Traficomin ja Helsingin kaupungit tietovuodot - panikoida vai ei?

Mitä enemmän Helsingin kaupungin tietomurrosta ja tiedostojen kopioinnista tihkuu tietoja, sitä rumemmalta tapaus alkaa näyttää. Tämän päivän uutinen kertoo, että

• kyse on jaetusta levystä, jolla on yli 10 miljoonaa asiakirjaa
• koska kyse on verkkolevystä, vuotaneita tietoja ei voi jäljittää lokien perusteella
• hyökkääjä on korottanut oikeuksiaan ja päässyt ylläpitäjäksi, mikä on avannut pääsyn kaikkiin tiedostoihin
• ja aiemmin kerrottiin, että verkkolevyllä on säilytetty myös tietoa Santahaminan varuskunta-alueen yksiköiden asiakkaista sekä mahdollisesti myös ulkomaalaistaustaisten perheiden passinumeroita 

On aina paha merkki, että julki tulevat tiedot ovat aiempaa synkempiä. Se kertoo, ettei tutkijoilla itselläänkään ole tilannekuvaa eikä käsitystä, miten laajalle hyökkääjät ovat päässeet. Tiettävästi mukana on ollut tietoja yksityisistä varhaiskasvatusyksiköistä sekä oppilaitoksista ja vuosina 2005-2018 syntyneiden lasten ja heidän huoltajiensa henkilötunnukset, osoitteet, lapsen äidinkieli, kansalaisuus sekä uskontokunta.

Kaikki tietoja, jotka GDPR:n vuoksi pitäisi suojata erityisen hyvin. Helsingin kaupunki on selvästi jättänyt suojaukset puolitiehen. Oikeuksien korottaminen ylläpitäjäksi antaa ymmärtää, että myös sisäverkon palvelimet ovat jääneet päivittämättä.

Jo kolme viikkoa on mennyt ilman kiristystä tai muuta rikollista toimintaa. Onneksi henkilötunnusten perkaaminen miljoonista dokumenteista ja niiden yhdistäminen muihin henkilötietoihin ei ole helppo operaatio. Tiedoilla voi tehdä lähinnä kiusaa, suuria rahoja niillä ei voi ansaita. Tilanne olisi pahempi, jos tiedostot olisi kryptattu ja kaupungilta vaadittaisiin nyt miljoonalunnaita. Toisaalta verkkolevy on poistettu käytöstä, joten työt ovat joka tapauksessa pysähtyneet. Tämä on siis myös palvelunestohyökkäys.

Ymmärrettävästi uhrit (eli kaupunkilaiset) ovat erittäin vihaisia. Näillä tiedoilla en silti vielä maalaisi uhkaa kansalliselle turvallisuudelle. Medialla on taipumus dramatisoida, mikä lietsoo pelkoa ja epäluottamusta kansalaisiin. Siksi yritän itse pikemminkin vähätellä kuin liioitella uhkaa. Digimaailmassa kaikki on mahdollista, mutta kannattaa ensi sijassa keskittyä siihen, mikä on realistista ja mikä tiedetään varmaksi.

Helsingin varjoon on jäänyt Traficomin tapaus. Tietoja rekisteristä hakevan toisen yrityksen nimissä Trafilta on haettu 65 000 autoilijan nimi, kotiosoite ja hetu. Kyse on autoista, joiden rekisterikilpi on  väliltä AAA-nnn – ALJ-nnn, ja joiden omistaja ei ollut kieltänyt tietojen luovutusta "liikenteeseen liittyviin tarkoituksiin".

Rekisterin perusteella yksi tietovuodon uhreista (paitsi, jos hän oli kieltänyt tietojensa luovuttamisen).

Tämä on jopa vaarallisempi tapaus, ovathan tiedot valmiina tietokannassa ja niitä on jo yritetty hyödyntää verottajan luottotietorekisterissä. Tekijä lienee kotimainen, joten jäljittäminen on helpompaa kuin ulkomaisen hakkerin.

Ironisinta kaikessa on lähestyvä GDPR:n syntymäpäivä. Kolmen päivän kuluttua tulee kuluneeksi 6 vuotta siitä, kun siirtymäaika loppui ja kaiken piti olla kunnossa. Niin paljon aikaa, rahaa ja kahvia on uhrattu GDPR-koulutuksiin ja ohjeistamiseen, ettei tällaisia pitäisi enää voida sattua.

Varsinkin Helsingin kaupungin tapaus näyttää johtuneen monista virheistä ja laiminlyönneistä. Traficom on eri juttu, siinä kyse ei edes ole tietomurrosta, vaan luvattomista tietopyynnöistä.

Helsingin kaupungin tietovuoto ei ole uusi Vastaamo

Tämän viikon puheenaiheena on ollut Helsingin kaupungin opetustoimeen tehty tietomurto. Melkein kaikki on jo sanottu, itsekin olen kommentoinut asiaa monelle medialle, mutta kertauksena vielä muutama asia vastaisen varalle.

Ensinnäkin: ei, tämä ei ole uusi Vastaamo. Nyt ei ole kyse tietokannasta vaan suuresta määrästä tavallisia asiakirjoja. Ulkomaisen hakkerin olisi perin työlästä, ellei suorastaan mahdotonta, etsiä niistä arkaluonteisia tietoja, joilla kiristää uhreja. Kaikkien työntekijöiden käyttäjätunnukset ovat vuotaneet, mutta ne ovat sähköpostiosoitteita eivätkä sinänsä kriittisiä.

