Mitä LastPass-tietomurto kertoo meille vaatimustenmukaisuudesta vuonna 2026

Kirjoittanut Phil Muncaster • 17 helmikuu 2026

GDPR:n oli aina tarkoitus olla epämääräinen. Koska siinä ei luetella määräyksiä teknisistä suojatoimista – kuten esimerkiksi PCI DSS:ssä – asetus pysyy paremmin ajan tasalla. Sen "teknologianeutraaliuden" periaate voi kuitenkin olla myös turhautumisen lähde vaatimustenmukaisuustiimeille. Käytännöllisempää ohjausta varten monet kääntyvät parhaiden käytäntöjen standardien, kuten ISO 27001:2022:n, puoleen, joka edistää jäsenneltyä, riskilähtöistä lähestymistapaa kyberturvallisuuteen.

Kuten LastPassin ja muiden organisaatioiden tietomurrot ovat osoittaneet, se ei ole ihmelääke – varsinkaan jos tiimit eivät lähesty vaatimustenmukaisuutta jatkuvan tarkastelun ja parantamisen asenteella.

Mitä LastPassille tapahtui?

Vuoden 2022 LastPass-tietomurron uskotaan paljastaneen noin 30 miljoonan asiakkaan tiedot maailmanlaajuisesti, mukaan lukien 1.6 miljoonaa Isossa-Britanniassa. Se oli millä tahansa mittapuulla melko hienostunut hyökkäys, johon kuului kaksi erillistä vaihetta:

Uhkatoimija murtautui ohjelmistokehittäjän kannettavaan tietokoneeseen, mikä antoi hänelle pääsyn SSE-C-avaimeen. He olisivat teoriassa voineet käyttää sitä asiakastietojen varmuuskopioiden, mukaan lukien salattujen salasanaholvien, käyttämiseen. Avain oli kuitenkin salattu, ja täysi pääsy tietokantaan vaati myös toisen AWS-käyttöavaimen.
Uhkatoimija pystyi hyödyntämään Plex-videoiden suoratoistopalvelun haavoittuvuutta, joka oli ladattu vanhemman kehitysinsinöörin henkilökohtaiselle kannettavalle tietokoneelle. Tämän avulla he pystyivät asentamaan näppäinpainallusten tallentimen ja purkamaan SSE-C-avaimen salauksen sekä hankkimaan AWS-käyttöavaimen. Tämä avasi oven salattuihin salasanaholveihin.

Koska näiden holvien pääsalasanat tallennettiin paikallisesti asiakkaiden laitteille eikä niitä koskaan jaettu LastPassin kanssa, niiden olisi pitänyt olla turvassa. Mutta PBKDF2-algoritmin huono toteutus tarkoitti, että lukemattomia salasanoja pakotettiin raa'asti murron jälkeisinä vuosina, mikä johti arviolta 35 miljoonan dollarin kryptovaluuttavarkaudet.

Mitä ICO sanoi

Tietosuojavaltuutetun toimisto (ICO) LastPassille 1.2 miljoonan punnan sakot koska se ”ei ollut toteuttanut ja käyttänyt asianmukaisia teknisiä ja organisatorisia toimenpiteitä, mikä on vastoin Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 5(1)(f) artiklaa ja 32(1) artiklaa.” Tarkemmin sanottuna yritys antoi vanhempien insinöörien käyttää henkilökohtaisia kannettavia tietokoneita tuotantoavainten käyttämiseen, se antoi työntekijöiden yhdistää henkilökohtaiset ja yrityksen holvit samaan pääsalasanaan, eikä se kierrättänyt AWS-avaimia ensimmäisen tapauksen jälkeen.

Sääntelyviranomainen kuitenkin myönsi, että ISO 27001:2022 -standardin noudattamisen olisi pitänyt tarkoittaa, että yrityksen olisi pitänyt noudattaa ICO:n omia ohjeita etätyölaitteiden suojaamisesta ja henkilökohtaisten ja yrityslaitteiden/tilien eriyttämisestä. Se ei selvästikään tehnyt niin.

”LastPass ei ole poikkeus. Tuore tutkimuksemme osoitti, että yli neljännes (26 %) tietosuoja-alan ammattilaisista uskoo, että heidän organisaationsa todennäköisesti kohtaa olennaisen tietosuojaloukkauksen seuraavan vuoden aikana. Tästä riskitasosta on nopeasti tulossa normi”, ISACA:n globaali strategiajohtaja Chris Dimitriadis kertoo IO:lle (entinen ISMS.online).

”Standardien, kuten ISO 27001:n, noudattaminen on välttämätöntä – mutta se on vasta lähtökohta. LastPass-tietomurto korostaa karua totuutta: yksityisyyden suojaa ja tietosuojaa ei voida pelkistää pelkiksi rastien täyttämiseksi. Organisaatioiden on siirryttävä minimaalisesta vaatimustenmukaisuudesta kohti koko yrityksen laajuisia kyvykkyys- ja kypsyysarviointeja.”

Liikkuen ajan mukana

LastPass ei ole ensimmäinen eikä varmasti viimeinen yritys, joka on kärsinyt vakavasta tietomurrosta, vaikka se on teknisesti sertifioitu parhaiden käytäntöjen standardien mukaisesti. Muita merkittäviä tapauksia ovat:

23andMeDNA-testausyritys sai ICO:lta 2.3 miljoonan punnan sakot tietomurron jälkeen, joka vaikutti miljooniin asiakkaisiin. Yritys ei ollut määrännyt käyttäjien monivaiheista todennusta (MFA), epätavallisen toiminnan valvonta oli riittämätöntä ja uhkatoimijat pystyivät väärinkäyttämään sisäistä ominaisuutta (DNA-sukulaiset) päästäkseen käsiksi useampiin tileihin kuin heidän olisi pitänyt pystyä.
Interserve GroupUlkoistajalle määrättiin 4.4 miljoonan punnan sakko työntekijöiden tietomurron jälkeen. Vaikka yrityksen päätepisteiden suojaustyökalut olivat merkinneet tunkeutumisen, se ei tutkinut asiaa.

