Janne Yli-Korhonen
21. huhtikuuta, 2026 16:20
Keskusrikospoliisi on edennyt Valtorin mobiilihallintapalveluun kohdistuneen tietomurron tutkinnassa ja nostanut tapauksen vakavuusastetta.
Alun perin törkeänä tietomurtona tutkittu tapaus on saanut rinnalleen uuden rikosnimikkeen, sillä poliisi epäilee asiassa nyt myös vakoilua. Tutkinnanjohtaja Aku Limnellin mukaan rikosnimikkeiden tarkentuminen johtuu esitutkinnan aikana tehdyistä havainnoista, jotka liittyvät anastetun tiedon laatuun ja sen muodostamaan kokonaiskuvaan.
Tammikuun lopulla tapahtuneessa tietomurrossa hyökkääjän käsiin päätyi valtava määrä tietoa, joka koskee valtion virastojen käyttämiä mobiililaitteita.
Vaikka anastettu data koostuu ensisijaisesti laitteiden asetustiedon määrittelyistä ja käyttäjätiedoista, Keskusrikospoliisi arvioi nyt, että näitä tietoja yhdistelemällä on mahdollista muodostaa Suomen turvallisuutta vaarantava tietokokonaisuus.
Rikosnimikkeen muutos vakoiluksi perustuukin nimenomaan datan sisältöön ja sen mahdollistamaan vahinkoon, eikä poliisilla ole vielä tässä vaiheessa tarkennettua epäiltyä tai tekijätahoa tiedossa.
Alun perin Valtori arvioi tietomurron koskettavan noin 20 000 laitetta, mutta myöhemmin luku täsmentyi jopa 50 000 käyttäjätietoon.
Hyökkääjä pääsi käsiksi nimiin, työsähköpostiosoitteisiin, puhelinnumeroihin sekä laitekohtaisiin teknisiin tietoihin. Tutkinnassa selvisi, että hallintajärjestelmä ei ollut poistanut elinkaarensa aikana kertyneitä vanhoja tietoja lopullisesti, mikä laajensi tietomurron koskemaan lähes kaikkia palvelua käyttäneitä organisaatioita. Itse mobiililaitteille tallennettujen tiedostojen ei kuitenkaan uskota vaarantuneen.
Tekniseltä kannalta hyökkäys oli erityisen haastava torjua, sillä se hyödynsi valtiohallinnon käyttämän valmisohjelmiston nollapäivähaavoittuvuutta. Hyökkäys tapahtui 29. tammikuuta, ja vaikka Valtori paikkasi haavoittuvuuden välittömästi korjauspäivityksen ilmestyttyä, hyökkääjä oli ehtinyt viedä tiedot jo ennen suojaustoimia.