Helsingin kaupungin järjestelmiin kohdistuneen tietomurron valmistelu olisi raportin mukaan voitu havaita viikkoja aikaisemmin.
Suomen suurimman tietomurron uhreja oli yhteensä noin 300 000, selviää tiistaina valmistuneesta tutkintaraportista. Aiemmin oli kerrottu, että tietomurto olisi koskenut runsasta sataatuhatta ihmistä.
Helsingin kaupungin järjestelmissä havaittiin viime vuoden vappuaattona laaja tietomurto, joka kohdistui kasvatuksen ja koulutuksen toimialan verkkoon ja palvelimiin. Valtioneuvosto asetti viime vuonna Onnettomuustutkintakeskuksen yhteyteen riippumattoman tutkintaryhmän selvittämään tietomurtoa.
Hyökkääjään viitataan raportissa tuntemattomana. Tutkintaryhmän johtaja Hanna Tiirinki sanoo, ettei turvallisuustutkimuksessa selvitetty syyllisyyttä.
Kaupunki ei havainnut murron valmistelua
Tutkimusraportissa kuvataan, miten tietomurtoa valmisteltiin keväällä 2024. Maalis–huhtikuussa hyökkääjä keräsi tietoa toimialan verkkoympäristöstä ja kokeili salasanoja. Lopputuloksena teknisesti vanhentunut ja päivittämättä jätetty reititin kaatui. Hyökkääjä sai näin lisätietoja.
Murron valmistelua ei havaittu kaupungin omassa seurannassa, koska valvonta oli puutteellista, tutkintaryhmä toteaa.
Varsinainen tietomurto käynnistyi 18. huhtikuuta. Hyökkääjä kirjautui toimialan verkkoon viikkoa myöhemmin käyttämällä oppilastunnuksia. Ne olivat päätyneet pimeään verkkoon todennäköisesti aiemmasta tietovuodosta.
Ratkaisevin tekijä murron onnistumisen kannalta oli virheellinen konfiguraatio, joka mahdollisti pääsyn järjestelmään oppilastunnuksilla ja antoi laajat oikeudet sisäverkon käyttöön.
Hyökkääjä onnistui lopulta kirjautumaan admin-oikeuksilla sisäverkon palvelimelle. Tutkimuksessa ei pystytty täysin selvittämään, miten tämä tapahtui.
Sisällä hyökkääjä pystyi murtamaan muita käyttäjätilejä ja näin laajentamaan pääsyään. Sen jälkeen alkoi toimialan tiedostojen kopiointi, jota tehtiin yhteensä noin kahden teratavun edestä. Kopiointia tehtiin ensisijaisesti yöllä, mikä pienensi kiinnijäämisen riskiä.
Hyökkääjä yritti saada haltuunsa myös muita palvelimia. Nämä yritykset aiheuttivat kriittisen tason hälytyksen ja tunnukset lukittiin.
Ei havaintoja tietojen haittakäytöstä
Hyökkääjän haltuun päätyi satoja tuhansia koskevia tietoja. Osa tiedoista liittyi henkilökuntaan, osa oppilaisiin ja huoltajiin.
Tiedoista osa kuuluu erityisiin henkilötietoryhmiin tai on muutoin salassa pidettäviä. Tällaisia tietoja ovat esimerkiksi terveydentilaan liittyvät tiedot, joita voidaan käyttää henkilön tunnistamiseen. Puutteellisten lokitietojen vuoksi arkaluonteisten henkilötietojen osuutta vuotaneista tiedoista ei voida arvioida, tutkimusryhmän Kimmo Rousku kertoi tiedotustilaisuudessa.
Tietoja voidaan käyttää haitallisiin tarkoituksiin kuten identiteettivarkauksiin. Tutkinnan aikana ei tullut tietoa, että tietoja olisi käytetty näin, tutkimusryhmää johtanut Tiirinki sanoi.
Tutkintaryhmän mukaan tietomurron valmistelu olisi voitu havaita viikkoja aikaisemmin.
– Jos käytössä olisi ollut kattava lokienhallinta ja tietoturvavalvomo, hyökkäys olisi todennäköisesti tunnistettu jo valmisteluvaiheessa, eikä se olisi edennyt tietomurtoon asti, raportissa kirjoitetaan.
Reaaliaikainen verkkovalvonta taas olisi havainnut öiset, poikkeuksellisen suuret tiedonsiirrot.
Tutkintaryhmä suositti muun muassa julkishallinnon tiedonhallintaa koskevan lainsäädännön selkeyttämistä ja tietoturvapuutteiden paremman havaitsemisen keinojen selvittämistä.