Helsingin kaupunki: Tietomurron tekijä on saanut haltuunsa salassa pidettävää tietoa – näin montaa tietomurto koskettaa

Helsingin pormestari Juhana Vartiainen kertoi kasvatuksen ja koulutuksen toimialan tietomurron selvitystyön etenemisestä tiedotustilaisuudessa.  Kuva: LEHTIKUVA / ANTTI AIMO-KOIVISTO

Helsingin kaupungin kasvatuksen ja koulutuksen toimialaan kohdistuneen tietomurron tekijä on saanut haltuunsa salassa pidettävää ja arkaluonteista tietoa, kertoo kaupunki.

Näitä ovat esimerkiksi tiedot varhaiskasvatuksen asiakasmaksuista ja lasten tilanteesta sekä koulutuksen henkilöstön sairauspoissaolotiedot.

Kaupungin mukaan tietomurron tekijä on voinut saada haltuunsa myös turvakiellon alaisten ihmisten tietoja.

Helsingin kaupunki sai tiedon tietomurrosta vappuaattona ja kertoi siitä torstaina 2. toukokuuta. Tuolloin kaupunki kertoi, että epäilty tietomurto koskee henkilöstön käyttäjätunnuksia ja sähköpostiosoitteita.

”Selvitettävän tiedon määrä on mittava. Emme valitettavasti voi vielä varmuudella arvioida, mitkä tiedot ovat päätyneet tietomurron tekijälle”, sanoo nyt tiedotteessa kasvatuksen ja koulutuksen toimialajohtaja Satu Järvenkallas.

Osa asiakkaiden ja henkilöstön tiedoista voi olla vuosien takaa. Tämä tarkoittaa sitä, että vaikka henkilö ei olisi tällä hetkellä kasvatuksen ja koulutuksen toimialan asiakas tai työntekijä, on tietomurron tekijä voinut saada tietoja haltuunsa.

Murtautuminen toimialan tietoverkkoon on tapahtunut etäyhteyspalvelimen kautta. Palvelimessa on ollut haavoittuvuus, jota hyödyntämällä murtautuja on kyennyt muodostamaan yhteyden toimialan tietoverkkoon.

”Kyseiseen haavoittuvuuteen on ollut olemassa korjauspäivitys, mutta tällä hetkellä ei ole tiedossa, miksi korjauspäivitystä palvelimeen ei ole asennettu. Tietoturvapäivitysten ja laitteiden ylläpitoon liittyvät kontrollit ja toimintatavat ovat olleet puutteellisia. Olemme tietomurron jälkeen tehneet toimenpiteitä, että vastaava murtautuminen ei ole enää mahdollista”, sanoo tiedotteessa Helsingin kaupungin digitalisaatiojohtaja Hannu Heikkinen.

Poliisi tutkii asiaa törkeänä tietomurtona. Asiasta on tehty myös ilmoitus tietosuojavaltuutetulle sekä Liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskukselle.

Heikkinen kertoi STT:lle tuoreeltaan, että tapaukseen liittyvä tietoliikenne on tullut ulkomailta. Kaupungin tiedotustilaisuudessa maanantaina kerrottiin, että tietomurron tekijän henkilöllisyydestä ei tiedetä tällä hetkellä mitään.

Tietomurto on mahdollisesti kuntasektorin laajin, kertoi maanantain tiedotustilaisuudessa Traficomin kyberturvallisuuskeskuksen tietoturva-asiantuntija Matias Mesiä.

”Tietomurto on erittäin vakava”, Mesiä sanoi.

Suurimmillaan tietomurto saattaa koskea 80  000:ta oppilasta ja heidän huoltajiaan.

Kaupunki jatkaa selvitystyön tekemistä sekä yhteistyötä viranomaisten kanssa. Kaupunkilaisten ei tässä vaiheessa esitutkintaa tarvitse ottaa poliisiin yhteyttä.

Kasvatuksen ja koulutuksen toimialajohtaja Satu Järvenkallaksen mukaan kaupunki ei tiedä tässä vaiheessa, onko turvakiellon alaisten ihmisten tietoja päätynyt vääriin käsiin.

”Asiasta haluttiin kertoa sen vuoksi, että suuri määrä tietoja työasemalta, jossa käsitellään työtietoja, on saattanut päätyä tietomurron tekijälle”, Järvenkallas kertoo STT:lle.

Järvenkallaksen mukaan tämän hetken tietojen perusteella ei ole mitään merkkejä siitä, että perusopetuksen asiakastietojärjestelmään olisi murtauduttu.

Asiakasjärjestelmässä voi olla hyvinkin yksityiskohtaisia tietoja, kun taas tietomurron tekijän käsiin mahdollisesti joutuneet työtiedot työasemalta voivat sisältää esimerkiksi eri luokilla olevien lasten nimilistoja tai muistioita tapaamisista perheen kanssa.

Järvenkallaksen mukaan ei ole tiedossa, että työasemalla olisi esimerkiksi listoja turvakiellon alaisista ihmisistä. Hänen mukaansa selvitystyötä tehdään koko ajan ja riskeistä halutaan kertoa mahdollisimman avoimesti ja laajasti.

”Ajatuksena ja tavoitteena on kuitenkin kontaktoida kaikki ne, joilla on turvakielto”, sanoo Järvenkallas.

Turvakielto tarkoittaa, että esimerkiksi turvallisuutensa puolesta pelkäävän ihmisen kotikunta- tai osoitetietoja ei saa antaa muille kuin viranomaisille. Turvakieltoa pyydetään Digi-ja väestötietovirastosta.