Sisältöön

Tapaus OmaPosti tietoturvaloukkaus - SecMeter

Ohita valikko
Ohita valikko

Tapaus OmaPosti tietoturvaloukkaus

Yritysturvallisuus > Tietosuoja
Ohita valikko
OmaPosti -palvelun käyttö muodostaa vakavan tietovuotoriskin



OmaPosti -palvelun omistaa ja sitä hallinnoi Posti Goup OyJ. Tietosuojavaltuutetun selvityksen (TSV/4/2018 13.11.2024) mukaan OmaPostin sähköinen postilaatikko on 1,69 miljoonalla käyttäjällä. Kuukausittain OmaPostiin kirjautuu keskimäärin 0,85 miljoonaa käyttäjää.

OmaPosti -palvelun kautta välitettävät kirjeet ja viestit kuuluvat kirjesalaisuuden suojan piiriin, koska kyse on luottamuksellisesta viestinnästä. Posti saa käsitellä viestejä siinä laajuudessa kuin se on välttämätöntä palvelun tuottamiseksi. Henkilötietojen käsittelyä arvioidaan lisäksi GDPR:n perusteella. Automaattinen aktivointi tai laajempi tietojen hyödyntäminen ei poista kirjesalaisuuden suojaa.

Tämä tapaus koskee vakavaa tietosuoja- ja tietoturvaloukkausta, joka havaittiin 25.2.2026 henkilön käyttäessä Omaposti-palvelua mobiililaitteella. Palveluun kirjauduttua henkilön omat digipostit olivat kadonneet ja niiden tilalla näkyi täysin vieraiden henkilöiden postia.

Palvelussa oli nähtävissä ulkopuolisen henkilön digipostilaatikkoon kuuluvia asiakirjoja usean vuoden ajalta (27.10.2022–29.12.2025), mukaan lukien kuukausittaisia palkkalaskelmia sekä muita henkilökohtaisia asiakirjoja, kuten osoitteenmuutosilmoitus, saapumisilmoituksia, henkilörahastoilmoitus ja tullauspäätös. Lisäksi Traficomin osiossa oli nähtävissä useiden eri henkilöasiakkaiden asiakirjoja.

Kyseessä oli tilanne, jossa henkilölle ilman oikeudellista perustetta avautui pääsy muiden henkilöiden arkaluonteisiin henkilötietoihin. Tapahtuma herättää vakavan huolen palvelun tietoturvasta, henkilötietojen suojasta sekä mahdollisesta laajemmasta käyttöoikeus- tai järjestelmävirheestä.

Tapauksessa on kyse EU:n yleisessä tietosuoja-asetuksessa tarkoitetusta henkilötietojen tietoturvaloukkauksesta. Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkausta, jonka seurauksena henkilötietoja tuhoutuu, katoaa, muuttuu, luovutetaan luvattomasti tai niihin pääsee käsiksi ilman lupaa.

GDPR:n 83 artiklan mukaan vakavista rikkomuksista voidaan määrätä hallinnollinen seuraamusmaksu, joka voi olla enintään:

  • 20 miljoonaa euroa tai
  • 4 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta

Lisäksi rekisteröidyillä voi olla oikeus vahingonkorvaukseen (GDPR 82 artikla), jos heille on aiheutunut aineellista tai aineetonta vahinkoa.
SecMeter havaitsi erittäin vakavan tietoturva- ja tietosuojaloukkauksen OmaPosti -palvelussa. Tilannetta ei voi pitää normaalina teknisenä häiriönä, koska kyse on toisten henkilöiden arkaluonteisten henkilötietojen näkymisestä ulkopuoliselle henkilölle:

  • Usean vuoden ajalta (2022–2025) kertyneistä palkkalaskelmista
  • Viranomais- ja viranomaisluonteisista tiedoista (osoitteenmuutos, tullauspäätös, Traficomin asiakirjoja)
  • Mahdollisesti useiden eri henkilöiden tiedoista
  • Omassa postilaatikossa olleiden henkilökohtaisten kirjeiden häviämisestä ulkopuolisille henkilöille.
  • Kaiken lisäksi Traficomin osuudessa oli useiden eri henkilöasiakkaiden posteja.
OmaPosti
Asia Tapauksia
OmaPosti -palvelun yksityisen henkilön digipostilaatikkoon ohjautui henkilön omien kirjelähetysten sijaan ulkopuolisen henkilön kirjelähetyksiä, jotka sisälsivät muun muassa kaikki kuukausittaiset palkkalaskelmat ajalta 27.10.2022 – 29.12.2025. Lisäksi postilaatikossa oli myös muita kirjelähetyksiä, kuten osoitteenmuutosilmoitus, postilähetyksen saapumisilmoituksia, henkilörahastoilmoitus, tullauspäätös.