Tällaiset tapaukset eivät korosta ISO 27001 -standardin kaltaisten standardien puutteita. Ne osoittavat, että monet organisaatiot eivät vieläkään lähesty vaatimustenmukaisuusohjelmia oikealla asenteella.

”Vaikka ISO 27001, SOC 2 ja muut standardit ovat erinomainen ja aikaa kestänyt lähtökohta yritysten tietoturvallisuuden arvioimiseksi, niitä ei ole – eikä ole koskaan – suunniteltu takaamaan, että yritys on hakkeroinnin kestävä tai että käytäntöjä tai menettelytapoja noudatetaan 100-prosenttisesti asianmukaisesti”, selittää ImmuniWebin toimitusjohtaja Ilia Kolochenko.

”Lisäksi, vaikka kaikkia käytäntöjä ja menettelytapoja noudatettaisiin asianmukaisesti, se ei tarkoita tai anna ymmärtää, että taustalla olevat prosessit ovat teknisesti virheettömiä.”

Dennis Martin, kriisinhallinnan ja liiketoiminnan sietokyvyn asiantuntija teknologiayritys Axians UK:ssa, lisää, että standardien noudattaminen on hyödyllistä vain silloin, kun johtajat vaativat kontrollien toimivan käytännössä.

”Turvatoimenpiteitä on testattava, validoitava ja kyseenalaistettava säännöllisesti. Oletukset ja dokumentoidut prosessit eivät korvaa näyttöä. ’Älä luota, testaa’ -ajattelutapa on välttämätön, jos organisaatiot haluavat luottaa tietoturvatilanteeseensa”, hän kertoo IO:lle (entinen ISMS.online).

”Tehokas vaatimustenmukaisuus on jatkuvaa. Uhat kehittyvät, liiketoiminta muuttuu ja kontrollit heikkenevät ajan myötä. Säännöllinen tarkastelu ja parantaminen ovat välttämättömiä sen varmistamiseksi, että kirjattu vastaa edelleen todellisuutta.”

Jatkuva parantaminen

Itse asiassa ISO 27001:2022 -standardi ”tunnustaa nimenomaisesti”, että turvallisuuden ei pidä pysähtyä, Olerian turvallisuusjohtaja Didier Vandenbroeck kertoo IO:lle.

”Standardin ydinperiaatteena on jatkuva parantaminen, ja tilintarkastajien odotetaan nostavan esiin parannusmahdollisuuksia alueilla, joilla kontrollit saattavat olla teknisesti vaatimustenmukaisia, mutta eivät enää sovellu kehittyvään uhkakuvaan”, hän selittää.

”Kun sertifioinnista tulee pelkkä rasti ruutuun -toiminta, tuo periaate katoaa. Sertifikaatit ovat lopulta merkityksettömiä, jos organisaatiot eivät noudata niitä käytännössä tai eivät kyseenalaista, ovatko olemassa olevat kontrollit edelleen järkeviä, kun otetaan huomioon ihmisten todellinen työskentelytapa ja hyökkääjien toimintatapa.”

IO CPO, Sam Peters, on samaa mieltä.

”Siksi viitekehykset ja standardit ovat tehokkaimpia, kun niitä käsitellään elävinä hallintajärjestelminä, tehokkaasti toimivina malleina kyberriskien hallintaan, sen sijaan, että ne olisivat staattisia vaatimustenmukaisuuden virstanpylväitä”, hän kertoo IO:lle.

”Jatkuvan parantamisen periaate, joka on juurrutettu säännölliseen tarkasteluun, haastamiseen ja mukauttamiseen, on ollut keskeinen osa IO:n lähestymistapaa alusta asti ja heijastaa sitä, mitä sääntelyviranomaiset yhä useammin odottavat näkevänsä käytännössä. Tällä tavoin käytettynä viitekehykset tarjoavat organisaatioille kestävän perustan kyberriskien hallintaan jatkuvasti muuttuvassa ympäristössä sen sijaan, että ne tarjoaisivat tilannekuvan vaatimustenmukaisuudesta yksittäisenä ajankohtana.”

Tällainen lähestymistapa on erityisen tärkeä GDPR-riskien hallinnassa aikana, jolloin sääntelyviranomaiset painottavat yhä enemmän kontekstia.

”Sääntelyviranomaiset viestivät hyvin selvästi, että ’asianmukaiset tekniset ja organisatoriset toimenpiteet’ tulisi ymmärtää kontekstisidonnaisina ja kehittyvinä, ei kiinteinä tai staattisina. Sopivaksi katsottu toimenpiteiden kriteerit vaihtelevat muun muassa riskialtistuksen, tietojen arkaluontoisuuden ja uhkatilanteen mukaan, ja niitä arvioidaan yhä useammin vasta tapahtuman tapahtumisen jälkeen”, hän päättelee.

”Käytännössä tämä tarkoittaa, että sääntelyviranomaiset ovat vähemmän kiinnostuneita siitä, onko viitekehys otettu käyttöön, ja keskittyvät enemmän siihen, kuinka tehokkaasti sitä käytetään tietoturvariskien tunnistamiseen, tarkasteluun ja hallintaan ajan mittaan.”

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.