Helsingin kaupunkiin keväällä 2024 kohdistunut laaja tietomurto johtui puutteellisesti ylläpidetyistä palvelimista, heikosta tietoturvavalvonnasta ja sekavista ohjeistuksista.
Näin kertoo riippumattoman tutkintaryhmän vastavalmistunut raportti. Valtioneuvosto asetti heinäkuussa 2024 Onnettomuustutkintakeskuksen (OTKES) yhteyteen riippumattoman tutkintaryhmän selvittämään tietomurtoa.
Tietoturvan puutteet ovat ryhmän mukaan Suomessa osin laajempi ongelma, joka ei koske vain Helsingin kaupunkia. Tietoturvan laatu eri organisaatioissa vaihtelee suuresti.
Tutkintaryhmän mukaan kyseinen tietomurto on Suomen mittavin.
300 000 uhria
Kevään 2024 tietomurrossa hakkeri tai hakkerit saivat kopioitua Helsingin kasvatuksen ja koulutuksen toimialan eli Kaskon verkkolevyiltä erilaisia tietoja noin kahden teratavun verran.
Tutkintaryhmän arvion mukaan vuotaneissa tiedostoissa oli noin 750 000 asiakirjaa, joissa oli noin 300 000 työntekijän, oppilaan ja vanhemman henkilökohtaisia tietoja.
Mukana oli muun muassa henkilötunnuksia ja lastensuojelun asiakirjoja sekä tietoja terveydestä, taloudesta, oppiaineista, kurssivalinnoista, tet-harjoittelujaksoista, leikkipuistojen hauista ja oppisopimuspaikoista.
Selvityksessä ei ilmennyt tarkasti, mitä tietoja on saattanut päätyä hyökkääjälle.
Ryhmän mukaan vuotaneita tietoja voisi käyttää esimerkiksi identiteettivarkauksiin, mutta tutkinnan aikana ei ole havaittu merkkejä tällaisesta.
Kaikkiaan verkkolevyillä oli noin 2,5 miljoonaa asiakirjaa, mutta kaikki eivät päätyneet tietomurron tekijöille.
Sisään puutteellisen palvelimen kautta
Raportin mukaan tekijät pääsivät murtautumaan kaupungin verkkolevyille puutteellisesti ylläpidetyn, vanhentuneen VPN-etäyhteyspalvelimen kautta.
Ylläpidon puutteet johtuivat kaupungin henkilö- ja organisaatiomuutoksista. Tutkintaryhmän mukaan ylläpidon vastuutahot olivat epäselvät.
Palvelimen haavoittuvuuteen oli olemassa korjauspäivitys, mutta sitä ei ollut tehty.
Verkkolevyille oli ryhmän mukaan kertynyt vuosien saatossa suuri määrä henkilötietoja. Levyjen käytöstä oli annettu ohjeistus kaupungin työntekijöille, mutta ohjeiden noudattamista ei valvottu.
Tietojenhallinnasta on annettu useita säädöksiä, mutta verkkolevyjen ylläpidosta vastaavilla henkilöillä saattoi olla puutteelliset tiedot niistä. Ryhmän mukaan säädökset, lainsäädäntö ja valtakunnalliset ohjeet ovat vaikeaselkoisia.
Kaikkia ei tavoitettu
Kun tieto murrosta varmistui, kaupunki aloitti tutkintaryhmän mukaan korjaustoimenpiteet välittömästi. Tämä pysäytti tietoturvahyökkäyksen.
Murron jälkeen kaupunki ryhtyi tiedottamaan asiasta heitä, joiden tietoja oli vuotanut.
Kaupungin henkilökunnan tavoittaminen onnistui hyvin, mutta entisten työntekijöiden ja oppijoiden kattava tavoittaminen oli erittäin haastavaa eikä sitä edes yritetty tehdä.
Raportin mukaan kaupungin ulkoinen viestintä ei alkanut riittävän nopeasti.
Hyökkäys alkoi jo helmikuussa
Selvityksen mukaan hyökkäys alkoi jo aikavälillä 29.2.–4.4., kun hakkeri yritti tunkeutua Kaskon verkkolevylle tässä kuitenkaan onnistumatta.
