Tietomurron kohteeksi joutuneelle yritykselle huomautus puutteellisista suojatoimista ja määräys lyhentää tietojen säilytysaikaa

Hyökkääjä oli saanut pääsyn Forenomin asiakkaille tarkoitettuun itsepalveluportaaliin ja siihen liittyvään toiminnanohjausjärjestelmään rajapinnan haavoittuvuuden kautta. Tietomurto koski kymmeniätuhansia henkilötietoja. Tietosuojavaltuutetun toimiston selvityksen mukaan majoitusalalla toimivan yrityksen suojatoimenpiteet olivat olleet puutteellisia. Lisäksi yritys oli säilyttänyt asiakkaiden henkilötietoja liian pitkään.

Tietosuojavaltuutetun toimisto sai tietoturvaloukkauksesta useita kanteluita, joissa rekisteröidyt kertoivat olleensa Forenomin asiakkaita yli kymmenen vuotta sitten.

Tietosuojavaltuutettu antoi Forenomille huomautuksen puutteista henkilötietojen suojaamisessa. Tietosuojavaltuutettu katsoo, että yritys olisi voinut suorittaa säännöllisempää testausta haavoittuvuuksien havaitsemiseksi ja korjaamiseksi.

Tietomurto toteutettiin SQL-injektion avulla. Hyökkääjä oli suorittanut automaation avulla useita erilaisia komentoja, joista ainakin yksi oli hyödyntänyt tietokannan rajapinnan haavoittuvuutta. SQL-injektiot ovat yksi kriittisimmistä verkkopalveluiden tietoturvariskeistä.

Tietosuojavaltuutettu muistuttaa, että verkkopalveluiden ja tietokantapalvelinten ylläpitäjien on huolehdittava SQL-injektioiden torjunnasta muun muassa järjestelmien riittävällä testauksella. Injektioita voidaan estää myös kattavilla palomuuritoiminnoilla.

Henkilötietojen käsittelyssä on noudatettava tietojen minimoinnin periaatetta

Forenom kertoi säilyttävänsä kaikkia majoitus- ja vuokrasuhteeseen liittyviä asiakastietoja kymmenen vuotta muun muassa mahdollisiin vahingonkorvauskanteisiin varautumista varten. Tietosuojavaltuutettu piti kuitenkin ilmeisenä, että riitatilanteita selvitetään pääsääntöisesti pian vuokrasuhteen päätyttyä. Tietoja voidaan silloin tarvittaessa säilyttää pidempään. 

Tietosuojavaltuutettu katsoo, että yritys ei ollut noudattanut tietojen minimoinnin ja säilytyksen rajoittamisen periaatteita. Yleisen tietosuoja-asetuksen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen kannalta. Henkilötietojen säilytysajan on oltava mahdollisimman lyhyt.

Forenom oli tietomurron jälkeen lyhentänyt henkilötietojen säilytysaikaa, mutta määritellyt säilytysajan kirjanpitolain säilytysvelvoitteiden perusteella. Tietosuojavaltuutettu muistuttaa, ettei kirjanpitolakia voi käyttää perusteena säilyttää sellaisia henkilötietoja, joiden säilyttämistä ei edellytetä kirjanpitolaissa. Tietosuojavaltuutettu määräsi yrityksen lyhentämään säilytysaikaa siltä osin, kun tietoja ei tarvitse säilyttää kirjanpidon tai muiden lakisääteisten velvoitteiden noudattamiseksi.

Päätös ei ole lainvoimainen.

Tietosuojavaltuutetun päätös Finlexissä: Tietoturvaloukkaus ja tietojen minimointi

Lisätietoja:

tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Tietoturvaloukkaus koski ihmisiä useassa Euroopan talousalueen maassa. Asia käsiteltiin sen vuoksi tietosuojaviranomaisten rajat ylittävässä yhteistyömenettelyssä. Tietosuojavaltuutetun toimisto toimi johtavana valvontaviranomaisena, ja tapauksen käsittelyyn osallistui 17 tietosuojaviranomaista eri ETA-maista.