Aiemmin on kerrottu, että tietomurto olisi koskenut runsasta sataatuhatta ihmistä.

Helsingin kaupungin järjestelmissä havaittiin laaja tietomurto viime vuoden huhtikuun lopussa. Tietomurto kohdistui kasvatuksen ja koulutuksen toimialan verkkoon ja sen palvelimiin. Valtioneuvosto asetti Onnettomuustutkintakeskuksen (Otkes) yhteyteen riippumattoman tutkintaryhmän selvittämään tietomurtoa heinäkuussa 2024.

Raportin mukaan tietomurron todellista laajuutta ei kyetty hahmottamaan heti, koska tietomurron kohteiksi joutuneiden selvittäminen vei aikaa.

Kaksi erillistä tuntematonta hyökkääjää yritti murtautua kasvatuksen ja koulutuksen toimialan verkkoon kevään 2024 aikana.

Ensimmäinen hyökkääjä yritti tunkeutua toimialan verkkoon etsimällä sen heikkouksia ja kokeilemalla eri salasanoja. Helmikuun lopun ja huhtikuun alun välillä rekisteröitiin yli 300  000 yhteydenottoa.

Toinen hyökkääjä keräsi tietoa toimialan verkkoympäristöstä maaliskuussa ja kokeili salasanoja huhtikuussa viiden päivän aikana. Teknisesti vanhentunut ja päivittämättä jätetty reititin kaatui 14. huhtikuuta.

Hyökkääjä ei saanut kaatumisen myötä pääsyä sisäverkkoon, mutta sai siitä teknisiä lisätietoja, joita pystyi hyödyntämään myöhemmin.

Murron valmistelua ei havaittu kaupungin omassa seurannassa, koska valvonta oli puutteellista, tutkintaryhmä toteaa.

VARSINAINEN tietomurto käynnistyi 18. huhtikuuta, ja hyökkääjä kirjautui toimialan verkkoon viikkoa myöhemmin 25. huhtikuuta.

Hyökkääjä onnistui kirjautumaan reitittimelle käyttämällä kahden oppilaan tunnuksia. Nämä tiedot olivat päätyneet pimeään verkkoon todennäköisesti aiemman tietovuodon seurauksena, raportissa sanotaan.

Reitittimessä oli virheellinen konfiguraatio, joka mahdollisti pääsyn järjestelmään oppilastunnuksilla ja antoi laajat oikeudet sisäverkon käyttöön. Tämä virheellinen konfiguraatio oli ratkaisevin tekijä tietomurron onnistumisen kannalta, raportissa todetaan.

Tutkinnassa ei pystytty selvittämään asetusmuutosten ajankohtaa tai tekijää. Laite ei kuulunut selkeästi kenenkään vastuulle.

MURRON jälkeen hyökkääjä onnistui lopulta kirjautumaan admin-oikeuksilla etätyöpöytäyhteydellä sisäverkon palvelimelle. Tutkimuksessa ei pystytty täysin selvittämään, miten tämä tapahtui.

Päästyään sisäverkon palvelimelle hyökkääjä pystyi murtamaan muita käyttäjätilejä ja näin laajentamaan pääsyään.

Saatuaan tarvitsemansa tunnukset ja käyttöoikeudet palvelimiin hyökkääjä alkoi kopioida toimialan tiedostoja itselleen. Neljässä siirrossa tietoja kopioitiin yhteensä noin kaksi teratavua, arviolta noin 750  000 asiakirjaa. Verkkolevylle oli kertynyt useiden vuosien aikana suuri määrä tietoa, koska tiedonhallinta oli puutteellista.

Hyökkääjä kopioi tietoja neljän päivän aikana. Kopiointia tehtiin ensisijaisesti Suomen aikaa yöllä, mikä pienensi kiinnijäämisen riskiä.

HYÖKKÄÄJÄ yritti saada haltuunsa myös muita palvelimia ja käynnisti väsytyshyökkäyksen kahdelle muulle Helsingin kaupungin toimialueelle. Väsytyshyökkäyksessä kokeillaan järjestelmällisesti erilaisia salasanavaihtoehtoja, kunnes oikea löytyy.

