P2024-01 Dataintrånget mot Helsingfors stad 2024

Våren 2024 utsattes Helsingfors stads fostrans- och utbildningssektor för ett allvarligt dataintrång. Till följd av dataintrånget fick angriparen tillgång till en stor mängd uppgifter som gäller elever, studerande och personal. Bland handlingarna på nätverksdisken fanns det därtill uppgifter om andra personer, företag och samarbetsparter som direkt eller indirekt hade uträttat ärenden med staden.

Dataintrånget började i mitten av april 2024, varefter angriparen började kartlägga objekten i det interna nätet och utvidga sin tillgång till olika servrar. I slutet av april kopierade angriparen från nätverksdisken totalt cirka 2 terabyte med data i fyra omgångar. Filernas exakta antal och innehåll kunde inte utredas. I utredningen gjordes en uppskattning, enligt vilken angriparen fick tillgång till ca 750 000 handlingar, varav en del innehöll känsliga personuppgifter.

Dataintrånget kunde pågå länge, eftersom organisationens nätövervakning var bristfällig och man inte reagerade i tid på de meddelanden som upptäckts. När uppgiften om dataintrånget hade verifierats inledde Helsingfors stad omedelbart hanterings- och korrigeringsåtgärder för att stoppa intrånget.

Kopierandet av den stora mängden data var möjlig på grund av två faktorer: Man kunde bryta sig in i datasystemet genom en bristfälligt upprätthållen vpn-distansanslutning och under årens lopp hade det samlats en stor mängd data på nätverksdisken. Det bristfälliga underhållet berodde på person- och organisationsförändringar som hade lett till att ansvaren blev oklara. Filerna hopades på nätverksdisken, eftersom informationshanteringen var bristfällig och man inte övervakade att anvisningarna om användning av nätverksdisken följdes.

Det finns flera lagar och författningar som gäller informationshantering, men aktörerna som sköter det praktiska arbetet har ofta bristfällig kunskap om dessa. Lagstiftningen och de riksomfattande anvisningarna är delvis svårtolkade och utspridda. I synnerhet kommunsektorn omfattas av skyldigheter som flera olika myndigheter ställer, varvid helheten är svårhanterlig.

Till följd av dataintrånget fick angriparen tillgång till en stor mängd material som innehåller personuppgifter. Uppgifterna kan senare användas för skadliga syften, exempelvis identitetsstöld och bedrägeri. Under utredningens tid upptäcktes inga tecken på sådant.

Antalet offer för dataintrånget var flera hundra tusen. Av utredningen framgick att det är svårt att kartlägga alla offer på ett täckande sätt. Det gick bra att kontakta personalen som är anställd av staden, men att nå tidigare anställda, elever och studerande samt nuvarande elever och studerande på ett täckande sätt var i praktiken mycket svårt, och man försökte inte ens göra det.

I utredningen ges fyra rekommendationer. De är främst riktade till finansministeriet, som svarar för verkställandet av dem i samarbete med justitieministeriet, kommunikationsministeriet, Utbildningsstyrelsen och Kommunförbundet.

1. Finansministeriet säkerställer i samarbete med justitieministeriet att lagstiftningen om informationshantering inom den offentliga förvaltningen samordnas och att dess tillsyns- och styrningsstrukturer förtydligas.
2. Finansministeriet utreder i samarbete med kommunikationsministeriet hur upptäckandet av dataskyddsbrister inom den offentliga förvaltningen kan förbättras på riksnivå och säkerställer att offentliga aktörer har tillräcklig kompetens för att upptäcka och åtgärda dataskyddsbrister.
3. Finansministeriet säkerställer tillsammans med Utbildningsstyrelsen att kommunerna och städerna för kommunikationen i situationer med dataintrång utvecklar tydliga och tillgängliga anvisningar med hjälp av vilka offren kan skydda sig mot konsekvenserna av dataintrång och skydda sina personuppgifter.
4. Finansministeriet stöder i samarbete med Kommunförbundet kommunerna i upptäckandet och åtgärdandet av kritiska dataskyddsbrister samt utvecklar riskhanteringen i fråga om informationshanteringen och dataskyddet.