Asiakirjat ovat eri asia, niissä voi olla mm. terveystietoja. Henkilötunnuksia voisi skannata ohjelmallisesti, mutta ulkomailta niidenkin käyttö olisi hankalaa. Tunnukset voi myydä suomalaisille rikollisille, mutta vuoden alusta lähtien hetua ei ole enää saanut käyttää henkilön ainoana tunnistuskeinona, joten tilauspetokset ja muu kiusanteko on aiempaa hankalampaa.

Kuinka suuresta määrästä dokumentteja on kyse? Sitä emme tiedä, koska kaupungin tiedottaminen on ollut puutteellista. Aluksi kerrottiin, että juuri tiedostojen kopiointi vappuaattona paljasti koko murron, nyt kuitenkin ilmoitetaan, että asiakirjoja ehdittiin kopioida miljoonia. 

Mitä ihmettä ne ovat olleet? Opetustoimen palvelimella ei pitäisi olla "kymmeniä miljoonia" asiakirjoja, tai sitten kyse on arkistosta, jossa on ikivanhoja tiedostoja. Ne taas pitäisi poistaa tiedon elinkaaren päättyessä. Niin tai näin, GDPR ei tule pitämään tästä.

Miten ihmeessä hakkeri on päässyt käsiksi miljooniin tiedostoihin? Tuskin pelkällä taviskäyttäjän tunnuksella, vaikka alussa tiedotettiin juuri niin. Olisiko hän onnistunut murtamaan ylläpitäjän tunnuksen? Onko kaikilla työntekijöillä pääsy kaikkiin asiakirjoihin? Silloin herää yhä vain lisää kysymyksiä it-järjestelmien tietoturvasta.

Helsingin kaupungin avoin tiedotus on saanut paljon kiitosta. Meni tosin pari viikkoa, ennen kuin asiasta kerrottiin tarkempia tietoja, joten erityisen nopeaksi tiedottamista ei voi sanoa. Toisaalta poliisi yleensä kieltää kertomasta ulospäin muuta kuin pakolliset tiedot. Kielto on voimassa niin pitkään kuin esitutkinta on kesken. Ja se voi olla kesken vuosia. Lahden vakavasta tietomurrosta ei koskaan kerrottu avoimesti julkisuuteen. Jostain syystä tässä poliisi hyväksyi tiedottamisen, ehkä siksi että asia koskettaa niin monia ihmisiä.

Suomi.fi-sivuston ohjeita henkilötietovuodon uhreille.

Niin, miten heidän pitäisi nyt menetellä? Uutisissa asiantuntijat ovat kehottaneet asianosaisia suojautumaan mahdollisilta haitoilta, mutta antaneet vain yleisluonteisia ohjeita siitä, miten se pitäisi tehdä. Eikä ihme, sillä uhrit eivät voi tehdä kovinkaan paljon. Suomi.fi-sivulla on listattu ne tavanomaiset kiellot, joita uhri voi asettaa, mutta osa niistä voi haitata arkielämää, joten turhaan niitä ei kannata tehdä. Toisaalta kieltoja kannattaa asettaa, vaikka ei olisikaan uhri. Eli mitä siis jää? 

Ylen sivulla oleva kooste on mielestäni paras, aina rehellistä otsikkoa myöten ("voit yrittää..."). 

Alkuviikosta pidin todennäköisimpänä selitystä, että kyse on kiristysyrityksestä, joka keskeytyi verkonvalvontaohjelman hälyttäessä uloslähtevän liikenteen suuresta määrästä. Kiristäjät jäivät kiinni jo kopioidessaan tietoja (uhaten myöhemmin julkistaa ne), mutta eivät ehtineet aktivoida kryptausohjelmaa. Jos näin todella on, uhrit voivat selvitä säikähdyksellä, eikä heidän taakkaansa kannata nyt lisätä turhalla pelottelulla.

Toisaalta, jos palvelimelta on todella imuroitu miljoonia tiedostoja herää kysymys, miksei valvontaohjelma hälyttänyt ajoissa. Vaikka tiedostojen hyödyntäminen on hakkereille vaikeaa, jo niiden levittäminen kiusalla pimeään verkkoon riittää aiheuttamaan ikävyyksiä. Toivottavasti tästä ei ole kyse. Ainakin ensimmäiset kolme viikkoa ovat menneet ilman näkyviä seurauksia.

Ja sitten tietenkin se syyllisyys. Kuka jätti päivityksen asentamatta ja miksi? Yksi hiiren klikkaus olisi pelastanut paljolta harmilta. Emme voi syyttää yksittäistä työntekijää, sillä johdon tehtävänä on varmistaa, että prosessi toimii silloinkin, kun yksittäinen henkilö on sairaana, unohtaa asian tai jo lähtenyt organisaatiosta. Kyse on tietoturvan johtamisesta.

Jos verkonvalvonta paljasti tapahtuneen riittävän ajoissa, Helsingin kaupunki on tehnyt jotain myös oikein. 

Moni on somessa harmitellut, ettei julkiselle sektorille voida määrätä tietosuojan rangaistusmaksuja. En usko, että ne muuttaisivat mitään, sillä maksu menisi yhteisistä varoista taskusta toiseen. Kaupunki ei voi mennä konkurssiin eivätkä työntekijät joudu maksamaan tahattomista mokista. Ne ovat johdon vastuulla. 

Jokainen työntekijä haluaa toimia oikein. Inhimillisiä erehdyksiä sattuu, mutta silloinkin prosessin pitää olla sellainen, että se havaitsee ongelmat ajoissa. Juuri tämä on GDPR:n henki, ja sitä on nyt selvästi rikottu.

Jäämme mielenkiinnolla odottamaan, mitä murrosta saadaan selville ja mitä muut voivat oppia siitä. Toivottavasti tiedottamisen avoin linja jatkuu myös tulevaisuudessa.