Helsingin kaupunki kertoi maanantaina, että kaupungin kasvatuksen ja koulutuksen toimialaan kohdistuneessa tietomurrossa vuoti jopa 120 000:n oppijan, huoltajan sekä henkilökunnan tietoja. Osa tiedoista oli arkaluonteisia.
Murtautuminen tietoverkkoon tapahtui etäyhteyspalvelimen kautta. Kaupungin mukaan palvelimessa oli haavoittuvuus, jota hyödyntämällä murtautuja kykeni muodostamaan yhteyden toimialan tietoverkkoon.
Kyseiseen haavoittuvuuteen on ollut olemassa korjauspäivitys, mutta sitä ei ollut tehty.
Helsingin kaupungin digitalisaatiojohtaja Hannu Heikkinen vastasi Ylelle kaupungin tietoturvaan liittyviin kysymyksiin.
Miksi korjauspäivitystä ei ollut tehty?
– Meille on tällä hetkellä epäselvää, minkä takia palvelinhaavoittuvuutta ei ollut päivitetty. Tämä tullaan selvittämään perusteellisesti.
Kaupungin tiedotteen mukaan tietoturvapäivitysten ja laitteiden ylläpitoon liittyvät kontrollit ja toimintatavat ovat olleet puutteellisia. Millä tavalla ne olivat puutteellisia? Miten on mahdollista, että ne ovat puutteellisia?
– Yleisesti tietoturvakontrollit tarkoittavat sitä, että tiedämme verkossamme olevat laitteet sekä ohjelmistot, ja näihin liittyen seuraamme, onko niihin liittyviä haavoittuvuuksia ja päivityksiä. Huolehdimme niistä rutiininomaisesti, jotta ne ovat ajan tasalla ja laitteet turvallisia. Nyt jostain syystä tämä mekanismi on pettänyt ja haavoittuvaa laitetta ei ole päivitetty, mikä tämän tietomurron mahdollisti. Meille on edelleen iso kysymysmerkki, miksi näin on päässyt käymään ja se tullaan selvittämään.
Mikä yksikkö on tästä vastuussa?
– Kasvatuksen ja koulutuksen toimialalla on tietohallinto, jonka vastuulla kyseinen laite oli, mutta kuitenkin Helsingin kaupunkia voidaan katsoa kokonaisuutena: kaupungin tietoliikenneverkko ja ICT ovat koko kaupungin vastuulla.
Millä tavalla asiasta on tiedotettu henkilökunnan suuntaan?
– Henkilöstölle on lähetetty oma tiedote ja heille on omat kanavat, joita pitkin he voivat olla yhteydessä. Tarvittaessa he saavat tukea lähiesihenkilöltä tai työterveyshuollosta.