Tietosuojavaltuutetun toimisto on saanut vain muutamia yhteydenottoja Helsingissä vappuaattona havaitusta tietomurrosta.
Kaupungin kasvatus- ja koulutustoimialan asiakkaat ja työntekijät ovat kysyneet neuvoja varmistuakseen omien tietojen mahdollisesta vuotamisesta ja siitä, mitä tietoja kaupungilla heistä ylipäätään on.
Tietosuojavaltuutetun toimiston lisäksi tietomurtoa tutkitaan Helsingin poliisilaitoksen, keskusrikospoliisin ja Onnettomuustutkintakeskuksen voimin. Poliisi tutkii tapausta törkeänä tietomurtona.
Helsingin kasvatuksen ja koulutuksen toimialaan kohdistunut tietomurto on tiettävästi Suomen kaikkien aikojen suurin. Ulkomailta toiminut tietomurtaja on saanut haltuunsa yli 100 000 oppilaan ja heidän huoltajiensa henkilötunnukset ja osoitteet.
Tietomurto koskee lisäksi myös 38 000 Helsingin kaupungin työntekijää. Murto onnistui päivittämättä jääneen etäyhteyspalvelimen kautta.
Uhrin luotto järjestelmään meni
Tietosuojavaltuutetun toimisto voi tarvittaessa määrätä organisaation antamaan omia tietojaan pyytävälle henkilölle kattavan raportin niistä henkilötiedoista, joita se käsittelee.
Helsingin kaupungilla aikaisemmin opettajan sijaisena ja koulunkäyntiavustajana toiminut, nyt muualla tietoturvavastaavana työskentelevä henkilö on tehnyt tietosuojavaltuutetulle tämänkaltaisen määräyspyynnön.
– Vuodettuja tietoja on etsitty pelkästään henkilöturvatunnuksen perusteella. Itse koen, että tämä ei riitä, vaan etsintää pitäisi tehdä myös muilla tiedoilla, nainen toteaa.
Hän esiintyy nimettömänä, koska pelkää omien tietojensa väärinkäyttöä.
Kaupungin vastineen mukaan henkilötunnushaku antaa ”riittävän vahvan olettaman siitä, että tietoja ei löydy”, mutta ”on kuitenkin mahdollista, että verkkolevyasemalla on tiedostoja, joissa ei ole henkilötunnusta, mutta joissa on muita henkilötietoja”.
Tietosuojavaltuutetun toimisto ei ota tässä vaiheessa asiaan kantaa, koska selvitystyö on kesken.
Nainen aikoo pyytää tietojensa poistamista koko toimialan kaikista rekistereistä, paitsi niistä, joissa henkilötietojen on lakisääteisesti oltava.
– Minulla meni luotto, etteikö mistä tahansa voisi henkilötiedot lähteä maailmalle.
KRP tutkii edelleen, mitä tietoa on vuotanut
Julkinen toimija ei Suomessa voi saada tietosuojavaltuutetulta huomautusta kummempaa sanktiota nyt tapahtuneen kaltaisesta tietomurrosta. Kaupungin käsityksen mukaan yhtään vuodettuihin tietoihin liittyvää väärinkäytöstä ei ole tullut ilmi.
Tietomurron rikostutkinta on aktiivisessa vaiheessa mutta kesken, ja laajan teknisen tietoaineiston vuoksi myös hidasta. Esimerkiksi mahdollisesta epäillystä tai rikoksen tekomaasta ei ole toistaiseksi selvinnyt uutta tietoa.
Niin ikään selvitys siitä, mitä tietoaineistoa on vuodettu, on yhä kesken.
Onnettomuustutkintakeskus on julkaissut tänään perjantaina tutkinnan omat verkkosivut.
Keskukseen perustettu erillinen tutkintaryhmä pyrkii ennen kaikkea selvittämään, miten yhteiskunta voisi varautua vastaaviin tilanteisiin nykyistä paremmin. Ryhmä antanee työnsä päätteeksi uusia suosituksia kyberhyökkäyksien ja tietomurtojen varalle sekä niiden jälkihoitoon.
Onnettomuustutkintakeskus ei ota kantaa tapauksen syyllisyys-, vastuu-, tai vahingonkorvauskysymyksiin.
