P2024-01 Helsingin kaupungin tietomurto 2024

Helsingin kaupungin kasvatuksen ja koulutuksen (KASKO) toimialaan kohdistui keväällä 2024 vakava tietomurto. Tietomurron seurauksena suuri määrä oppijoiden ja henkilökunnan tietoja päätyi murtautujan haltuun. Lisäksi verkkolevyn asiakirjoissa oli muiden välillisesti tai suoraan kaupungin kanssa asioineiden henkilöiden, yritysten ja muiden yhteistyötahojen tietoja.

Tietomurto alkoi huhtikuun 2024 puolivälissä, minkä jälkeen hyökkääjä alkoi kartoittaa sisäverkon kohteita ja laajentaa pääsyään eri palvelimille. Huhtikuun lopussa hyökkääjä kopioi verkkolevyltä neljässä erässä yhteensä noin kaksi teratavua tietoa. Tiedostojen tarkkoja määriä tai sisältöä ei pysytty selvittämään. Tutkinnassa päädyttiin arvioon, jonka mukaan hyökkääjä sai haltuunsa noin 750 000 asiakirjaa, joista osa sisälsi arkaluonteisia henkilötietoja.

Tietomurto sai jatkua pitkään, koska organisaation verkkovalvonta oli puutteellista eikä havaittuihin ilmoituksiin reagoitu ajoissa. Kun tieto murrosta varmistui, Helsingin kaupunki aloitti välittömästi hallinta- ja korjaustoimenpiteet, joilla hyökkäys saatiin pysäytettyä.

Mittavan tietomäärän kopioinnin mahdollisti kaksi tekijää: Tietojärjestelmään päästiin murtautumaan puutteellisesti ylläpidetyn vpn-etäyhteyspalvelimen kautta ja verkkolevylle oli kertynyt usean vuoden aikana suuri määrä tietoa. Puutteellinen ylläpito johtui henkilö- ja organisaatiomuutoksista, joiden seurauksena vastuut muodostuivat epäselviksi. Tiedostot kasaantuivat verkkolevylle, koska tiedonhallinta oli puutteellista eikä levyn käytöstä annettujen ohjeiden noudattamista valvottu.

Tiedonhallintaan liittyy useita lakeja ja säädöksiä, mutta niiden tunnettuus käytännön toimijoilla on usein puutteellinen. Lainsäädäntö ja valtakunnallinen ohjeistus on osin vaikeaselkoista ja hajanaista. Erityisesti kuntasektorille kohdistuu usean eri viranomaisen asettamia velvoitteita, jolloin kokonaisuutta on vaikea hallita

Tietomurron seurauksena suuri määrä henkilötietoja sisältävää materiaalia päätyi hyökkääjän haltuun. Tietoa voidaan myöhemmin käyttää haitallisiin tarkoituksiin, esimerkiksi identiteettivarkauksiin ja petoksiin. Tutkinnan aikana tästä ei havaittu merkkejä.
Tietomurron uhreja oli satoja tuhansia. Tutkinta osoitti, että kaikkien uhrien kattava kartoittaminen oli haastavaa. Kaupungin palveluksessa olevan henkilökunnan osalta tavoittaminen onnistui hyvin, mutta entisten työntekijöiden ja oppijoiden sekä nykyisten oppijoiden kattava tavoittaminen oli käytännössä erittäin haasteellista, eikä sitä edes yritetty tehdä.

Tutkinnassa annetaan neljä suositusta. Ne kohdentuvat pääosin Valtionvarainministeriölle, joka vastaa niiden toteuttamisesta yhteistyössä Oikeusministeriön, Liikenne- ja viestintäministeriön, Opetushallituksen ja Kuntaliiton kanssa.

1. Valtiovarainministeriö yhteistyössä Oikeusministeriön kanssa huolehtii, että julkisen hallinnon tiedonhallintaa koskeva lainsäädäntö yhteensovitetaan ja sen valvonta- ja ohjausrakenteet selkeytetään.
2. Valtionvarainministeriö yhteistyössä Liikenne- ja viestintäministeriön kanssa selvittää, millä tavoin julkisen hallinnon tietoturvapuutteiden havaitsemista voidaan valtakunnallisesti parantaa ja varmistaa, että julkisilla toimijoilla on riittävät kyvykkyydet tietoturvapuutteiden havaitsemiseen ja korjaamiseen.
3. Valtiovarainministeriö yhteistyössä Opetushallituksen kanssa huolehtii, että kunnat ja kaupungit kehittävät tietomurtotapausten viestintään selkeää ja saavutettavaa ohjeistusta, jonka avulla uhrit voivat suojautua tietomurtojen seurauksilta ja suojata omia henkilötietojaan.
4. Valtiovarainministeriö yhteistyössä Kuntaliiton kanssa tukee kuntia kriittisten tietoturva-puutteiden tunnistamisessa ja korjaamisessa sekä kehittää tiedonhallinnan ja tietoturvan riskienhallintaa.