Helsingin kaupungin kasvatuksen ja koulutuksen toimialan tietomurron selvitystyö edennyt

Tietomurto tuli kaupungin tietoon 30.4.2024. Asian selvittäminen aloitettiin välittömästi. Kaupunki toteutti erilaisia suojaustoimenpiteitä ja oli yhteydessä tietosuojavaltuutettuun, poliisiin sekä Traficomin Kyberturvallisuuskeskukseen.

”Kuten aiemmin ilmoitimme, on tietomurron tehnyt taho saanut haltuunsa oppijoiden ja henkilöstön käyttäjätunnuksia sekä sähköpostiosoitteita. Tarkemmat selvitykset ovat osoittaneet, että tietomurron tekijä on saanut kaupungin kaikkien työntekijöiden käyttäjätunnukset ja sähköpostiosoitteet sekä kasvatuksen ja koulutuksen toimialan oppijoiden, huoltajien ja henkilöstön henkilötunnuksia sekä osoitetietoja. Tämän lisäksi tekijä on saanut myös sisältöä osalta toimialan verkkolevyiltä”, kertoo Helsingin kaupungin digitalisaatiojohtaja Hannu Heikkinen.  

Tietomurron kohderyhmä on laaja

Suurin osa verkkolevyllä olleesta datasta (kymmeniä miljoonia asiakirjoja), on asiakirjoja, joissa ei ole henkilötietoa tai joissa vain tavanomaiseksi katsottavaa henkilötietoa, joiden väärinkäytön riskejä ei ole syytä katsoa erityisen suureksi. Asiakirjojen joukossa on kuitenkin sellaisia dokumentteja, jotka sisältävät salassa pidettävää tietoa tai arkaluonteisia henkilötietoja.  

Näitä ovat esimerkiksi tietoja varhaiskasvatuksen asiakasmaksuista ja maksujen perusteista, arkaluontoisia tietoja lasten tilanteesta kuten opiskeluhuollon tietopyynnöt tai tietoja erityisen tuen tarpeesta, lääkärinlausunnot oppivelvollisuuden keskeyttämisen syistä koskien toisen asteen opiskelijoita sekä kasvatuksen ja koulutuksen henkilöstön sairauspoissaolotietoja.

Emme voi poissulkea, etteikö tietomurron tekijä olisi voinut saada haltuunsa myös turvakiellon alaisten henkilöiden tietoja.

”Selvitettävän tiedon määrä on mittava. Emme valitettavasti voi vielä varmuudella arvioida, mitkä tiedot ovat päätyneet tietomurron tekijälle. Kerromme kuitenkin nyt, mitä riskejä on olemassa, jotta kasvatuksen ja koulutuksen palvelujen asiakkaat ja henkilöstö voivat varautua tilanteeseen. Tämä on tietosuojalainsäädännön mukainen toimintatapa”, toteaa kasvatuksen ja koulutuksen toimialajohtaja Satu Järvenkallas.

Osa asiakkaiden ja henkilöstön tiedoista voi olla vuosien takaa, eli vaikka henkilö ei olisi tällä hetkellä kasvatuksen ja koulutuksen toimialan asiakas tai työntekijä, on tietomurron tekijä voinut saada tietoja haltuunsa.

Tietomurrossa hyödynnetty etäyhteyspalvelimen haavoittuvuutta

Murtautuminen kasvatuksen ja koulutuksen toimialan tietoverkkoon on tapahtunut etäyhteyspalvelimen kautta. Palvelimessa on ollut haavoittuvuus, jota hyödyntämällä murtautuja on kyennyt muodostamaan yhteyden toimialan tietoverkkoon.  

“Kyseiseen haavoittuvuuteen on ollut olemassa korjauspäivitys, mutta tällä hetkellä ei ole tiedossa, miksi korjauspäivitystä palvelimeen ei ole asennettu. Tietoturvapäivitysten ja laitteiden ylläpitoon liittyvät kontrollit ja toimintatavat ovat olleet puutteellisia. Olemme tietomurron jälkeen tehneet toimenpiteitä, että vastaava murtautuminen ei ole enää mahdollista”, Hannu Heikkinen kuvaa tilannetta ja jatkaa: “Tiedossamme ei ole, että murtautuja olisi päässyt muiden toimialojen järjestelmiin tai tietoihin. Olemme kuitenkin tehostaneet valvontaa kaikissa kaupungin tietoverkoissa.”

“Kyseessä oleva tietomurto on hyvin vakava ja sen mahdolliset seuraukset asiakkaillemme ja henkilöstöllemme erittäin valitettavat. Tästä olemme pahoillamme. Ottaen huomioon kaupungin palveluiden käyttäjämäärät nyt ja aiempina vuosina, koskee tietovuoto pahimmassa tapauksessa yli 80 000 oppijaa ja heidän huoltajaansa. Henkilöstön osalta tietomurto koskee koko henkilöstöämme koska tekijä on saanut haltuunsa koko henkilöstön sähköpostiosoitteet ja käyttäjätunnukset”, toteaa kansliapäällikkö Jukka-Pekka Ujula. ”Tietomurtoon reagoitiin nopeasti ja turvaustoimenpiteisiin on käytetty ja käytetään ne resurssit, jotka siihen tarvitaan. Tämä on kaupungin ylimmän johdon prioriteetti tällä hetkellä”, jatkaa Ujula.

Kaupunki jatkaa selvitystyön tekemistä sekä yhteistyötä viranomaisten kanssa ja tiedottaa asiasta selvitystyön edetessä. Helsingin poliisilaitos tutkii tapausta törkeänä tietomurtona. Rikoksen asianomistaja on tällä hetkellä Helsingin kaupunki, jolta poliisi saa kaikki tarvittavat tiedot asian tutkintaa varten. Kaupunkilaisten ei tässä vaiheessa esitutkintaa tarvitse ottaa poliisiin yhteyttä.

Ohjeita ja tietoa on tarjolla

Tapahtunut tietomurto herättää asiakkaissa ja henkilöstössä paljon kysymyksiä. Kyberturvallisuuskeskus on koonnut sivuilleen kattavan tietopaketin tietomurtoihin suojautumiseen liittyen. Apua ja tukea on tarjolla myös tietomurron kohteille perustetussa kaupungin asiakaspalvelussa, kriisipäivystyksessä sekä MIELI Suomen mielenterveys ry:n kautta.

Kaupungin verkkosivuilla osoitteessa hel.fi/tietomurto on julkaistu julkinen tiedote tietomurron mahdollisille kohderyhmille ja muuta asiaan liittyvää ohjeistusta. 

Kaupungin asiakaspalvelu tietomurron kohteille, ma–pe klo 8–18, puh. 09 310 27139 tai kaskotietoturvatilanne@hel.fi 

Traficomin Kyberturvallisuuskeskus: Ohjeita mahdollisen tietovuoden kohteeksi joutuneelle 

Suomi.fi: Oppaat, tietovuoto 

MIELI ry:n kriisipuhelin ma-su puh. 09 2525 0111 ympäri vuorokauden  

Sekasin-chat, sekasin.fi, arkipäivisin 9–24, la ja su klo 15–24  

Sekasin-chatten på svenska, sekasin.fi/se, må-sö klo 15–19  

Helsingin kriisipäivystys ma–su puh. 09 310 44222 ympäri vuorokauden  

Tämä tiedote uutisoidaan hel.fi-sivustolla myös ruotsiksi ja englanniksi.