Tietomurron tekijä on saattanut saada haltuunsa tietoja kaikista helsinkiläisistä oppivelvollisista. Kaupungilla on helsinkiläisistä oppivelvollisuusikäisistä ja heidän huoltajistaan tietoa, joka perustuu kunnan velvollisuuteen valvoa oppivelvollisuuden toteutumista. Kyseiset tiedot ovat olleet tietomurron kohteeksi joutuneella kaupungin verkkolevyllä.
Mukana on ollut seuraavia tietoja vuosina 2005–2018 syntyneistä helsinkiläisistä oppijoista ja heidän huoltajistaan:
- Lapsen ja huoltajan henkilötunnukset.
- Lapsen ja huoltajan osoitetiedot (ei puhelinnumeroita, ei sähköpostiosoitteita). Turvakiellon alaisista henkilöistä ei osoitetietoja, puhelinnumeroita tai sähköpostiosoitteita.
- Lapsen äidinkieli.
- Lapsen kansalaisuus.
- Lapsen uskontokunta (tarkkuudella ev.lut. / ortodoksi / rekisteröity uskonnollinen yhdyskunta / uskontokuntaan kuulumaton).
Tietomurto koskee mahdollisesti myös yksityistä varhaiskasvatusta, yksityisiä kouluja ja lukioita sekä yksityisiä ammattioppilaitoksia
Kaupungin omien varhaiskasvatusyksiköiden, koulujen ja oppilaitosten lisäksi tekijä on saattanut saada asiakastietoja myös yksityisistä päiväkodeista, helsinkiläisistä sopimuskouluista, yksityisistä ja valtion kouluista sekä yksityisistä lukioista ja ammattioppilaitoksista.
Ryhmään kuuluvat lisäksi kaikki painotettuun opetukseen hakeutuneet oppilaat ja helsinkiläiset kotiopetuksessa olevat oppilaat. Tietomurron piiriin kuuluu mahdollisesti myös helsinkiläisiä oppilaita ja opiskelijoita, jotka opiskelevat Helsingin ulkopuolella.
Muita tietomurron mahdollisia kohderyhmiä
Tietomurron kohteena saattaa olla Stadin ammatti- ja aikuisopiston opiskelijoita ja oppisopimusopiskelijoita, ruotsinkielisen työväenopiston Arbiksen asiakkaita ja varhaiskasvatuksen kerhotoimintaan osallistuneita perheitä.
Santahaminan varuskunta-alueella sijaitsevan päiväkodin, leikkipuiston ja koulun asiakastietojen lisäksi näissä toimipisteissä Santahaminassa vierailleiden kulkulupatietoja on saattanut päätyä tietomurron tekijälle. Tiedoissa saattaa olla myös ulkomaalaistaustaisten perheiden passinumeroita.
Selvitystyö jatkuu – henkilötietoja kannattaa suojata
Tämänhetkisen arvion mukaan on mahdollista, että tietomurto koskee noin 150 000 oppijaa ja lisäksi heidän huoltajiansa. Kuten kaupunki on aiemmin kertonut, myös koko kaupungin henkilöstö, eli noin 38 000 työntekijää, on tietomurron piirissä.
– Jatkamme selvitystyön tekemistä sekä yhteistyötä viranomaisten kanssa ja tiedotamme asiasta selvitystyön edetessä. Yhdessä muiden viranomaisten kanssa suosittelemme, että omia henkilötietoja kannattaa aktiivisesti suojata jo tässä vaiheessa, vaikka tietomurron laajuus on vielä selvityksessä, toteaa kansliapäällikkö Jukka-Pekka Ujula.
Keskusrikospoliisi ja poliisi tutkivat tapausta törkeänä tietomurtona ja viestintävastuu rikostutkinnan etenemiseen liittyen on poliisilla. Rikoksen asianomistaja on tällä hetkellä Helsingin kaupunki, jolta poliisi saa kaikki tarvittavat tiedot asian tutkintaa varten. Helsingin kaupunki on tehnyt asiasta rikosilmoituksen, jonka perusteella poliisi asiaa tutkii, eikä tietomurron kohteena olevien ihmisten tarvitse tehdä rikosilmoitusta.
Vakavan tietomurron tultua kaupungin tietoon 30. huhtikuuta, asian selvittäminen aloitettiin välittömästi. Kaupunki toteutti erilaisia suojaustoimenpiteitä ja oli yhteydessä tietosuojavaltuutettuun, poliisiin sekä Traficomin Kyberturvallisuuskeskukseen.
Kaupunki on tiedottanut asiasta 2.5.2024 ja 13.5.2024. Tietosuojalainsäädäntö edellyttää kaupunkia informoimaan tietomurron mahdollisia kohteita. Tässä tapauksessa kohteena olevia asiakkaita ei voida yksilöidä, joten informointi toteutetaan julkisena tiedonantona verkko-osoitteessa hel.fi/tietomurto. Sivustoa päivitetään selvitystyön edetessä.