Rekisterinpitäjän tulee arvioida Log4j-haavoittuvuudesta henkilötiedoille aiheutuvat riskit

Rekisterinpitäjän tulee ilmoittaa Log4j-komponentin haavoittuvuudesta johtuvasta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle, jos hyökkäys on vaarantanut henkilötietoja. Loukkauksesta on ilmoitettava myös kohteeksi joutuneille henkilöille, jos tietojen vaarantuminen aiheuttaa heille korkean riskin. Apache Log4j-komponentista on löydetty useita kriittisiä haavoittuvuuksia. Kyberturvallisuuskeskus varoitti Log4shell-haavoittuvuudesta 10. joulukuuta.

Apache Log4j on laajasti käytössä sovelluksissa ja internetpalveluissa. Kyberturvallisuuskeskuksen mukaan haavoittuvuutta pyritään käyttämään aktiivisesti hyväksi. Tietosuojavaltuutetun toimisto haluaa muistuttaa, että haavoittuvuus voi aiheuttaa riskejä myös henkilötiedoille. Rekisterinpitäjien on siksi huomioitava myös henkilötietojen suoja, kun he arvioivat mahdollisesta hyökkäyksestä aiheutuvia seurauksia ja toimenpiteitä.

Tietosuojavaltuutetun toimiston tietoon ei ole 30.12. mennessä tullut, että henkilötietoja olisi vaarantunut haavoittuvuuden vuoksi. Tietosuojavaltuutetun toimisto on vastaanottanut kaksi haavoittuvuuteen liittyvää tietoturvaloukkausilmoitusta, ja niiden käsittely on vielä kesken.

Kyberturvallisuuskeskus kehottaa palvelujen ylläpitäjiä päivittämään komponentti tai sitä käyttävät ohjelmistot mahdollisimman pian uusiin, korjattuihin versioihin. Varoitus ja ohjeita haavoittuvuuden löytämiseksi, testaamiseksi ja vaikutusten rajaamiseksi ylläpitäjille on luettavissa Kyberturvallisuuskeskuksen verkkosivuillaan julkaisemasta haavoittuvuustiedotteesta.  

Lisätietoja:

Lue lisää tietoturvaloukkauksista ilmoittamisesta verkkosivuillamme

Varoitus kyberturvallisuuskeskuksen verkkosivuilla (10.12.2021)

​​​​​​​Päivitetty 30.12. klo 12:46: Lisätty maininta komponenttia käyttävien ohjelmistojen päivittämisestä.