Kyseinen tietoturvaloukkaus viittaa joko:

  • Vakavaan käyttöoikeusvirheeseen (tilit sekoittuneet)
  • Tunnistautumisjärjestelmän virheeseen
  • Palveluntarjoajan tietokantavirheeseen
  • Mahdolliseen tietomurtoon

Tapauksen riskitaso
Tilanne on korkean riskin tapaus, koska:

  • Palkkatiedot mahdollistavat identiteettivarkauden
  • Osoitetiedot mahdollistavat väärinkäytöksiä
  • Useiden henkilöiden tiedot näkyivät
  • Virhe tapahtui vahvan tunnistautumisen takana olevassa palvelussa
  • Se, että muiden henkilöiden tiedot näkyvät, tarkoittaa että joku muu näkee myös sinun tietosi.

Traficomin osuus pahentaa tilannetta
Liikenne- ja viestintävirasto Traficom käsittelee ajoneuvo-, ajokortti- ja viestintärekistereitä. Koska useiden eri henkilöasiakkaiden asiakirjoja näkyi palvelussa, kyse voi olla:

  • Järjestelmätason virheestä
  • Massiivisesta käyttöoikeusongelmasta

Erityisen huolestuttavaksi ja moitittavaksi tietoturvaloukkauksen teki se, että tilanne oli avoin pitkään, eikä siihen reagoitu nopeasti, koska vielä iltapäivällä 25.2.2026 kello 12:16 OmaPosti -palvelussa SecMeter näki ainoastaan toisille henkilöille kuuluvaa postia, ei omia.

SecMeter yritti soittaa Postin asiakaspalvelunumeroon 0100 5577, mutta tuloksetta. Numerosta ei vastattu. Tämän jälkeen SecMeter teki puhelimitese ilmoituksen ja suullisen kantelun tietosuojavaltuutetun toimiston asiakaspalveluun.

Tietosuojavaltuutetun toimistoa asia ei kiinnostanut, vaan kehotettiin ottamaan yhteyttä OmaPosti -palveluun, jonka asiakaspalvelu ei vastannut. Tietosuojavaltuutetun toimistosta kerrottiin, että he tutkivat mahdollisia tietoturvaloukkauksia vasta sitten, kun he saavat asiasta ilmoituksen kyseiseltä yritykseltä.

Tämän perusteella voidaan todeta, että viranomaisten reagointinopeus ja -halukkuus ei vastaa sitä mitä loukatun osapuolen näkökulmasta on oikeutettua odottaa.

Tietosuojavaltuutetun toimiston menettely ei ole täysin väärä, mutta ei myöskään tarkka kuva GDPR:n järjestelmästä, koska valvontaviranomaisella olisi ollut mahdollisuus käynnistää tutkinta myös rekisteröidyn kantelun perusteella. SecMeter teki kuitenkin asiassa nopean johtopäätöksen. "Pitäkää tunkkinne", jos asia ei kerran kiinnosta.



Posti julkaisi "häiriön" johdosta seuraavan osittain totuuden vastaisen tiedotteen

Koskien OmaPostin häiriötä
25.2.2026
Tieto häiriön korjautumisesta päivitetty klo 15.03.
OmaPostissa havaittiin häiriö aamupäivällä 25.2. Häiriö on nyt korjattu ja palvelu toimii jälleen normaalisti.
Häiriötilanne aiheutui palvelussa tehdystä testistä, joka johti yksittäisen väärän henkilön tietojen näkymiseen palvelussa.

Postin julkisuuteen antaman tiedotteen mukaan kyse oli ”häiriöstä”. Kun kymmenien henkilöiden viestit olivat useiden tuntien ajan avattavissa, luettavissa ja kopioitavissa väärille henkilöille, pelkkä ”häiriö”-termi vaikuttaa tilanteen vakavuutta vähättelevältä.

Termi ”häiriö” viittaa tyypillisesti lyhytkestoiseen tekniseen toimintahäiriöön. Se ei kuvaa tilannetta, jossa palvelun luottamuksellisuus on rikkoutunut ja henkilötietoja on ollut sivullisten nähtävissä.

