Kuljetuspalveluita tuottava Westlog Oy on joutunut kyberhyökkäyksen kohteeksi, mikä on johtanut yrityksessä ylläpidettävien henkilötietojen luottamuksellisuuden menettämiseen. Westlog vastaa muun muassa Essity Oy:n inkontinenssituotteiden ja Roche Diagnostics Oy:n diabetestuotteiden kotiinkuljetuspalvelusta. Hyvinvointialueet ostavat Essityltä ja Rochelta hoitotarvikkeita asiakkailleen.

Aiemman tiedon mukaan tietovuoto koski pelkästään Essityn asiakastietoja. Myöhemmin on tullut tietoon, että kohteena ovat olleet myös Rochen asiakastiedot.

Tietoturvaloukkaus koskee yli 4 000 Keusoten hoitotarvikejakelun asiakasta

Keusoten alueella henkilötietovuoto koskee yli 4 000 asiakasta, jotka ovat tilanneet hoitotarvikejakelumme kautta TENA-tuotemerkin inkontinenssisuojia kotiinkuljetuksella viimeisen vuoden aikana. Diabetestuotteita emme enää tilaa Rochelta, mutta tietovuoto on voinut kohdistua noin kymmeneen asiakkaaseen, jotka ovat aiemmin tilanneet kauttamme AccuCheck-merkkisiä diabetespumppuja.

Loukkaus koskee henkilöiden nimeä, puhelinnumeroa, sähköpostiosoitetta, osoitetta ja tietoa tehdyistä tilauksista. Jos järjestelmään on tallennettu henkilön henkilötunnus ja/tai ovikoodi, koskee loukkaus myös näitä tietoja.

Keusote lähettää kaikille tietoturvaloukkauksen kohteena oleville henkilöille kirjeen kotiosoitteeseen. Suosittelemme kauttamme kyseisiä tuotteita kotiin tilanneita asiakkaita tutustumaan jo tässä vaiheessa Kyberturvallisuuskeskuksen verkkosivuillaan julkaisemiin ohjeisiin tietovuodon uhrille. Kehotamme pysymään varuillaan ja kiinnittämään erityistä huomiota mahdollisiin petosyrityksiin. Kaikissa rikostapauksissa, kuten identiteettivarkauksissa, suosittelemme vahvasti olemaan aina yhteydessä poliisiin.

Keusote on pyytänyt Essityltä lisätietoja ja toimintaohjeita. Tiedotamme tietoturvaloukkauksesta välittömästi enemmän, kun saamme tarkennettua tietoa.

Mitä tiedämme tietoturvaloukkauksesta tähän mennessä?

Westlog havaitsi 24.8.2023 palvelimellaan kiristyshaittaohjelman. Tutkinnan jälkeen 4.9.2023 vahvistui, että asiakkaiden henkilötietojen luottamuksellisuus on menetetty. Keusote sai tiedon asiasta 18.9.2023. Saimme myöhemmin 27.9.2023 tiedon, että tietoturvaloukkaus koski Essityn lisäksi myös Rochea. Keusote on ollut hyvin aktiivinen lisätietojen selvittämiseksi.

Westlog on tehnyt seuraavat toimet tietomurron selvittämiseksi:

• Yrityksen tietojärjestelmiin asennettiin erityinen valvontajärjestelmä.
• Kyberturvallisuuskeskukselle (liikenne- ja viestintävirasto Traficom) sekä tietosuojavaltuutetun toimistoon on tehty ilmoitus tietomurrosta.
• Poliisille on tehty rikosilmoitus tietomurrosta.

Westlogin suorittama tutkinta ja varastettujen henkilötietojen yksityiskohtainen arviointi on edelleen kesken. Esimerkiksi loukkauksen koko laajuus tai mahdolliset seuraukset eivät ole vielä tiedossa. Myöskään tietoa tekijästä/tekijöistä tai hänen/heidän aikeistaan ei vielä ole, joten seurauksien arviointi on myös kesken.

Keusote on tehnyt seuraavat toimet:

• Selvittänyt aktiivisesti tapahtunutta ja sen seurauksia asiakkaillemme tapahtumaan liittyviltä toimijoilta.
• Tehnyt yhteistyötä muiden hyvinvointialueiden kanssa, sillä tietovuoto koskettaa laajaa joukkoa henkilöitä valtakunnallisesti.
• Valmistellut infokirjettä ja sen jakelua kaikille tietovuodon kohteena oleville asiakkailleen.
• Tehnyt oman rikosilmoituksen poliisille.

Lisätietoja:

Asiakkaiden mahdolliset yhteydenotot:

• Keusoten tietosuoja-asiantuntija Paula Pilvinen, p. 050 497 7188, tietosuojavastaava@keusote.fi
• Keusoten tietosuojavastaava Satu Jokinen, p. 050 497 2639, tietosuojavastaava@keusote.fi

Muut mahdolliset yhteydenotot:

• Kliinisten tukipalvelujen asiakkuuspäällikkö Miia Seistilä-Kyle, p. 050 497 2477, miia.seistila-kyle@keusote.fi

Tiedote nostettu uudelleen etusivulle 20.10.2023.
Tiedote päivitetty 6.10.2023 klo 11:24, Lisätty tieto, että Essityn lisäksi kohteena ovat olleet myös diabetestuotteita toimittavan Rochen asiakastiedot.
Tiedote päivitetty 28.9.2023 klo 11:51, Lisätty tietoa henkilötietovuodon laajuudesta ja Keusoten toimista sekä lisätietojen antajien yhteystiedot.
Tiedote julkaistu 20.9.2023 klo 17:20.