Kulkukeskuksen asiakkaiden henkilötietoihin kohdistunut tietoturvaloukkaus

Tietoturvaloukkaus on tapahtunut 4.7.−24.10.2021 yhteensä kahdeksana päivänä, kun FCG Smart Transportation Oy:n entinen työntekijä on kirjautunut Kulkukeskuksen järjestelmään työsuhteensa päättymisen jälkeen. Tämä on ollut mahdollista, koska FCG Smart Transportation Oy ei ollutsulkenut henkilön käyttäjätunnuksia. Asiakkaiden tietoja ei ole haettu systemaattisesti, vaan henkilö on tehnyt muutamia satunnaisia hakuja ja avannut joitakin matkatilauksia ja asiakasprofiileja.

Henkilöllä on ollut mahdollisuus nähdä asiakkaiden kuljetuksia varten perustettujen profiilien tietoja kuten nimi- ja osoitetietoja, henkilötunnuksia sekä kuljetuksen järjestämisen kannalta välttämättömiä tietoja.

Poliisi tutkii asiaa, FCG:ltä vaadittu selvitystä

FCG Smart Transportation Oy on keskustellut alustavasti tietoja hakeneen henkilön kanssa. Henkilö on kertonut, että ainoastaan hän itse on käyttänyt tunnuksia. Syynä järjestelmään kirjautumiseen on henkilön mukaan ollut uteliaisuus.

Sen jälkeen, kun tietoturvaloukkaus havaittiin, FCG Smart Transportation Oy sulki välittömästi entisen työntekijänsä tunnukset sekä tarkisti kaikki muutkin järjestelmässä voimassa olevat tunnukset. Vastaavia muita tapahtumia tai avoimia tunnuksia ei ole löytynyt.

Espoon kaupunki on tehnyt asiasta tutkintapyynnön poliisille. Jos tietoturvaloukkauksen kohteeksi joutunut asiakas haluaa, voi hän tehdä myös oman rikosilmoituksen.

"Suhtaudumme vakavasti tietoturvaloukkauksiin, jotka koskevat kaupungin palveluja. Tästä tapauksesta tekee erityisen vakavan se, että tietoturvaloukkaus kohdistuu asiakkaidemme henkilötietoihin. Olemme saattaneet asian poliisin tutkittavaksi, mutta lisäksi edellytämme FCG Smart Transportation Oy:ltä selvitystä siitä, miksi tunnukset ovat jääneet sulkematta ja kuinka yritys takaa, ettei vastaavaa enää tapahdu”, kertoo vammaispalvelujen päällikkö Anu Autio.