Päivittämätön etäyhteyspalvelin on osoittautunut portiksi Helsingin kaupungin kasvatuksen ja koulutuksen toimialan tietomurrossa.
Kaupunki havaitsi tietomurron 30.4. ja asian selvittäminen aloitettiin välittömästi. Kaupunki toteutti erilaisia suojaustoimenpiteitä ja oli yhteydessä tietosuojavaltuutettuun, poliisiin sekä Traficomin Kyberturvallisuuskeskukseen.
”Kuten aiemmin ilmoitimme, on tietomurron tehnyt taho saanut haltuunsa oppijoiden ja henkilöstön käyttäjätunnuksia sekä sähköpostiosoitteita. Tarkemmat selvitykset ovat osoittaneet, että tietomurron tekijä on saanut kaupungin kaikkien työntekijöiden käyttäjätunnukset ja sähköpostiosoitteet sekä kasvatuksen ja koulutuksen toimialan oppijoiden, huoltajien ja henkilöstön henkilötunnuksia sekä osoitetietoja. Tämän lisäksi tekijä on saanut myös sisältöä osalta toimialan verkkolevyiltä”, kertoo Helsingin kaupungin digitalisaatiojohtaja Hannu Heikkinen.
Annettujen tietojen perusteella tietomurto kohdistuu nimenomaan etäyhteydellä saavutettavaan verkkolevyyn. Kaupungin käytössä olevat pilvipalvelut ovat näiden tietojen perusteella jääneet murtamatta.
Murtautuminen kasvatuksen ja koulutuksen toimialan tietoverkkoon on tapahtunut etäyhteyspalvelimen kautta. Palvelimessa on ollut haavoittuvuus, jota hyödyntämällä murtautuja on kyennyt muodostamaan yhteyden toimialan tietoverkkoon.
“Kyseiseen haavoittuvuuteen on ollut olemassa korjauspäivitys, mutta tällä hetkellä ei ole tiedossa, miksi korjauspäivitystä palvelimeen ei ole asennettu. Tietoturvapäivitysten ja laitteiden ylläpitoon liittyvät kontrollit ja toimintatavat ovat olleet puutteellisia. Olemme tietomurron jälkeen tehneet toimenpiteitä, että vastaava murtautuminen ei ole enää mahdollista ”, Hannu Heikkinen kuvaa tilannetta.
“Tiedossamme ei ole, että murtautuja olisi päässyt muiden toimialojen järjestelmiin tai tietoihin. Olemme kuitenkin tehostaneet valvontaa kaikissa kaupungin tietoverkoissa”, Heikkinen jatkaa.
Suurin osa verkkolevyllä olleesta datasta (kymmeniä miljoonia asiakirjoja), on asiakirjoja, joissa ei ole henkilötietoa tai joissa vain tavanomaiseksi katsottavaa henkilötietoa, joiden väärinkäytön riskejä ei ole syytä katsoa erityisen suureksi. Asiakirjojen joukossa on kuitenkin sellaisia dokumentteja, jotka sisältävät salassa pidettävää tietoa tai arkaluonteisia henkilötietoja.
Näitä ovat esimerkiksi tietoja varhaiskasvatuksen asiakasmaksuista ja maksujen perusteista, arkaluontoisia tietoja lasten tilanteesta kuten opiskeluhuollon tietopyynnöt tai tietoja erityisen tuen tarpeesta, lääkärinlausunnot oppivelvollisuuden keskeyttämisen syistä koskien toisen asteen opiskelijoita sekä kasvatuksen ja koulutuksen henkilöstön sairauspoissaolotietoja.
Kapungin tiedotteen mukaan he eivät voi poissulkea, etteikö tietomurron tekijä olisi voinut saada haltuunsa myös turvakiellon alaisten henkilöiden tietoja.
”Selvitettävän tiedon määrä on mittava. Emme valitettavasti voi vielä varmuudella arvioida, mitkä tiedot ovat päätyneet tietomurron tekijälle. Kerromme kuitenkin nyt, mitä riskejä on olemassa, jotta kasvatuksen ja koulutuksen palvelujen asiakkaat ja henkilöstö voivat varautua tilanteeseen. Tämä on tietosuojalainsäädännön mukainen toimintatapa”, toteaa kasvatuksen ja koulutuksen toimialajohtaja Satu Järvenkallas.
Ottaen huomioon kaupungin palveluiden käyttäjämäärät nyt ja aiempina vuosina, koskee tietovuoto pahimmassa tapauksessa yli 80 000 oppijaa ja heidän huoltajaansa. ”Tietomurtoon reagoitiin nopeasti ja turvaustoimenpiteisiin on käytetty ja käytetään ne resurssit, jotka siihen tarvitaan. Tämä on kaupungin ylimmän johdon prioriteetti tällä hetkellä”, sanoo kansliapäällikkö Jukka-Pekka Ujula.
Kaupunki jatkaa selvitystyön tekemistä sekä yhteistyötä viranomaisten kanssa ja tiedottaa asiasta selvitystyön edetessä. Helsingin poliisilaitos tutkii tapausta törkeänä tietomurtona.