänä rikosnimikkeisiin lisättiin myös vakoilu. Päivitys tehtiin vuotaneen aineiston analyysin perusteella.
Tutkinnanjohtajana toimii Aku Limnell, KRP:n rikoskomisario.
– On mahdollista, että tietoja yhdistelemällä niistä voi muodostua tietoa, joka vaikuttaa Suomen turvallisuuteen ja voi aiheuttaa vahinkoa, Limnell toteaa.
Tekijää ei ole tätä artikkelia kirjoitettaessa nimetty. Limnell ei ole julkisesti vahvistanut epäiltyä valtiota tai ryhmää, ja KRP suhtautuu hyvin pidättyväisesti tutkinnan yksityiskohtiin.
Mistä vuoti, ja mitä ei vuotanut
Juurisyy oli kaupallisessa MDM-tuotteessa eli mobiililaitteiden hallintajärjestelmässä havaittu zero-day-haavoittuvuus. Toimittaja julkisti haavoittuvuuden 29. tammikuuta, ja Valtori paikkasi sen samana iltapäivänä ja eristi palvelun verkosta. Reagointiaika oli oikeastaan ihan poikkeuksellisen nopea, mutta hyökkääjä ehti silti pyyhkäistä tietokannoista varteenotettavan saaliin.
Vuotaneeseen aineistoon kuuluvat nimet, työsähköpostit, puhelinnumerot, laitteen konfiguraatiotiedot, sijaintimaatieto ja tieto laitteille asennetuista sovelluksista. Viestien sisältöjä tai laitteilta peräisin olevia tiedostoja ei vuotanut. Hannu Naumanen, Valtorin toimitusjohtaja, on ollut tästä rajauksesta tarkka.
– Ei turvallisuusverkossa olevia tietoja ole vuotanut, Naumanen sanoi helmikuussa.
Naumasen rauhallisesta linjasta huolimatta vuotanut paketti on ammattilaiselle arvokas. Konfiguraatiosta selviää, mistä laitteesta on kyse, mihin järjestelmiin se yhdistyy ja millaisilla profiileilla työntekijä toimii.
Mikä on MDM?
MDM (Mobile Device Management) on keskushallinnon työpuhelimien etähallintajärjestelmä, joka pitää huolen laitteiden konfiguraatiosta, sovelluksista ja käyttäjätiedoista. MDM ei tyypillisesti pääse käsiksi viestien sisältöön, ainoastaan laitteen profiiliin. Siksi tämän vuodon raaka-aine on metatietoa, ei sisältöä.
Miksi tapaus koskee jokaista suomalaista
Vuotanut metatieto on kohdennetun spear-phishingin ja smishingin paras mahdollinen lähtöaineisto. Hyökkääjä tietää nimen, työroolin, työsähköpostin, työpuhelimen numeron ja sen, mitä sovelluksia laitteella on.
Miten tällainen näkyy tavalliselle vastaanottajalle? Viestit kohdistuvat ensin valtionhallinnon työntekijöihin, mutta niiden lähestymistapa on hyvin todennäköisesti opetuslähde laajemmalle aallolle. Kun rikolliset näkevät, mikä toimii, samat tekstit muokataan kuluttajille.
Jää nähtäväksi, kuinka nopeasti sävy päätyy myös pankki- ja verkkokauppaviesteihin.
Suomalaisten on syytä varautua aiempaa uskottavampiin smishing-tekstareihin ja kohdennettuihin sähköposteihin lähikuukausina. Erityisesti viestit, jotka näyttävät tulevan tutulta valtion virastolta tai pankilta, vaativat tavallista tarkemman katseen.
Tunnistusmerkit
- Viesti vaikuttaa tulevan tutulta kollegalta tai esimieheltä, mutta sisältö on tavallista kiireellisempi tai poikkeaa rutiinista.
- Lähetysnumero on uusi tai sähköpostiosoitteen domain melkein oikea, esimerkiksi yksi kirjain ylimäärin.
- Pyydetään vahvistuskoodia, salasanaa tai painamaan linkkiä työajan ulkopuolella.
- Sisällössä viitataan oikeaan järjestelmään tai sovellukseen, jonka pitäisi olla tiedossa vain organisaation sisällä.
Mitä tehdä
Suhtaudu epäilevästi odottamattomiin viesteihin, jotka näyttävät tulevan kollegalta, esimieheltä tai virastolta. Vahvista pyyntö aina toista kanavaa pitkin: soita henkilölle suoraan, äläkä käytä viestissä annettua numeroa.
Älä koskaan välitä todentamiskoodeja tekstiviestillä tai sähköpostilla. Niitä ei kysytä aidoissa työnkulkuissa, ei pankissa, ei valtion palveluissa eikä työpaikan IT-tuessa.
Jos epäilet saaneesi kohdennetun kalasteluviestin, ilmoita siitä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Valtionhallinnon työntekijät tekevät ilmoituksen myös oman organisaation tietoturvavastaavalle. Jos olet jo painanut linkkiä tai antanut tunnuksia, vaihda salasana välittömästi ja ota yhteys työnantajan IT-tukeen.
Mitä seuraavaksi
Esitutkinta on yhä kesken, eikä KRP ole toistaiseksi nimennyt epäiltyä. Ylen saamat asiakirjat kasvattavat painetta valtionhallinnon avoimuudelle siitä, kenen tiedot todellisuudessa vuotivat ja milloin asianomaisia on informoitu. Sama paine kohdistuu MDM-toimittajaan, jonka zero-day pääsi listalle vain muutama tunti ennen hyökkäystä.
Huijausvahti seuraa tapauksen etenemistä.