Kuvattu tapahtuma täyttää GDPR:n mukaisen henkilötietojen tietoturvaloukkauksen tunnusmerkistön. Tapaus vaikuttaa myös merkittävältä luottamuksellisuuden loukkaukselta, kun otetaan huomioon, että:

  • kymmenien henkilöiden viestit olivat nähtävissä
  • viestit sisälsivät arkaluonteisia tietoja
  • myös viestintä Traficomin kanssa oli avattavissa
  • viestien sisältö oli kopioitavissa
  • altistuminen kesti useita tunteja

Teknisesti kyse saattoi olla järjestelmävirheestä, mutta sillä ei ole ratkaisevaa merkitystä vaikutusten arvioinnissa. OmaPosti on palvelu, jonka tarkoitus on välittää ja säilyttää viestintää, jota suojaa perustuslain 10 §:ssä turvattu luottamuksellisen viestin salaisuus. Tällaisessa palvelussa luottamuksellisuuden rikkoutumista ei voida kuvata pelkkänä häiriönä.

Posti Group Oyj:n viestinnässä kehitettävää
Posti Group Oyj:n tietoturvajohtaja Ilkka Salmela vähätteli tapausta. Hän totesi, että osa asiakkaista on aamupäivällä voinut hetken aikaa nähdä OmaPostissa vääriä yksittäisen asiakkaan tietoja, jotka eivät kuulu heille. Lähde: (is.fi 25.2.2026)

Tietoturvajohtaja Salmela ei ollut tarkka lausumassaan. Todellisuudessa palvelussa oli nähtävissä kymmenittäin eri henkilöiden luottamuksellisia tietoja sisältäviä viestejä. Tämä tilanne oli todettavissa vain muutamalla klikkauksella. Näin ollen oli syytä sulkea palvelu ilman laajempaa tilannekuvan muodostamista.

Kyse ei ollut myöskään "hetkestä". Käytännössä “hetken aikaa” tarkoittaa lähes aina minuuttiluokan (korkeintaan 15 minuuuttia) häiriötä, ei esimerkiksi koko aamupäivää. Alla on kuvakaappaus puhelimen näytöltä. Lista käsitti kymmeniä eri henkilöitä. SecMeter on peittänyt kuvakaappauksesta henkilöiden etunimen.



Mitä tietoturvajohtaja Salmelan lausunto kertoo Posti Group Oyj:n tietoturvakulttuurista
Kun Posti Group Oyj:n tietoturvajohtaja kertoi (is.fi 25.2.2026), että OmaPosti-palvelussa tapahtunut häiriötilanne aiheutui järjestelmätestauksesta ja koski vain yhden henkilön tietoja. Ilmeisesti julkisuuteen haluttiin antaa mielikuva rajatulta tekniseltä virheeltä ja lakaista vakava tietosuojaloukkaus mahdollisimman vähin äänin maton alle.

Tuotantoympäristössä testaaminen ei ole itsessään poikkeuksellista, vaikka tuotantoympäristö tulee pääsääntöisesti erottaa kehitysympäristöstä, integraatioympäristöstä, testausympäristöstä, hyväksymistestausympäristöstä ja Staging-ympäristöstä.

Staging-ympäristö (staging environment) on ohjelmistokehityksessä käytettävä testausympäristö, joka jäljittelee tuotantoympäristöä mahdollisimman tarkasti (tuotannon kuva). Sen tarkoitus on varmistaa, että uusi versio sovelluksesta toimii oikein ennen kuin se julkaistaan oikeille käyttäjille.

Jos testataan suoraan tuotantoympäristössä on käytössä oltava esimerkiksi:

  • feature flag -rajaus, joka tarkoittaa ohjelmistokehityksen mekanismia, jolla jokin uusi ominaisuus voidaan kytkeä päälle tai pois ilman uutta julkaisua.
  • rajattu A/B-testi, joka tarkoittaa kokeiluja, joissa kahta tai useampaa versiota samasta ominaisuudesta näytetään vain rajatulle käyttäjäjoukolle, ei koko käyttäjäkunnalle.
  • canary release -julkaisu (kanariajulkaisu), joka tarkoittaa ohjelmiston uuden version julkaisemista ensin hyvin pienelle osalle käyttäjiä, ennen kuin se otetaan käyttöön kaikille.
  • shadow testing -ratkaisu, joka tarkoittaa menetelmää, jossa uusi versio järjestelmästä ajetaan tuotantoliikenteellä rinnakkain, mutta sen tuloksia ei näytetä käyttäjälle.

