Microsoftin Exchange-palvelimen haavoittuvuudesta johtuvasta henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa rekisteröidyille ja tietosuojavaltuutetun toimistolle

Tietosuojavaltuutetun toimisto muistuttaa, että rekisterinpitäjän tulee ilmoittaa henkilötietojen tietoturvaloukkauksesta sen kohteena oleville henkilöille sekä valvontaviranomaiselle silloin, kun tietoturvaloukkaus aiheuttaa todennäköisesti korkean riskin rekisteröidyille. Kyberturvallisuuskeskus varoitti Exchange-sähköpostipalvelimen kriittisestä haavoittuvuudesta maaliskuun alussa.

Tietosuojavaltuutetun toimisto on saanut maaliskuun aikana 28 tietoturvaloukkausilmoitusta Microsoftin Exchange-sähköpostipalvelimen kriittiseen haavoittuvuuteen liittyen. Määrän odotetaan edelleen kasvavan.

Kyberturvallisuuskeskus arvioi maaliskuun alussa, että haavoittuvuutta käytetään aktiivisesti hyväksi, ja että haavoittuvaa Exchange-palvelinta käyttävän organisaation tulee lähteä siitä, että se on joutunut tietomurron kohteeksi. Pelkkä ohjelmistopäivityksen asentaminen ei riitä pitämään hyökkääjää loitolla. Varoituksesta voi lukea lisää Kyberturvallisuuskeskuksen tiedotteesta.

Tietoturvaloukkauksesta tulee ilmoittaa, jos korkeariskisiä henkilötietoja on menetetty 

Henkilötietojen tietoturvaloukkauksen kohteeksi joutuessaan rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteena olleille henkilöille. Henkilötietojen tietoturvaloukkauksessa henkilötietoja tuhoutuu, häviää, muuttuu, niitä luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Sähköpostipalvelimen tietomurto todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille. Tällaisesta henkilötietojen tietoturvaloukkauksesta on ilmoitettava loukkauksen kohteena olleille henkilöille ilman aiheetonta viivytystä. Rekisteröidyille ilmoittamisesta säädetään tarkemmin yleisen tietosuoja-asetuksen artiklassa 34.

Korkean riskin aiheuttavasta henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa valvontaviranomaiselle eli tietosuojavaltuutetun toimistolle. Vastuu ilmoituksen tekemisestä on rekisterinpitäjällä. Henkilötietojen tietoturvaloukkauksesta on ilmoitettava ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu. Korkean riskin aiheuttava tietoturvaloukkaus tulee myös dokumentoida.

Lisätietoja:

Lue lisää tietoturvaloukkauksista verkkosivuillamme

Tiedote Microsoftin verkkosivuilla (englanniksi): HAFNIUM targeting Exchange Servers with 0-day exploits