Traficomin ajoneuvorekisterin väärinkäytön taustalla epäillään tietomurtoa, poliisi tutkii – noin 8000 henkilön tiedot viety

Tapaus liittyy Liikenne- ja viestintäviraston Traficomin ajoneuvorekisteriin kohdistuneeseen väärinkäyttöön. LEHTIKUVA Kuva: Antti Aimo-Koivisto

Rahoitusalalla toimiva Riverty Finland Oy luovutti tietoja yhteistyökumppanilleen Innovoice Oy:lle, vaikka Digi- ja väestötietoviraston (DVV) mukaan sillä ei ollut oikeutta näin tehdä. DVV:n mukaan tietomurron kohteiksi joutuneiden yritysten mahdollisuus hakea väestötietojärjestelmän tietoja on siten perustunut pelkästään Rivertyn tietoluvan vastaiseen toimintaan.

Tapaus liittyy Liikenne- ja viestintäviraston Traficomin ajoneuvorekisteriin kohdistuneeseen väärinkäyttöön. STT selvitti tapahtumien kulun tietosuojaloukkausilmoitusten avulla ja ilmoitusten tekijöitä haastattelemalla. Traficom ei ole kertonut toukokuiseen väärinkäyttöön liittyvien yritysten nimiä, kun asiasta uutisoitiin laajasti toukokuussa.

Riverty kertoo tuottavansa Innovoicelle laskutus- ja osamaksupalveluita. Riverty Finland Oy:n toimitusjohtajan Harri Kanervan mukaan esimerkiksi kuluttajan maksaessa autonsa korjauksen laskulla tai osamaksulla Innovoicen InnoLasku-järjestelmää käyttävä autokorjaamo voi selvittää asiakkaan luottokelpoisuuden Rivertyn palvelun avulla.

”Tietomurron suorittanut taho onnistui saamaan haltuunsa noin 8000 henkilön tietoja Innovoicen palveluun kohdistuneen laittoman hyökkäyksen välityksellä”, Kanerva kirjoittaa sähköpostivastauksessaan.

Kanerva ei antanut STT:lle haastattelua. Hän ei sähköpostilla vastannut kysymykseen siitä, miksi Riverty oli luovuttanut väestötietojärjestelmätietoja luvanvastaisesti eteenpäin.

DVV:n lakiasiainjohtaja Noora Kallio sanoo, että tapaukseen liittyvälle asiakkaalle on annettu lupa väestötietojärjestelmätietojen käyttöön kesällä 2018. Kallio ei haastattelussa kertonut yritysten nimiä.

”On huomioitava, että asiakkaan tietojen käyttö on pääasiallisesti ollut aivan luvan mukaista ja siihen tarkoitettua”, Kallio sanoo.

Innovoicen toimitusjohtaja Johan Hörhammer ei kommentoinut STT:lle yrityksen osuutta tapauksessa.

”Poliisin käynnissä olevasta tutkimuksesta johtuen on parempi, että annetaan poliisin kommentoida”, sanoo Hörhammer STT:lle.

Innovoicen ilmoituksen mukaan autonkorjaus- ja hinausalalla toimivien Kone-Falco Oy:n ja Karkkilan Varaosa Oy:n käyttöympäristöissä tehtiin useita tietomurtoja toukokuun aikana. DVV:n mukaan hyökkääjä oli tehnyt Kone-Falcon ja Karkkilan Varaosan nimissä tuhansia luottokelpoisuuskyselyjä.

Karkkilan Varaosan yrittäjä Ismo Akkanen kertoo, että tietomurtautuja on päässyt Innovoicen järjestelmään yrityksen käyttäjätunnuksella ja salasanalla. Hänellä ei ole kuitenkaan tietoa, että Karkkilan Varaosan järjestelmään olisi murtauduttu.

”Käyttäjätunnukset ja salasana on jostain muualta urkittu kuin meidän järjestelmästämme”, Akkanen sanoo STT:lle.

Karkkilan Varaosa on Innovoicen rahoituspalvelujen käyttäjä. Akkanen sanoo, että Innovoicen järjestelmässä on noin 10–15 Karkkilan Varaosan asiakkaan nimi- ja osoitetiedot. Näihin tietoihin murtautuja on siis päässyt.

Kone-Falcosta ei annettu STT:lle haastattelua. Asianajaja Antti Laakso vastasi sähköpostilla, että Kone-Falcon omiin järjestelmiin ei ole kohdistunut tietomurtoa. Laakson mukaan Kone-Falco tekee yhteistyötä viranomaisten kanssa asian selvittämiseksi.

Innovoicen ilmoituksen mukaan Kone-Falcon tietomurron yhteydessä kolmas osapuoli teki muun muassa rahoituspäätöshakuja ja hakuja Traficomin palveluun, jonka avulla oli mahdollista saada haltuunsa myös henkilötietoja. Tietomurron tekijä oli lisäksi lähettänyt Karkkilan Varaosan nimissä asiakkaalle aiheettoman laskun.

Traficom on kertonut aiemmin, että väärinkäytön seurauksena esimerkiksi henkilötunnuksia on päätynyt kolmannen osapuolen haltuun.