Kaikkia näitä yhdistää kuitenkin yksi ehdoton periaate. Käyttäjän ei koskaan tule nähdä toisen käyttäjän luottamuksellisia tietoja. Jos näin tapahtuu, se tarkoittaa, että joko:

  • käyttöoikeuslogiikka on puutteellinen
  • eristysmekanismit eivät toimi
  • testin vaikutuksia ei ole mallinnettu oikein
  • tuotantodataa käsitellään ilman riittävää suojausta

Kyse ei siis ole siitä, “testattiinko tuotannossa”, vaan siitä, miksi kontrollit eivät estäneet tietojen vuotamista väärälle henkilölle.

Tietoturvakulttuuri ei ole teknologiaa, se on päätöksentekoa
Tietoturvakulttuuri näkyy siinä, miten Posti Group Oyj:

  • arvioi riskejä ennen muutoksia
  • erottelee testi- ja tuotantoympäristöt
  • käsittelee tuotantodataa
  • reagoi virheisiin
  • viestii julkisesti

Jos testi suoritetaan tavalla, joka mahdollistaa oikeiden asiakkaiden luottamuksellisten viestien näkymisen väärille käyttäjille, kyse ei ole vain ohjelmistovirheestä. Se kertoo, että:

  • riskinarviointi ei ole ollut riittävä
  • tietosuoja-by-design -periaate ei ole toteutunut. Käsite tulee EU:n GDPR-asetuksesta (artikla 25), jonka mukaan organisaation on toteutettava tietosuoja jo suunnitteluvaiheessa ja oletusarvoisesti (data protection by design and by default).
  • tuotantokontrollit eivät estäneet pahinta mahdollista seurausta

Onko tapaus GDPR-näkökulmasta tietosuojaloukkaus vai vähäinen poikkeama?
Kyse on kulttuurisesta kysymyksestä, kuinka vakavasti viestintäsalaisuuteen suhtudutaan. Julkisuudessa usein todetaan, että "tietosuoja on meille keskeinen arvo". Jos arvoja ei ole onnistuttu sisällyttämään toimintaprosesseihin, jää toteamus tyhjänpäiväiseksi hokemaksi. GDPR:n näkökulmasta arvioidaan:

  • altistuneiden rekisteröityjen määrä
  • tietojen luonne (osoitteet, viranomaiskirjeet, terveystiedot, taloudelliset tiedot?)
  • altistuksen kesto
  • onko tapahtuma lokitietojen perusteella todettu
  • aiheutuiko vahinkoja ja riskejä rekisteröityjen oikeuksille

Jos altistuneita oli “kymmenittäin”, kyse ei ole enää marginaalisesta riskistä. Posti Group OyJ:llä on tällöin:

  • ilmoitusvelvollisuus valvontaviranomaiselle 72 tunnin kuluessa
  • mahdollinen tiedotusvelvollisuus rekisteröidyille
  • dokumentointivelvollisuus

Tapahtuman vähättely julkisuudessa ei poista näitä velvoitteita, eikä tee rikkomuksesta hyväksyttävämpää. Vastuu ei ole mielipidekysymys.

Johtamisen ja hallitusvastuun näkökulma
Tietoturva ei ole enää IT-osaston tekninen asia. Se on hallituksen valvontavastuuseen kuuluva liiketoimintariski. Jos:

  • tuotanto- ja testiympäristöjen erottelu on puutteellista
  • tietosuoja-by-design ei toteudu
  • kriittisiä palveluita testataan ilman riittävää riskienhallintaa

se kertoo mahdollisesti siitä, että tietoturvaa ei ole integroitu strategiselle tasolle.

Kypsässä organisaatiossa:

  • tietoturvariski raportoidaan hallitukselle
  • kontrollit auditoidaan säännöllisesti
  • vakaviin virheisiin reagoidaan avoimesti

Jos johdon viestintä ei vastaa tapahtuman todellista laajuutta, ongelma ei ole enää tekninen, se on hallinnollinen.

