Asianajo­toimisto haksahti kalastelu­viestiin, oikeus määräsi ilmoittamaan siitä asiakkaille

Korkeimman hallinto-oikeuden mukaan tietomurron kohteeksi joutuneen asianajotoimiston asiakkaille koitui todennäköinen ja vakava riski siitä, että kalasteluviestin lähettäjä sai pääsyn yhtiön tietoihin.

Korkein hallinto-oikeus määräsi asianajotoimiston ilmoittamaan tietomurrosta asiakkailleen, joiden henkilötiedot tai luottamukselliset tiedot ovat voineet joutua ulkopuolisen haltuun.

23.11. 10:13

Korkein hallinto-oikeus (KHO) on määrännyt liikejuridiikkaan erikoistuneen asianajotoimiston ilmoittamaan toimistoon kohdistuneesta tietomurrosta asiakkailleen. Ilmoitus on tehtävä ihmisille, joiden henkilötiedot tai luottamukselliset tiedot ovat voineet joutua ulkopuolisille.

Asianajotoimisto MK-Law joutui tietomurron kohteeksi vuonna 2019. Toimiston palveluksessa ollut oli haksahtanut niin sanottuun kalasteluviestiin, ja tätä kautta hänen sähköpostitunnuksensa olivat joutuneet murtautujan haltuun noin kahdeksi vuorokaudeksi.

Hyökkääjällä oli silloin ollut pääsy sähköposteissa ja pilvipalveluissa olleisiin tietoihin. Selvityksen mukaan niissä oli henkilöiden nimiä ja sähköpostiosoitteita oletettavasti noin 2 000–2 500, yksityishenkilöiden osoitteita arviolta 250–500 ja henkilötunnuksia 100–200.

Toimisto ilmoitti tietoturvaloukkauksesta tietosuojavaltuutetulle, muttei asiakkailleen.

Tietosuojavaltuutettu määräsi toimiston ilmoittamaan murrosta myös asiakkaille. Päätöksen mukaan oli pystytty todentamaan, että murtautuja oli avannut sähköpostin ja käyttänyt tietoja useisiin operaatioihin. Sähköposti myös synkronoitui hyökkääjälle, kun se avattiin.

Asianajotoimisto valitti päätöksestä Helsingin hallinto-oikeuteen, mutta se hylkäsi valituksen. Yhtiö vei asian KHO:een.

Toimiston mukaan korkeaa riskiä ei ollut syntynyt ottaen huomioon, että toimiston asiakkaat ovat pääosin yhteisöjä ja sen toimeksiannot koskevat näiden yhteisöjen liiketoimintaa.

Vuosikirjapäätöksessään KHO ei kuitenkaan muuttanut hallinto-oikeuden päätöksen lopputulosta.

KHO:n mukaan ei ollut varmuutta siitä, kuinka laajasti hyökkääjä oli ottanut tietoja käyttöönsä. Joka tapauksessa hyökkääjällä oli ollut pääsy suurehkoon tietomassaan, joka sisälsi asiakkaiden henkilötietoja, kuten nimiä ja henkilötunnuksia. Osa tiedoista liittyi asianajotoimiston luottamuksellisiin toimeksiantoihin.

”Korkein hallinto-oikeus katsoo, että tietoturvaloukkauksesta aiheutuvaa riskiä rekisteröityjen oikeuksille ja vapauksille voidaan esitettyjen tietojen perusteella pitää sekä todennäköisenä että vakavana.”

Hyökkääjä pääsi ensinnäkin käsiksi henkilötietoihin, jotka mahdollistivat identiteettivarkauden. Lisäksi osa tiedoista oli luonnolliseen henkilöön liittyviä luottamuksellisia tietoja, KHO totesi.

Tämän takia KHO katsoi, että tietosuojavaltuutettu oli voinut määrätä asianajotoimiston ilmoittamaan tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidyille. Ilmoitusvelvollisuus koski sellaisia tietoja, jotka olivat luottamuksellisia tai jotka mahdollistivat identiteettivarkauden.

Asianajotoimiston on nyt siis ilmoitettava asiakkailleen tietomurrosta.

Päätöksestä ei ilmene, onko tietomurto nyt rikosprosessissa. HS ei tiistaina aamupäivällä tavoittanut yhtiön hallituksen puheenjohtajaa.

Seuraa ja lue artikkeliin liittyviä aiheita

Osaston uusimmat

Osaston luetuimmat