Helsingin kaupunki lähetti tietojärjestelmä Wilmaan viestin koulujensa oppilaille sekä heidän huoltajilleen suuresta tietomurrosta, josta uutisoitiin maanantaina.
MTV Uutiset julkaisee maanantaina 13. toukokuuta lähetetyn viestin kokonaisuudessaan.
Helsingin kaupungin kasvatuksen ja koulutuksen toimialan selvitystyö edennyt
Hyvät oppilaat, opiskelijat ja huoltajat,
Helsingin kaupunki tiedotti 2.5.2024 kasvatuksen ja koulutuksen toimialaan kohdistuneesta tietomurrosta. Tietomurron selvitystyötä on jatkettu kaupungin ja ulkoisten asiantuntijoiden yhteistyönä. Kaupunki järjesti tiedotustilaisuuden maanantaina 13.5.2024 kertoakseen selvitystyön etenemisestä.
Tietomurto tuli kaupungin tietoon 30.4.2024. Asian selvittäminen aloitettiin välittömästi. Kaupunki toteutti erilaisia suojaustoimenpiteitä ja oli yhteydessä tietosuojavaltuutettuun, poliisiin sekä Traficomin Kyberturvallisuuskeskukseen.
”Kuten aiemmin ilmoitimme, on tietomurron tehnyt taho saanut haltuunsa oppijoiden ja henkilöstön käyttäjätunnuksia sekä sähköpostiosoitteita. Tarkemmat selvitykset ovat osoittaneet, että tietomurron tekijä on saanut kaupungin kaikkien työntekijöiden käyttäjätunnukset ja sähköpostiosoitteet sekä kasvatuksen ja koulutuksen toimialan oppijoiden, huoltajien ja henkilöstön henkilötunnuksia sekä osoitetietoja. Tämän lisäksi tekijä on saanut myös sisältöä osalta toimialan verkkolevyiltä”, kertoo Helsingin kaupungin digitalisaatiojohtaja Hannu Heikkinen.
Tietomurron kohderyhmä on laaja
Suurin osa verkkolevyllä olleesta datasta (kymmeniä miljoonia asiakirjoja), on asiakirjoja, joissa ei ole henkilötietoa tai joissa vain tavanomaiseksi katsottavaa henkilötietoa, joiden väärinkäytön riskejä ei ole syytä katsoa erityisen suureksi. Asiakirjojen joukossa on kuitenkin sellaisia dokumentteja, jotka sisältävät salassa pidettävää tietoa tai arkaluonteisia henkilötietoja.
Näitä ovat esimerkiksi tietoja varhaiskasvatuksen asiakasmaksuista ja maksujen perusteista, arkaluontoisia tietoja lasten tilanteesta kuten opiskeluhuollon tietopyynnöt tai tietoja erityisen tuen tarpeesta, lääkärinlausunnot oppivelvollisuuden keskeyttämisen syistä koskien toisen asteen opiskelijoita sekä kasvatuksen ja koulutuksen henkilöstön sairauspoissaolotietoja.
Emme voi poissulkea, etteikö tietomurron tekijä olisi voinut saada haltuunsa myös turvakiellon alaisten henkilöiden tietoja.
”Selvitettävän tiedon määrä on mittava. Emme valitettavasti voi vielä varmuudella arvioida, mitkä tiedot ovat päätyneet tietomurron tekijälle. Kerromme kuitenkin nyt, mitä riskejä on olemassa, jotta kasvatuksen ja koulutuksen palvelujen asiakkaat ja henkilöstö voivat varautua tilanteeseen. Tämä on tietosuojalainsäädännön mukainen toimintatapa”, toteaa kasvatuksen ja koulutuksen toimialajohtaja Satu Järvenkallas.
Osa asiakkaiden ja henkilöstön tiedoista voi olla vuosien takaa, eli vaikka henkilö ei olisi tällä hetkellä kasvatuksen ja koulutuksen toimialan asiakas tai työntekijä, on tietomurron tekijä voinut saada tietoja haltuunsa.
Tietomurrossa hyödynnetty etäyhteyspalvelimen haavoittuvuutta
Murtautuminen kasvatuksen ja koulutuksen toimialan tietoverkkoon on tapahtunut etäyhteyspalvelimen kautta. Palvelimessa on ollut haavoittuvuus, jota hyödyntämällä murtautuja on kyennyt muodostamaan yhteyden toimialan tietoverkkoon.
