Tietosuojavaltuutetun toimisto: rekisterinpitäjän tulee ilmoittaa Log4j-haavoittuvuuden aiheuttamista henkilötietoriskeistä
Tietosuojavaltuutetun toimisto tiedottaa, että rekisterinpitäjän tulee arvioida Log4j-komponentin haavoittuvuudesta henkilötiedoille aiheutuvat riskit sekä ilmoittaa mahdollisista tietoturvaloukkauksista tietosuojavaltuutetun toimistolle. Kyberturvallisuuskeskus tiedotti Apache Log4j-komponentin kriittisestä Log4shell-haavoittuvuudesta 10.12.2021.
Tietosuojavaltuutetun toimiston mukaan henkilötietojen vaarantumisesta on lisäksi ilmoitettava kohteena oleville henkilöille, jos henkilötietojen vaarantuminen aiheuttaa heille korkean riskin. Rekisterinpitäjien tulee huomioida henkilötietojen suoja arvioidessaan seurauksia ja toimenpiteitä, joita mahdollinen hyökkäys aiheuttaa. 30.12.2021 mennessä tietosuojavaltuutetun toimistolle ei ole tullut ilmoituksia, että henkilötietoja olisi vaarantunut haavoittuvuuden vuoksi. Sille on ilmoitettu kahdesta haavoittuvuuteen liittyvästä tietoturvaloukkauksesta.
Apache Log4j-komponenttia käytetään laajasti sovelluksissa ja internetpalveluissa. Kyberturvallisuuskeskus katsoo, että hyökkääjät pyrkivät käyttämään haavoittuvuutta aktiivisesti hyväksi ja ohjeistaa palvelujen ylläpitäjiä päivittämään komponentti tai sitä käyttävät ohjelmistot viipymättä uusiin, korjattuihin versioihin.
Tietosuojavaltuutetun toimiston tiedotteen voit lukea täältä.
Kuva: Markus Spiske sivustolta Unsplash
Kirjoittajat
