Suomessa on havaittu viime viikolla maailmalla hurjaa vauhtia leviävä avoimen lähdekoodin haavoittuvuus.

Kyse on Log4j-ohjelmistokoodista, jonka asian osaava saa auki. Sitä kautta voidaan murtautua tietokoneen ja palvelimien sisälle ja yrittää saada sieltä tietoja ja hallita konetta. Kotikoneille voidaan esimerkiksi asentaa ohjelmistopätkä, jolla voidaan tehdä kryptolouhintaa. Louhinta hidastaa selvästi konetta.

Kyberturvallisuuskeskus arvioi haavoittuvuuden ja uhan tietokoneille sekä niihin kytketyille oheislaitteille olevan hyvin vakava.

- Ongelmana tässä on se, ettemme tiedä missä ja kuinka paljon koodia on käytössä, sanoo erityisasiantuntija Kimmo Rousku Digi- ja väestötietokeskuksesta Radio Suomen Päivän haastattelussa.

Rousku pitää haavoittuvuuden löytymistä samalla hyvänä herätyksenä sille, että hyväksi havaittu avoin lähdekoodi on periaatteessa kenen tahansa muokattavissa. Koodin suosiosta kertoo esimerkiksi se, että sitä käytetään muun muassa Yhdysvaltain avaruushallinnon Nasan Mars-mönkijöissä.

Koodin suosion takia haitan raajaminen ja ongelman ratkaisu on hankalaa.

- Me voimme päivittää ja vaihtaa turvalliseen versioon ohjelmasta, mutta valitettavasti se on levinnyt joka paikkaan ja otettu hallitsemattomasti käyttöön.

Avoimen lähdekoodin käyttö ja sen vikatilanteiden raportointi ovat vapaa-ehtoista. Tämän takia ei tarkkaan tiedetä, kuinka paljon haittoja haavoittuvuudesta on aiheutunut ja aiheutumassa.

Ensimmäinen havainto Suomessa reilu viikko sitten

Kyberturvallisuuskeskuksen mukaan ensimmäinen haavoittuvuus on löydetty Suomesta reilu viikko sitten. Sen jälkeen havaintojen määrä on kasvanut räjähdysmäisesti ja niitä tehdään koko ajan lisää.

Haavoittuvuuden suuruus selviää myöhemmin.

Digi- ja väestötietokeskuksen Kimmo Rouskun mukaan muun muassa pankeissa on tehty viime päivinä ohjelmistopäivityksiä, joilla voidaan ehkäistä haavoittuvuutta.

- Lähes kaikissa organisaatioissa on tehty tämän eteen pitkiä päiviä ja haittaa on saatu korjattua, on ajettu päivityksiä ja tehty muita keinoja.

Rouskun mukana nettipankkeja ja vastaavia palveluita voi käyttää melko huoletta.

Liikkellä myös toinen vastaava haitta

Rousku muistuttaa Log4j lisäksi myös toisesta haavoittuvuudesta, jossa käyttäjä saa tekstiviestin kännykkäänsä. Kyse on Flubot -haittaohjelmasta, joka yhdessä Log4j kanssa on aiheuttanut sen, että tietoverkkossa liikkuu nyt todella paljon haittaohjelmia aikaisempiin vuosiin nähden.

- Log4j:tä enemmän olisi huolissani tekstiviestihuijauksista. Flubot kohdistuu kansalaisiin ja Log4j kohdistuu järjestelmiin. Vähän joka puolelta hyökätään meitä vastaan.

Kyberturvallisuuskeskuksen arvion mukaaan viime viikolla Suomessakin havaittu haavoittuvuus on pahin viime vuosina paljastunut tietoturvaongelma.

Sitä verrataan muutaman vuoden takaiseen WannaCry -haittaohjelmaan, joka sotki laajalti tietokoneiden käyttöä. Esimerkiksi Britanniassa terveydenhuoltojärjestelmä meni niin sekaisin, että potilaita jouduttiin kotiuttamaan ennen aikojaan.

Jotta haittaohjelman vioittama laite toimii taas, laite pitää asentaa uudestaan. Myös ohjelmistopäivitykset kannattaa pitää ajan tasalla.

Kyberturvallisuuskeskus kehottaa päivittämään ohjelmistot haavoittuvuuden takia välittömästi.

Lue myös:

Poliisi varoittaa haittaohjelmasta: älä avaa ääniviestiä sisältävää linkkiä, huijausviestit voivat kerryttää jatkossa puhelinlaskuasi