Kriisiviestintä paljastaa kulttuurin
Organisaation todellinen kulttuuri näkyy kriisissä. On kaksi mahdollista lähestymistapaa:

1. Tapauksen vähättely, kuten:

  • Yksittäinen tapaus
  • Ei merkittävää vaikutusta
  • Tekninen häiriö

2. Vastuunotto, kuten:

  • Tämä on vakava virhe
  • Selvitämme laajuuden
  • Korjaamme prosessit ja parannamme kontrollit

Jos julkinen lausunto ei vastaa havaittua laajuutta, syntyy luottamuskuilu. Pitkällä aikavälillä tämä on maineelle vaarallisempaa kuin itse tekninen virhe. Tätä ei ilmeisemmin Posti Goup Oyj:ssä ymmärretä.

Luottamus postipalveluun perustuu siihen, että viestit ovat luottamuksellisia. Kun tämä perusta horjuu, kyse ei ole vain yksittäisestä bugista vaan institutionaalisen luottamuksen haavoittumisesta.

Mihin tapaus viittaa Posti Group Oyj:n tietoturvakulttuurissa?
Tapaus voi viitata:

  • heikkoon ympäristöerotteluun
  • puutteelliseen käyttöoikeuslogiikkaan
  • riskien aliarviointiin
  • maineen suojaamiseen turvallisuuden kustannuksella
  • reaktiiviseen eikä ennakoivaan turvallisuusajatteluun

Tietoturvakulttuurin kypsyys mitataan sillä, estetäänkö pahin mahdollinen seuraus, ei sillä, kuinka nopeasti se selitetään pois.

OmaPosti-sovelluksen kehitys ja vastuunjako
Punos Mobile Oy on ollut mukana OmaPosti-sovelluksen kehityksessä sen alkuvaiheista lähtien. Yritys toimi teknisenä kumppanina sovelluksen rakentamisessa ja julkaisemisessa, ja sen asiantuntijat osallistuivat natiivi- ja web-toteutukseen sekä käyttökokemuksen varmistamiseen yhteistyössä Postin kanssa. Yhteistyö on jatkunut julkaisun jälkeen sovelluksen jatkokehityksen ja teknisen ylläpidon parissa.

HiQ ei ole sovelluksen alkuperäinen kehittäjä, mutta se on vastannut vuodesta 2021 alkaen mobiiliympäristön laadunvarmistuksesta ja käyttöjärjestelmäpäivitysten hallintaan liittyvästä testauksesta. HiQ seuraa iOS- ja Android-versioiden sekä WebKit- ja WebView-komponenttien muutoksia, testaa sovellusta myös beta-versioita vasten ja raportoi havainnot Postin tiimille ennakoivien korjaustoimien mahdollistamiseksi.

Vastuut

Posti

  • Omistaa sovelluksen ja vastaa siitä liiketoiminnallisesti
  • Määrittelee testauksen tavoitteet ja hyväksymiskriteerit
  • Tekee julkaisupäätökset

Punos Mobile

  • Osallistuu sovelluksen kehitykseen ja jatkokehitykseen
  • Vastaa kehityksen yhteydessä tehtävästä yksikkö- ja integraatiotestauksesta
  • Testaa uudet ominaisuudet ja validoi virhekorjaukset

HiQ

  • Vastaa mobiiliympäristön laadunvarmistuksesta
  • Seuraa käyttöjärjestelmäpäivityksiä
  • Toteuttaa regressiotestauksen ennen OS-julkaisuja
  • Testaa beta-versioita ennakoivasti

Kyse on luottamuksesta
Postipalvelu on yhteiskunnallisesti kriittinen infrastruktuuri. Sen perusarvo on luottamus: kirje kuuluu vain vastaanottajalle.
Jos digitaalinen vastine ei kykene takaamaan tätä periaatetta teknisesti ja kulttuurisesti, ongelma ei ole yksittäinen ohjelmistovirhe. Se on järjestelmätason haaste, joka edellyttää:

  • riippumatonta selvitystä
  • kontrollien auditointia
  • läpinäkyvää raportointia
  • ja kulttuurista muutosta

Oikea kysymys ei ole, montako viestiä näkyi väärille henkilöille, vaan kysymys on mitä posti Group Oyj oppii tapauksesta ja muuttuuko mikään? SecMeter ei jäänyt odottamaan tietoturvakulttuurin mahdollista muutosta, vaan ratkaisi asian omalta kohdaltaan alla kuvatulla tavalla.



Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön