Arbetet för att utreda dataintrånget vid Helsingfors stads fostrans- och utbildningssektor framskrider

Helsingfors stad meddelade den 2 maj 2024 att fostrans- och utbildningssektorn hade utsatts för ett dataintrång. Arbetet med att utreda intrånget har fortsatt i samarbete mellan stadens egna och externa experter. Staden ordnade måndagen den 13 maj ett informationstillfälle för att informera om hur utredningsarbetet framskrider.
Kaupungintalon ala-aula.
Staden fortsätter utredningsarbetet och samarbetet med myndigheterna och informerar när utredningen framskrider. Bild: Laura Oja

Dataintrånget kom till stadens kännedom den 30 april 2024. En utredning i ärendet inleddes genast. Staden vidtog olika skyddsåtgärder och kontaktade dataskyddsombudsmannen, polisen och Transport- och kommunikationsverkets (Traficoms) Cybersäkerhetscenter.  

– Som vi tidigare meddelade har den som gjort dataintrånget fått tillgång till elevers, studerandes och anställdas användarnamn och e-postadresser. Noggrannare utredningar har visat att den som gjort dataintrånget har fått tillgång till alla stadens anställdas användarnamn och e-postadresser samt personbeteckningar och adressuppgifter till elever, studerande, vårdnadshavare och personal vid fostrans- och utbildningssektorn. Dessutom har gärningsmannen kommit över innehåll från en del av sektorns nätverksenheter, säger Helsingfors stads digitaliseringsdirektör Hannu Heikkinen.  

Stor målgrupp för dataintrånget

Största delen av datamaterialet på näverksenheten (tiotals miljoner dokument) är handlingar som inte innehåller personuppgifter eller som innehåller personuppgifter som kan betecknas som allmänna. Risken för missbruk av dem behöver inte betraktas som särskilt stor. Bland dokumenten finns ändå handlingar som innehåller sekretessbelagd information eller känsliga personuppgifter.  

Sådana är exempelvis dokument som innehåller information om klientavgifter inom småbarnpedagogiken och avgiftsgrunderna, känslig information om barnens situation, såsom elev- och studerandevårdens begäranden om information eller information om behov av särskilt stöd, läkarutlåtanden om orsaker för att avbryta läroplikten gällande studerande på andra stadiet samt information om sjukfrånvaro som gäller personalen inom fostrans- och utbildningssektorn.  

Vi kan inte utesluta att den som gjort intrånget också har fått tillgång till information som gäller personer som har spärrmarkering.  

– Mängden information som behöver utredas är betydande. Tyvärr kan vi ännu inte med säkerhet bedöma vilken information som gärningsmannen har kommit över. Vi informerar ändå redan om vilka risker som finns, så att kunderna och personalen inom fostran och utbildning kan förbereda sig för situationen. Denna praxis följer dataskyddslagstiftningen, konstaterar sektorchefen för fostran och utbildning Satu Järvenkallas.

En del av informationen som gäller kunderna och personalen kan vara åratal gammal, så gärningsmannen kan även ha fått tillgång till information om personer som inte längre är kunder eller anställda inom fostrans- och utbildningssektorn.  

Distansförbindelseserverns sårbarhet utnyttjades i dataintrånget

Intrånget i fostrans- och utbildningssektorns datanät gjordes via distansförbindelseservern. Servern hade en sårbarhet som gärningsmannen har utnyttjat och på det sättet lyckats skapa en förbindelse till sektorns datanät.  

– En korrigerande uppdatering för sårbarheten ifråga har funnits tillgänglig, men för närvarande vet vi inte varför uppdateringen inte har installerats på servern. Kontrollen av och praxis för underhållet av dataskyddsuppdateringarna och apparaturen har varit bristfälliga. Efter dataintrånget har vi vidtagit åtgärder för att motsvarande intrång inte längre ska vara möjliga, säger Hannu Heikkinen för att beskriva situationen och fortsätter: Vi känner inte till att gärningsmannen skulle ha fått tillgång till de andra sektorernas system eller information. Vi har ändå trappat upp kontrollen i alla stadens datanät.

– Dataintrånget är mycket allvarligt och de eventuella konsekvenserna för våra kunder och vår personal är mycket beklagliga. Vi beklagar det skedda. Antalet användare av stadens tjänster nu och under tidigare år innebär i värsta fall att över 80 000 elevers och studerandes samt deras vårdnadshavares information har läckt ut. För personalens del berör dataintrånget hela personalen, eftersom gärningsmannen har fått tillgång till hela personalens e-postadresser och användarnamn, konstaterar kanslichef Jukka-Pekka Ujula. Vi reagerade snabbt på dataintrånget samt vidtog och vidtar säkerhetsåtgärder med alla resurser som behövs. Det här är en fråga som stadens högsta ledning för närvarande prioriterar, fortsätter Ujula.  

Staden fortsätter utredningsarbetet och samarbetet med myndigheterna och informerar när utredningen framskrider. Polisinrättningen i Helsingfors utreder fallet som ett grovt dataintrång. Målsägande är för närvarande Helsingfors stad, av vilken polisen får all nödvändig information för utredningen av fallet. Stadsborna behöver inte kontakta polisen i detta skede av förundersökningen.  

Anvisningar och information

Dataintrånget väcker många frågor hos kunderna och personalen. Cybersäkerhetscentret har sammanställt ett heltäckande informationsmaterial på sin webbplats om hur man skyddar sig för dataintrång. Hjälp och stöd finns också att få av kundbetjäningen som staden inrättat för dem som drabbats av dataintrånget, krisjouren och MIELI Psykisk Hälsa Finland rf.

Ifall du behöver samtalshjälp 

Tiedotustilaisuus Helsingin kaupungin kasvatuksen ja koulutuksen toimialan tietomurron selvitystyön etenemisestä

Kansliapäällikkö Jukka-Pekka Ujula, digitalisaatiojohtaja Hannu Heikkinen sekä kasvatuksen ja koulutuksen toimialajohtaja Satu Järvenkallas antavat mediatilaisuudessa ajantasaista tietoa tietomurron selvitystyön tuloksista ja vaikutuksista sekä toimintaohjeita kasvatuksen ja koulutuksen toimialan asiakkaille. Lisäksi tilaisuudessa puhuu Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija, Matias Mesiä.