Onnettomuustutkintakeskus (Otkes) on saanut valmiiksi Helsingin kaupunkiin keväällä 2024 kohdistuneen tietomurron turvallisuustukinnan.
Selostus tutkinnasta jätettiin valtioneuvostolle tänään tiistaina 17.6.
Tietomurto kohdistui Helsingin kaupungin kasvatuksen ja koulutuksen toimialaan. Tietoja varastettiin tutkintaselostuksen mukaan noin kahden teratavun edestä. Hyökkääjä sai haltuunsa noin 750 000 asiakirjaa, joista osa sisälsi arkaluonteisia henkilötietoja.
Hyökkääjän haltuun päätynyttä materiaalia voidaan myöhemmin käyttää esimerkiksi identiteettivarkauksiin tai petoksiin. Tutkinnan aikana ei havaittu merkkejä tietojen käytöstä.
Verkkolevyn asiakirjoissa oli Onnettomuustutkintakeskuksen mukaan myös muiden välillisesti tai suoraan kaupungin kanssa asioineiden henkilöiden, yritysten ja muiden yhteistyötahojen tietoja.
Tietomurto alkoi viranomaisen mukaan huhtikuun 2024 puolivälissä, minkä jälkeen hyökkääjä alkoi kartoittaa sisäverkon kohteita ja laajentaa pääsyään eri palvelimille.
Mittavan tietomäärän kopioinnin mahdollisti viranomaisen mukaan kaksi tekijää. Tietojärjestelmään päästiin murtautumaan puutteellisesti ylläpidetyn vpn-etäyhteyspalvelimen kautta ja verkkolevylle oli kertynyt usean vuoden aikana suuri määrä tietoa.
Puutteellinen ylläpito johtui selvityksen mukaan henkilö- ja organisaatiomuutoksista, joiden seurauksena vastuut muodostuivat epäselviksi. Tiedostot kasaantuivat verkkolevylle, koska tiedonhallinta oli puutteellista eikä levyn käytöstä annettujen ohjeiden noudattamista valvottu.
Onnettomuustutkintakeskus kertoo, että tiedonhallintaan liittyy useita lakeja ja säädöksiä, mutta niiden tunnettuus on usein puutteellinen. Erityisesti kuntasektorilla kokonaisuutta on viranomaisen mukaan vaikea hallita.
Uhrien tavoittaminen oli selvityksen mukaan haastavaa. Erityisen hankalaksi osoittautui entisten työntekijöiden ja oppijoiden sekä nykyisten oppijoiden tavoittaminen. Viranomaisen mukaan kaikkien uhrien tavoittaminen oli käytännössä erittäin haasteellista, eikä sitä edes yritetty tehdä.
Tutkinnan pohjalta Onnettomuustutkintakeskus antaa neljä suositusta, jotka kohdentuvat pääosin valtionvarainministeriölle.
Julkisen hallinnon tiedonhallintaa koskevaa lainsäädäntöä tulisi yhteensovittaa ja sen valvonta- ja ohjausrakennetta selkeyttää. myös tietoturvapuutteiden havaitsemista ja kykyä korjata puutteita tulisi kehittää.
Selvityksessä myös suositetaan, että kuntien ja kaupunkien viestintää ja ohjeistusta kehitettäisiin, jotta uhrit voisivat suojautua tietomurtojen seurauksilta. Lisäksi selvityksessä suositetaan, että kuntia tuetaan tietoturvaan liittyvien asioiden kehittämisessä.