Otkes har utrett det största dataintrånget i Finland – så här ska läckor nu undvikas

300 000 personer uppskattas ha drabbats när Helsingfors stad utsattes för dataintrång våren 2024. Nu föreslår Olycksutredningscentralen åtgärder.

En grupp människor i ett filmkamerafönster. — I april 2024 skedde Finlands hittills största dataintrång. På tisdagen presenterade Olycksutredningscentralen sin rapport om saken. Bild: Ulrica Fagerström / Yle

Ulrica Fagerström

17.6.2025 13:16Uppdaterad 17.6.2025 20:46

I april 2024 utsattes en nätverksdisk som tillhörde Helsingfors stads fostrans- och utbildningssektor för ett dataintrång. Enligt Olycksutredningscentralen (Otkes) utredningsrapport som publicerades på tisdagen omfattade dataintrånget uppskattningsvis 300 000 personer som på något sätt hade sina personuppgifter lagrade på just den disken.

Bland de drabbade fanns både tidigare och nuvarande elever, studerande, stadens personal, föräldrar till barn samt olika personer, företag och samarbetspartners som haft kontakt med Helsingfors stad.

Siffran 300 000 är en uppskattning som baserar sig på Helsingfors stads uppgifter om hur många personer det kan vara frågan om. En exakt siffra är omöjlig att få fram och felmarginalen är stor.

Dator med texten Helsingfors april 2024. — Den/de som genomförde datastölden av uppgifterna på Helsingfors stads nätverksdisk hade tillgång till disken under flera veckors tid. Bild: Ulrica Fagerström / Yle

Uppgifterna stals i fyra omgångar under några veckor i april 2024. Datamängden uppgick till två terabyte, vilket motsvarar cirka 750 000 handlingar – varav vissa innehöll känsliga personuppgifter.

Orsaken till att dataintrånget var möjligt var enligt uppgift en gammal bristfälligt upprätthållen VPN-anslutning och oklarheter kring vem som ansvarade för nätverksdisken och dess underhåll. Det ledde bland annat till att stora mängder information blev kvar på disken.

VPN-anslutningen blev som en dörr in i systemet och själva nyckeln utgjordes av ett elevanvändarnamn.

Det stora antalet uppskattade brottsoffer, omkring 300 000 personer, gör brottet till det mest omfattande dataintrånget i Finland. Samtidigt innebär det svårigheter att nå alla som drabbats, och man har inte ens försökt att göra det heltäckande, skriver Olycksutredningscentralen i sin nya rapport.

Dator i korridor. — De digitala korridorerna behöver skyddas. Bild: Ulrica Fagerström / Yle

Det här borde göras

I juli 2024 tillsatte alltså statsrådet en utredningskommission i anslutning till Otkes för att utreda dataintrånget. På tisdagen publicerades fyra rekommendationer för hur den här typen av dataintrång i framtiden ska kunna förebyggas.

Åtgärdsförslagen riktar sig dels till olika ministerier som kan påverka på riksnivå, dels till institutioner som har kontakt med kommuner och utbildningsenheter runt om i landet.

I korthet rekommenderar Otkes följande åtgärder för informationshantering inom offentlig förvaltning:

förbättrad och samordnad lagstiftning
åtgärder för att på riksnivå upptäcka och åtgärda brister inom dataskyddet och se till att offentliga aktörer har kompetens att göra det
anvisningar för hur redan drabbade kan skydda sig mot missbruk av personuppgifter
stöd till kommunerna för att upptäcka, åtgärda och förebygga brister inom dataskyddet

Otkes rekommendationerna i sin helhet

1. Finansministeriet säkerställer i samarbete med justitieministeriet att lagstiftningen om informationshantering inom den offentliga förvaltningen samordnas och att dess tillsyns- och styrningsstrukturer förtydligas.

2. Finansministeriet utreder i samarbete med kommunikationsministeriet hur upptäckandet av dataskyddsbrister inom den offentliga förvaltningen kan förbättras på riksnivå och säkerställer att offentliga aktörer har tillräcklig kompetens för att upptäcka och åtgärda dataskyddsbrister.

3. Finansministeriet säkerställer tillsammans med Utbildningsstyrelsen att kommunerna och städerna för kommunikationen i situationer med dataintrång utvecklar tydliga och tillgängliga anvisningar med hjälp av vilka offren kan skydda sig mot konsekvenserna av dataintrång och skydda sina personuppgifter.