Nämä kirjautumisyritykset aiheuttivat kriittisen tason hälytyksen ja tunnukset lukittiin. Tietomurto alkoi paljastua öisen hyökkäyksen jälkeen aamulla 30. huhtikuuta. Hyökkääjän yhteys kaupungin tietoverkkoon katkaistiin samana päivänä alkuiltapäivästä.

Tutkintaryhmän mukaan hyökkääjä oli yrittänyt murtautua yhteensä 1  700 Helsingin kaupungin verkossa olleeseen tietokoneeseen. Nämä yritykset epäonnistuivat.

TIETOMURRON seurauksena hyökkääjän haltuun päätyi satoja tuhansia ihmisiä koskevia tietoja, joissa oli mukana henkilötietoja. Niistä osa kuuluu erityisiin henkilötietoryhmiin tai on muutoin salassa pidettäviä. Erityisiä henkilötietoja ovat esimerkiksi terveydentilaan liittyvät tiedot, joita voidaan käyttää henkilön tunnistamiseen.

Osa tiedoista liittyi kasvatuksen ja koulutuksen toimialan tai Helsingin kaupungin henkilökuntaan, osa taas oppilaisiin ja heidän huoltajiinsa. Asiakirjoissa oli lisäksi muiden kaupungin kanssa asioineiden henkilöiden, yritysten ja muiden yhteistyötahojen tietoja.

Raportin mukaan tietoja voidaan käyttää haitallisiin tarkoituksiin kuten identiteettivarkauksiin ja petoksiin. Siitä ei kuitenkaan havaittu tutkinnan aikana merkkejä.

RAPORTTI kuvaa useita kohtia, joissa tietoturvan valvonta petti.

Hyökkääjän sisäverkon kartoittaminen aiheutti palomuurin tietoturvahälytyksiä, mutta ilmoituksiin ei reagoitu, koska kaupungilla ei ollut käytössä hälytysten valvontapalvelua. Tunteja myöhemmin haittaohjelmien torjuntaohjelmisto antoi toimista keskitason hälytyksen. Järjestelmän virheen takia havainnoista annettua viestiä ei havaittu kuin vasta päiviä myöhemmin tehdyssä tarkastuksessa. Raportin mukaan viestin tärkeysasteen olisi lisäksi pitänyt olla keskitason sijaan kriittinen.

Kun it-henkilöt lopulta saivat tiedon epäilyttävistä tapahtumista, varoituksia pidettiin mahdollisesti palvelinten muutostöiden takia aiheettomina. Tämä hidasti reagointia.

TIETOLIIKENNE- ja palvelinympäristön hallinnassa ei noudatettu it-alan hyviä käytäntöjä, raportissa todetaan. Tutkintaryhmän mukaan tietomurron valmistelu olisi ollut mahdollista havaita useita viikkoja aikaisemmin kattavalla verkkovalvonnalla.

-  Jos käytössä olisi ollut kattava lokienhallinta ja tietoturvavalvomo, hyökkäys olisi todennäköisesti tunnistettu jo valmisteluvaiheessa, eikä se olisi edennyt tietomurtoon asti, raportissa kirjoitetaan.

Reaaliaikainen verkkovalvonta taas olisi havainnut yöaikaan tapahtuvat poikkeuksellisen suuret tiedonsiirrot.

Helsingin kaupunki oli hankkimassa kattavaa verkkovalvonnan järjestelmää, mutta sen hankinta oli keskeytynyt, koska tilaaja ei ollut tyytyväinen käyttöönottotestauksen tuloksiin.

Tutkintaryhmä suosittaa raportissaan muun muassa julkishallinnon tiedonhallintaa koskevan lainsäädännön selkeyttämistä. Lisäksi pitäisi selvittää, miten tietoturvapuutteiden havaitsemista voidaan parantaa valtakunnallisesti. Myös tietomurtotapauksia koskevaan viestintään tulisi kehittää selkeää ohjeistusta.