Sanotaan tämä suoraan. Minä olen tietomurron uhri. Myös minun lapseni on tietomurron uhri. Emme ole tehneet itse tiettävästi mitään, klikanneet väärää linkkiä tai jakaneet verkkopankkitunnuksia huijareille. Meistä teki uhreja se tosiseikka, että perheessämme on ihminen, joka suorittaa oppivelvollisuutta.
Kaltaisiamme on vähintään 150 000. Kun mukaan lasketaan jokaiselle oppijalle ainakin yksi huoltaja, ollaan jo teoriassa noin 300 000 uhrin paikkeilla. Lisäksi uhreiksi ovat joutuneet myös kaikki kaupungin opetus- ja kasvatusalalla työskentelevät noin 38 000 työntekijää. Yhteensä siis noin 338 000 ihmistä. Helsingin kaupungin väkiluku oli viime vuoden lopussa 674 963 ihmistä, joten ainakin teoriassa tietomurron uhreja on nyt enemmän kuin puolet Helsingin asukkaista.
Joukossa on lasten ja aikuisten henkilötunnuksia ja osoitetietoja. Ihmisistä, joilla on turvakielto, kuulemma kuitenkaan ole vuotanut osoitetietoja. Tämä tuskin turvakieltoasiakasta ihan kauheasti lämmittää, sillä henkilötunnuksellakin saa aikaan kaikenlaista ikävää.
Helsingin kaupunki mainitsi tiistaina erikseen, että Santahaminan varuskunta-alueella sijaitsevan päiväkodin, leikkipuiston ja koulun asiakastietojen lisäksi näissä toimipisteissä Santahaminassa vierailleiden kulkulupatietoja on saattanut päätyä tietomurron tekijälle. Tiedoissa saattaa olla myös ulkomaalaistaustaisten perheiden passinumeroita.
Santahaminassa asuvien sotilaiden ja heidän perheidensä lisäksi melko suuri osa puolustusvoimien pääesikunnan henkilökunnasta asuu Helsingissä. Sama koskee myös puolustusministeriön ydintoimintoja, sisäministeriön, ulkoministeriön ja muutaman muun valtionhallinnon toimivuuden kannalta olennaisen paikan henkilökuntaa. Helsingissä sijaitsee myös suojelupoliisi, Helsingin poliisi, eduskunta ja Suomen hallitus virkatoimintoineen. Joka paikassa on töissä ihmisiä, joilla on vuosien 2005 ja 2018 välillä syntyneitä jälkeläisiä.
Tiettyjen ammattialojen edustajiin kohdistuu toisia enemmän vieraan valtion tiedustelua. Korkean teknologian yritykset ja tuotekehitys ovat alttiina teollisuusvakoilulle. Tietoa kohti pyritään ihmisten kautta. Mitä enemmän ihmisestä ja hänen lähipiiristään tiedetään, sitä enemmän tapoja lähestyä ihmistä. Tietoturvamaailmassa näitä polkuja kutsutaan hyökkäysvektoreiksi.
Ei tarvitse olla nimimerkki Ilkka Remes kehittääkseen helsinkiläisten tilanteesta sieppausjuonen, joka vaarantaa Suomen valtion päätöksentekokyvyn. Ei tarvitse olla Bond -elokuvien pahis löytääkseen isosta datamassasta yhteyksiä ihmisten välillä ja havaita asioita, joita ihmiset eivät haluaisi kaikkien nähtäville.
Kansalliseen turvallisuuteen liittyvien välillisten riskien lisäksi uhkia muodostavat myös väkivaltaiset ex-puolisot, kummalliset stalkkerit, nettipetostehtaat ja muut identiteettivarkaat. Mikäli nyt kerrotut tiedot on saatu varastettua, ei ikävä kyllä ole temppu eikä mikään yhdistellä niitä erilaisiin jo saatavilla oleviin tietokantoihin ja muodostaa niistä kattavasti lisää yksityiskohtaisempaa tietoa.
Helsingin kaupunki tarjoilee nyt hyökkäysvektoreita. Sadoittain ja tuhansittain hyökkäysvektoreita. Hopeatarjottimella.
Helsingin kaupunki, Helsingin poliisi tai tutkintaa koordinoiva keskusrikospoliisi tai kukaan mukaan eivät ole toistaiseksi kertoneet, onko kaikki tämä tieto todella varastettu. Se selvinnee vähitellen, kun digitaalinen forensiikka saa työtään tehtyä ja sähköisiä jälkiä analysoitua. Tavallisesti on odotettavissa, että tapahtumien lokitiedot tarjoavat selvyyttä siihen, kuka teki mitä ja mitä seuraavaksi tapahtui. Se vie aikaa.
Selvyyttä ei ole tarjottu vielä siihenkään, miksi toimialalla oli käytössään haavoittuva etäyhteyspalvelin. Korjaava päivitys oli julkaistu, olemassa ja käytettävissä, mutta sitä ei ollut asennettu. Vastuukysymyksetkin vaikuttavat olevan haastavia: siinä missä sosiaalisessa mediassa vaaditaan pormestaria eroamaan, täytyy kaupungin selvittää, onko palvelimen hallinta ja päivittäminen ollut toimialan, kaupungin vai jonkun ulkoisen tahon vastuulla, kuka teki mitä ja milloin ja mitä sitten tapahtui tai jäi tapahtumatta – ja miksi. Perusteellinen selvittäminen on kohtuullista, mutta hidasta se on.
Helsingin kaupungilla toivotaan, että selvitykset saataisiin mahdollisimman pitkälle ennen lomia. Tällä välin me uhrit emme voi juuri muuta kuin odottaa ja pureskella kynsiämme.
Seuraukset voivat kävellä uhreja vastaan vielä vuosienkin kuluttua: petoksia, identiteettivarkauksia, ja kaikenlaista muuta häijyä, jota hyvää tahtova ihminen ei osaa tulla ajatelleeksi.
Minä en ole todistajasuojeluohjelmassa, eksät eivät uhkaile, ja olen hyviä tietoturvakäytänteitä noudattamalla onnistunut suojaamaan työhöni liittyvät lähteeni. Välitöntä uhkaa ei siis ole.
Mutta kotona olen vuosien saatossa käyttänyt jälkikasvun raivostuttamiseen saakka aikaa ja vaivaa opettaakseni miten somea voi käyttää ja samalla suojata yksityisyytensä ja olla altistumatta huijauksille ja kaikenlaisille pervoille. Henkilötunnusta ei ole taatusti levitetty yhtään mihinkään, paitsi terveydenhuoltoon ja kouluun.
Ja sitten kotikaupunkimme saattoi päästää tuon tunnuksen vuotamaan ties minne. Kotikaupunkimme uhkaa nyt tehdä tyhjäksi minun pyrkimykseni varjella lastani.
Helsingin kaupunki on kertonut enemmän kuin kerran, että on tapahtuneesta syvästi pahoillaan. Syytä tietysti onkin, ja pahoittelu on kohtuullista. Mikään määrä anteeksipyyntöjä ja katumusta ei kuitenkaan tee tapahtunutta tyhjäksi. Jos tietoja on varastettu, ei hartainkaan Canossan matka tuo niitä enää takaisin.
Olisiko tätä kaikkea voinut ajatella vähän aikaisemmin? Olisiko kannattanut? Ja kannattaisiko ajatella myös juuri nyt, ennen kuin seuraava tietomurto tapahtuu.