4. Finansministeriet stöder i samarbete med Kommunförbundet kommunerna i upptäckandet och åtgärdandet av kritiska dataskyddsbrister samt utvecklar riskhanteringen i fråga om informationshanteringen och dataskyddet.

Källa: Olycksutredningscentralens utredningsrapport

Framtida brott med gamla uppgifter

En av farorna med stölder av personuppgifter är att de kan utgöra en potentiell fara inte bara vid brottstillfället utan också långt senare. Till exempel kan barns uppgifter användas när de blir myndiga, på andra sätt än när de var barn.

Risken för identitetsstöld och bedrägerier finns kvar.

Kvinna tittar rakt i kameran, Lilly Korpiala. — Lilly Korpiola har suttit med i utredningsgruppen i och med sitt kunnande inom cybersäkerhet och dataintrång. Bild: Ulrica Fagerström / Yle

Världen förändras snabbt och vi lever i ett digitalt risksamhälle, säger Lilly Korpiola, expert inom kommunikation, ledarskap och säkerhet och en av medlemmarna i utredningsgruppen.

– Data kan samlas och användas senare, den kan kopplas ihop med någonting annat, bearbetas och användas av artificiell intelligens som träningsdata. Det finns så mycket som är svårt att ens tänka sig, på grund av AI och andra saker. Data har ett enormt värde i dagens läge och i framtiden, också för kriminella och andra som eventuellt vill utnyttja persondata, säger Korpiola.

Vad tycker du att en ung som berörs borde göra?

– I klassrummet borde man träna ungdomar, så de blir riskmedvetna. Skyddet är förstås vårdnadshavarnas sak.

– Man måste vara vaken, börjar bilder eller material uppstå någonstans? Eller är det någon som kontaktar mig? Och i så fall ta kontakt med polisen och göra något för att aktivt skydda sin data, säger Korpiola.

Kvinna i blommig skjorta tittar i kameran. — Leena-Kaisa Åberg, verksamhetsledare på Brottsofferjouren. Bild: Ulrica Fagerström / Yle

Digitala brottsoffer får hjälp

Under tisdagens pressinformation uttalade sig också Leena-Kaisa Åberg, verksamhetsledare på Brottsofferjouren, som bland annat hjälper offer för dataintrång.

Att få rätt och individuellt anpassad information i samband med läckage är viktigt, säger Åberg.

– Det är jättesvårt för folk att veta och värdera vad man borde göra. Kreditförbud? Utlämningsförbud av kontaktinformation? Registreringsförbud?

Leena-Kaisa Åberg vill inte stressa unga i Helsingfors som kanske har fått sina personuppgifter läckta. Men samtidigt vill hon understryka att det är viktigt att unga vet om att det finns en risk för att någon missbrukar deras uppgifter om några år.

Skolan spelar en viktig roll för att sprida kunskap och föra diskussioner med unga.

– Så att det blir en allmän diskussion, inte bara då det händer någonting, säger Åberg.

Vårdnadshavarna har förstås ansvaret för att skydda barnen, men då de unga fyller 18 och själva blir ansvariga är det bra om de känner till vilka risker som finns ifall uppgifter senare används fel, säger Åberg.

Utredningsgrupp vid ett podium, olycksutredningscentralen. — Utredningsgruppens ledare Hanna Tiirinki andra från höger. Bild: Ulrica Fagerström / Yle

Olycksutredningscentralen följer med

I tio års tid kommer Olycksutredningscentralen nu att följa hur det går med rekommendationerna, berättar utredningsgruppens ledare Hanna Tiirinki.

Vad tror du har hänt inom till exempel tre år?

– Jag är alldeles säker på att tryggandet av datasäkerheten då är mer systematisk och synlig och utgör en vardaglig rutin i organisationerna, säger Tiirinki.

Flera utredningar på gång

Dataintrånget utreds för närvarande av Centralkriminalpolisen (CKP) som ett grovt dataintrång. Utöver det utreder CKP också om Helsingfors stad gjort sig skyldig till dataskyddsbrott på grund av oaktsamhet.

Också Dataombudsmannens byrå utreder Helsingfors stads roll i sammanhanget. Då bedöms om staden haft tillräckliga skyddsåtgärder och om de har tillgodosett rättigheterna för de personer som drabbats av dataintrånget.