Toinen eri osoitteesta tullut hyökkäys Kaskon verkkoympäristöön tapahtui maalis-huhtikuussa. Hyökkääjä sai tietoja VPN-verkkolevystä, mutta ei päässyt käsiksi henkilötietoihin.
Varsinainen tietomurto tapahtui 25. huhtikuuta. Hyökkääjä kirjautui Kaskon sisäverkkoon hyödyntämällä pimeästä verkosta eli Tor-verkosta löytämäänsä yläkoulun oppilaan käyttäjätunnusta ja salasanaa.
Tätä kautta hyökkääjä sai käsiinsä verkkolevyn pääkäyttäjätunnukset.
Tutkintaryhmän mukaan hyökkäykset olisi voitu havaita useita viikkoja aiemmin. Murrot aiheuttivat useita hälytyksiä, mutta niihin ei kuitenkaan reagoitu riittävästi.
Kaupunki havaitsi laajan tietomurron 30. huhtikuuta ja pysäytti sen.
Sekavat säännöt
Yleisellä tasolla raportissa todetaan, että tietoturvasäädökset ovat sekavia. Useat eri viranomaiset Suomessa ohjaavat julkisen hallinnon tiedonhallintaa ja tietoturvaa.
Viranomaiset tekevät ohjausta itsenäisesti omista lähtökohdistaan, joten eri viranomaisten eri ohjeiden noudattaminen vaihtelee.
Tutkintaryhmän mukaan eri viranomaisten asettamia tietoturvavelvoitteita kohdistuu etenkin kunnille. Velvoitteiden kokonaisuutta on hankala hallita.
Ryhmä myös toteaa, että huhtikuun alussa voimaan astunut uusi kansallinen kyberturvallisuuslaki ei ulotu kaupunkeihin ja kuntiin riittävästi.
Neljä toimenpidettä
Tutkinnan pohjalta tutkintaryhmä antaa neljä suositusta, jotka se kohdentaa pääosin valtiovarainministeriölle.
Toimet tulisi toteuttaa yhdessä oikeusministeriön, liikenne- ja viestintäministeriön, Opetushallituksen sekä Kuntaliiton kanssa.
- Julkisen hallinnon tiedonhallintaa koskevaa lainsäädäntöä on selkeytettävä ja yhteensovitettava kaikkien toimijoiden kanssa niin, että käytössä ei ole lukuisia eri ohjeita eri toimijoille.
- On selvitettävä, millä tavoin tietoturvapuutteiden havaitsemista voidaan parantaa. Samalla on varmistettava, että julkisilla toimijoilla, kuten tässä tapauksessa Helsingin kaupungilla, on riittävä taitotaso havaita ja korjata ongelmia.
- Kuntien ja kaupunkien on kehitettävä selkeä ja saavutettava ohjeistus siitä, miten tietomurroista viestitään uhreille. Ohjeistuksen avulla myös uhrien tulee voida suojautua tietomurtojen seurauksilta.
- Valtiovarainministeriön ja Kuntaliiton tulee tukea kuntia tietoturvapuutteiden tunnistamisessa ja korjaamisessa sekä tietoturvan riskienhallinnassa.
Tutkintaryhmä esitteli raporttinsa Helsingin kaupungin tietomurrosta tänään tiistaina Helsingin Pasilassa.
Ryhmä aikoo seurata toimenpiteiden edistymistä seuraavan kymmenen vuoden ajan.
– Kysymme kolmen kuukauden kuluttua ministeriöiltä, onko muutoksia tehty, kertoi tutkintaryhmän johtaja Hanna Tiirinki tilaisuudessa tiistaina.
Tutkintaryhmän lisäksi tapausta tutkivat tietosuojavaltuutetun toimisto sekä keskusrikospoliisi rikosnimikkeillä törkeä tietomurto ja tietosuojarikos. Myös rikosuhripäivystys on ollut mukana prosessissa.
Tietomurron tekijä tai tekijät eivät ole tiedossa.
Korjattu 17.6.2025 kello 21.54: Korjattua juttua kauttaaltaan sen osalta, että kyseessä ei ollut Onnettomuustutkintakeskuksen (OTKES) raportti, vaan riippumattoman tutkintaryhmän raportti.