Missä vastuu Helsingin tietomurrosta?

21.5.2024

 

Helsingin kaupungin tietomurto on paljastunut vielä pahemmaksi kuin aluksi uutisoitiin. Tämän päivän tiedotustilaisuuden mukaan kaupungin lähes 40 000 työntekijän lisäksi murtautuja on saanut jopa 150 000 oppilaan ja heidän huoltajiensa tietoja. Kaupungilta on siis vuotanut useamman sadan tuhannen ihmisen tietoja.

Tietomurtautuja on saanut haltuunsa varhaiskasvatuksen ja koulujen oppilaiden ja heidän vanhempiensa henkilötunnukset ja osoitetiedot sekä kaikkien kaupungin työntekijöiden sähköpostiosoitteet ja käyttäjätunnukset. Lisäksi murrossa on päästy käsiin arkaluontoisiin ja salassa pidettäviin tietoihin mm. sairauksista, erityisen tuen tarpeista ja ulkomaalaistaustaisten perheiden passien numeroita. Tietomurto koskee kymmeniä miljoonia asiakirjoja.

Murtautuja on kyennyt liikkumaan kaupungin tietoverkossa ilmeisesti varsin vapaasti. Kaupungin johdon mukaan ei voida sulkea pois sitäkään, että murtautujalla olisi edelleen jalansijaa kaupungin tietoverkossa.

Ilmeisesti tietomurto oli tapahtunut jo ennen kuin se selvisi kaupungille vappuaattona ja siitä tiedotettiin. Kaupunki on kertonut sen selvittämisen edenneen ja tiedottanut asiasta useampaan kertaan, mutta jättänyt tähän asti kertomatta monia olennaisia asioita.

Esimerkiksi, kenen hoidettavana ja vastuulla olivat verkkolevyt, joiden päivitykset oli jätetty tekemättä? Miksi vieläkään, kolme viikkoa murron havaitsemisen jälkeen, ei tämän päivän tiedotustilaisuuden mukaan tiedetä, miksi päivitykset oli jätetty tekemättä ja kenen vastuulla ne ovat?

Mikä taho ja kenen johdolla on tehnyt kaupungin tietojärjestelmään sellaiset ratkaisut, joilla yhden osan haavoittuvuus avaa murtautujalle pääsyn koko kaupungin henkilöstön ja koko kasvatuksen ja koulutuksen toimialan tietoihin, miksi näin valtavia ja erilaisia tietoverkkoja ei oltu lohkottu ja näin vapaata liikkumista verkossa ollut rajoitettu?

Tietomurtautuja on rikollinen, mutta kuten Vastaamon tapauksessa, on Helsingissäkin syytä kysyä, mikä on kaupungin johdon, erityisesti pormestarin, kansliapäällikön ja digitalisaatiojohdon vastuu kaupungin tietojärjestelmien suojaamisen ja päivittämisen varmistamisesta?

Tietomurto on kerrotun mukaan tapahtunut etäyhteyden haavoittuvuutta hyväksi käyttäen. Kun etätyö alkoi yleistyä, tehtiinkö Helsingissä asianmukainen arvio siihen liittyvistä tietoturvan riskeistä ja päätettiinkö toimista niiden ehkäisemiseksi? Mitä esimerkiksi kaupunginhallituksen asettama digitalisaatiotoimikunta on tehnyt ja miksi sen päätösasiakirjat-sivulta tulee kaupungin netissä ilmoitus, että ”sivua ei löydy”?

Entä missä ovat kaupungin järjestämä henkilökohtaiset tukipalvelut niille tietomurron uhreille, joilla on syytä pelätä identiteettivarkautta ja muuta henkilökohtaisten tietojensa väärinkäyttöä.

 

(Artikkelin kuva: Helsingin kaupunki/Laura Oja)

© 2024 Yrjö Hakanen
webDesign: Mekanismi »