Eksoten käyttämässä asianhallintajärjestelmän julkaisualustassa on paljastunut tietoturva-aukko

Julkaistu: 23.10.2019 9:00
Päivitetty: 23.10.2019 9:42
​Etelä-Karjalan sosiaali- ja terveyspiirin (Eksote) käyttämässä, ulkopuolisen palveluntuottajan toimittamassa M-Files asianhallintajärjestelmässä on torstaina 17.10. paljastunut tietoturva-aukko. Sen kautta on ollut mahdollista nähdä Eksoten asiakirjoja, joita ei ole tarkoitettu julkisuuteen. Vuodosta on tehty perjantaina 18.10. ilmoitus tietosuojavaltuutetun toimistolle ja tiistaina 22.10. tutkintapyyntö poliisille. Järjestelmän julkaisualusta on toistaiseksi suljettu kokonaan. 

Asia tuli ilmi, kun kansalainen ilmoitti havaitsemastaan tietovuodosta viime torstaina Eksotelle. M-Filesistä pystyi näkemään asiakkaiden hallinnollisiin prosesseihin liittyviä dokumentteja, kuten esimerkiksi sosiaalihuollon tekemiin päätöksiin liittyviä oikaisuvaatimuksia ja sopimuksia.

─ Ilmoituksen jälkeen asiaa selvitettiin ja paljastui, että asianhallintajärjestelmän julkaisualustassa oli virhe. Alusta paljasti M-Filesin asianhallintajärjestelmässä olevia asiakirjoja, joita ei ole tarkoitettu julkisesti verkossa jaettaviksi, sanoo Eksoten tietohallintojohtaja Toni Suihko.

Sama järjestelmä on käytössä muissakin julkishallinnon organisaatioissa. Eksote reagoi vakavasti ja nopeasti havaittuun virheeseen. Tämän viikon aik​ana selvitetään lokeista, onko ei-julkisia asiakirjoja katseltu tietoturva-aukon kautta. Mikäli selviää, että ei-julkisia ja salassa pidettäviä asiakirjoja on päätynyt ulkopuolisille, on Eksote suoraan yhteydessä asianosaisiin.

─ Tietoturva-aukon kautta saatavilla oli tämän hetkisen epäilyn mukaan noin 700 asiakirjaa. Niistä arviolta 300─400 oli julkisia asiakirjoja, kuten kuntayhtymän kokousten pöytäkirjoja ja esityslistoja. Loput asiakirjat olivat sellaisia, joita ei ollut tarkoitus julkaista, Suihko arvioi.​






Share