Johtaja Hannu Parkkisenniemi Traficomista kertoo, että Innovoice ei tuota palveluja Traficomille. Tapauksessa Traficomin järjestelmiin ei kohdistunut tietomurtoa.

Traficom luovuttaa ajoneuvojen sekä ajoneuvojen omistajien ja haltijoiden tietoja Innovoicelle, joka tuottaa palveluja esimerkiksi hinaus- ja tiepalvelualan yrityksille. Traficom valvoo Innovoicen toimintaa, Parkkisenniemi sanoo.

Hän ei ota suoraan kantaa siihen, onko valvonnassa ollut puutteita.

”Poliisitutkinnan valmistumisen jälkeen tiedämme konkreettisemmin esimerkiksi sen, mihin toimenpiteisiin meidän täytyy ryhtyä tai onko ylipäätään jotain, mihin meidän pitää jatkossa kiinnittää paremmin huomiota tai miten voisimme välttyä, ettei vastaavaa tapahtuisi uudelleen”, sanoo Parkkisenniemi STT:lle.

Innovoicen tiedonsaanti Traficomilta on keskeytetty.

”Jatkon kannalta pyydämme (Innovoicelta) kattavan selvityksen, miten Innovoicen toiminta voisi jatkossa täyttää riittävän turvallisuustason.”

Väärinkäytön myötä noin 65  000 ajoneuvon omistajan tai haltijan tietoja kysyttiin perusteetta. Tietomurto koski niitä, joiden ajoneuvon rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-xxx–ALJ-xxx.

Digi- ja väestötietoviraston (DVV) tietosuojavaltuutetulle toimittamasta ilmoituksesta selviää, että se oli myöntänyt Riverty Finland Oy:lle tietoluvan, joka oikeutti yritystä käyttämään väestötietojärjestelmän rajapintaa välittäjäyrityksen kautta. Välittäjäyritykselle oli puolestaan myönnetty niin kutsuttu raamilupa, joka oikeuttaa välittämään väestötietojärjestelmän tietoja eteenpäin asiakasorganisaatioille.

Tietolupa on mahdollista luovuttaa asiakasorganisaatioille, jotka täyttävät raamiluvassa asetetut vaatimukset tietojen luvan mukaisesta käyttötarkoituksesta. Luvassa myös määritellään tietojen käsittelyn ehdot ja sallittu käyttötarkoitus.

DVV:n mukaan Rivertyllä ei ollut oikeutta luovuttaa tietoja eteenpäin, mutta virasto kertoo Rivertyn luovuttaneen tietoja yhteistyökumppanilleen Innovoice Oy:lle. Tietomurron kohteiksi joutuneiden yritysten mahdollisuus hakea väestötietojärjestelmän tietoja on siten perustunut pelkästään Rivertyn tietoluvan vastaiseen toimintaan.

DVV:n näkemyksen mukaan se ei ole vastuussa Innovoicen palveluihin liittyvistä turvallisuuspuutteista tai Rivertyn luvanvastaisesta tietojenluovutuksesta. Rivertyn tietolupa ja pääsy väestötietojärjestelmään katkaistiin tapahtuman vuoksi 23. toukokuuta.

Toukokuun puolivälissä myös Verohallinto tiedotti, että se epäilee väärinkäytöstä positiivisessa luottotietorekisterissä. Tuolloin perusteettomat kyselyt positiiviseen luottotietorekisteriin olivat tulleet luotonantajalta, jolloin ne kuitenkin näyttivät Verohallinnon näkökulmasta päällisin puolin normaaleilta.

Tiedon kyselyiden perusteettomuudesta Verohallinto oli saanut itse luotonantajalta.

”Luotonantajalta saamamme tiedon mukaan kyselyissä on mahdollisesti käytetty aikaisemmin muihin organisaatioihin tehtyjen tietomurtojen seurauksena saatuja henkilötunnuksia”, kertoi tuolloin STT:lle Verohallinnon toiminnallinen vastaava Marjaana Ohralahti.

Verohallinnon tietosuojavaltuutetulle lähettämän ilmoituksen mukaan viraston alaiseen positiiviseen luottorekisteriin oli tehty luvattomia luototustietokyselyitä juuri Rivertyn ohjelmistorajapinnan kautta. Verohallinto oli pyytänyt yritykseltä selvitystä perusteettomista kyselyistä.

Ohralahti kertoi maanantaina sähköpostitse STT:lle, että tietomurtoasia on poliisin tutkinnassa. Ohralahden mukaan positiiviseen luottorekisteriin ei itseensä tehty tietomurtoa eikä heidän tiedossaan ole, että luottotietorekisteriotteiden tietoja olisi päätynyt minkään kolmannen osapuolen käsiin.

Verohallinto kertoi toukokuun loppupuolella, että väärin perustein tehdyt kyselyt positiiviseen luottorekisteriin koskevat noin 1  800:aa ihmistä. Tämän jälkeen Verohallinto on ollut rekisteristä kirjeitse yhteydessä niihin ihmisiin, joista perusteeton kysely oli tehty, Ohralahti kertoi maanantaina.