“Kyseiseen haavoittuvuuteen on ollut olemassa korjauspäivitys, mutta tällä hetkellä ei ole tiedossa, miksi korjauspäivitystä palvelimeen ei ole asennettu. Tietoturvapäivitysten ja laitteiden ylläpitoon liittyvät kontrollit ja toimintatavat ovat olleet puutteellisia. Olemme tietomurron jälkeen tehneet toimenpiteitä, että vastaava murtautuminen ei ole enää mahdollista ”, Hannu Heikkinen kuvaa tilannetta ja jatkaa: “Tiedossamme ei ole, että murtautuja olisi päässyt muiden toimialojen järjestelmiin tai tietoihin. Olemme kuitenkin tehostaneet valvontaa kaikissa kaupungin tietoverkoissa.”
“Kyseessä oleva tietomurto on hyvin vakava ja sen mahdolliset seuraukset asiakkaillemme ja henkilöstöllemme erittäin valitettavat. Tästä olemme pahoillamme. Ottaen huomioon kaupungin palveluiden käyttäjämäärät nyt ja aiempina vuosina, koskee tietovuoto pahimmassa tapauksessa yli 80 000 oppijaa ja heidän huoltajaansa. Henkilöstön osalta tietomurto koskee koko henkilöstöämme koska tekijä on saanut haltuunsa koko henkilöstön sähköpostiosoitteet ja käyttäjätunnukset”, toteaa kansliapäällikkö Jukka-Pekka Ujula. ”Tietomurtoon reagoitiin nopeasti ja turvaustoimenpiteisiin on käytetty ja käytetään ne resurssit, jotka siihen tarvitaan. Tämä on kaupungin ylimmän johdon prioriteetti tällä hetkellä”, jatkaa Ujula.
Kaupunki jatkaa selvitystyön tekemistä sekä yhteistyötä viranomaisten kanssa ja tiedottaa asiasta selvitystyön edetessä. Helsingin poliisilaitos tutkii tapausta törkeänä tietomurtona. Rikoksen asianomistaja on tällä hetkellä Helsingin kaupunki, jolta poliisi saa kaikki tarvittavat tiedot asian tutkintaa varten. Kaupunkilaisten ei tässä vaiheessa esitutkintaa tarvitse ottaa poliisiin yhteyttä.
Ohjeita ja tietoa on tarjolla
Tapahtunut tietomurto herättää asiakkaissa ja henkilöstössä paljon kysymyksiä. Kyberturvallisuuskeskus on koonnut sivuilleen kattavan tietopaketin tietomurtoihin suojautumiseen liittyen. Apua ja tukea on tarjolla myös tietomurron kohteille perustetussa kaupungin asiakaspalvelussa, kriisipäivystyksessä sekä MIELI Suomen mielenterveys ry:n kautta.
Helsinki kertoi asiasta jo 2. toukokuuta seuraavasti:
Helsingin kaupungin kasvatuksen ja koulutuksen toimiala tietomurron kohteena
Hyvät huoltajat,
Helsingin kaupungin kasvatuksen ja koulutuksen toimialaan on kohdistunut tietomurto. Tämänhetkisen tiedon mukaan tietomurron tehnyt taho on saanut haltuunsa henkilöstön ja oppijoiden käyttäjätunnuksia ja sähköpostiosoitteita. Tietomurron tekijä ei ole saanut haltuunsa salasanoja, eikä ole päässyt käsiksi sähköpostien sisältöihin.
Tietomurto havaittiin tiistaina 30.4.2024 ja tilannetta on selvitetty vapun aikana. Tietomurron laajuutta selvitetään ja selvitystyö jatkuu yhdessä kaupungin sekä ulkoisten asiantuntijoiden kanssa. Luvattoman pääsyn tietoverkkoon mahdollistaneet järjestelmät on suljettu heti tilanteen havaitsemisen jälkeen. Lisäksi kaupunki on tehnyt teknisiä toimenpiteitä vahinkojen rajoittamiseksi ja vaihtanut salasanoja niissä kriittisissä järjestelmissä, joihin tietomurron tehneellä taholla on voinut olla pääsy. Kaupunki on myös tehnyt rikosilmoituksen poliisille sekä ilmoituksen tietosuojavaltuutetulle ja Traficomin Kyberturvallisuuskeskukselle.
Asia ei tässä vaiheessa vaadi huoltajilta toimenpiteitä. Tietosuojaan liittyviä asioita käydään läpi oppijoiden kanssa. Kalasteluviestejä on nyt paljon liikkeellä ja erityisesti tässä tilanteessa oppijoiden on hyvä seurata sähköpostia ja suhtautua varovaisesti kaikkiin epäilyttäviin yhteydenottoihin.
Kaupunki jatkaa selvitystyötä ja tiedottaa tilanteesta, kun asiasta saadaan lisätietoja.
Juttua muokattu kello 11.24, lisätty maanantaina 13. toukokuuta lähetetty viesti. Jutun aiempi viesti oli lähetetty Wilmaan 2. toukokuuta.