Helsingin kaupunkiin kohdistunut tietomurto osoittaa, että tietomurrot vaativat uudenlaista otetta julkisen sektorin varautumisessa, viestinnässä sekä tietomurtojen torjunnassa

Val­tio­neu­vos­to aset­ti hei­nä­kuus­sa 2024 On­net­to­muus­tut­kin­ta­kes­kuk­sen (OT­KES) yh­tey­teen riip­pu­mat­to­man tut­kin­ta­ryh­män sel­vit­tä­mään Hel­sin­gin kau­pun­kiin ke­vääl­lä 2024 koh­dis­tu­nut­ta tie­to­mur­toa. Tie­to­mur­ron uh­re­ja on ar­viol­ta noin 300 000, mikä te­kee tie­to­mur­ros­sa Suo­men mit­ta­vim­man. Tut­kin­ta­ryh­mä on saa­nut tur­val­li­suus­tut­kin­nan val­miik­si, ja tut­kin­ta­se­los­tus on luo­vu­tet­tu Val­tio­neu­vos­tol­le 17.6.2025.¹

Tietoverkkorikollisuus on kasvava rikollisuuden ala ja sen aiheuttamat haitat ovat merkittäviä – erityisessä nykyisessä hybridiuhkien tilanteessa. Julkinen hallinto on sillä olevien tietojen laadun ja määrän takia rikollisia kiinnostava kohde. Julkisella sektorilla on vielä kehitettävää tietoverkkorikosten uhkiin vastaamisessa, sillä hyökkäysten ja haavoittuvuuksien havainnointimenetelmät eivät ole riittävän laajasti käytössä.

Julkisen hallinnon tiedonhallintaa, tietoturvaa ja tietosuojaa ohjaavat useat eri viranomaiset. Viranomaiset suorittavat ohjausta itsenäisesti, omien tehtäviensä mukaisista lähtökohdista. Tiedonhallintayksiköiden saama ohjaus on hajautunutta, ja käytännössä säädösten ja ohjeiden soveltaminen vaihtelee. Lisäksi viranomaisten suorittama työ on ohjausta, mutta toimijoiden valvonta on vähäistä. Kuitenkin juuri tiedon elinkaaren hallinta on keskeistä tietoturvan ja tietosuojan kannalta. Julkisen sektorin valmiuksia vastata tietoverkkouhkiin voidaan vahvistaa kehittämällä ja laajentamalla hyökkäysten ja haavoittuvuuksien havainnointimenetelmiä.

”Tietomurron kaltaisiin tapahtumiin varautuminen sekä niiden torjunta asettaa meidät monella tavalla uudenlaiseen tilanteeseen: Suomessa on perinteisesti totuttu viranomaisten yhteistoimintaan. Kybertapahtumissa torjuntatoimet on hajautettu. Samalla tietomurtotapausten selvittäminen ja hallinta on kuitenkin pitkälti riippuvaista yksityisen sektorin toimijoiden asiantuntijuudesta ja saatavuudesta. Esimerkiksi SAR-toiminnan² kaltaista yhteistoimintamekanismia ei ole tietomurtotapauksille määritelty. Paljon jää myös uhrin itsensä kontolle”, toteaa tutkintaryhmän johtaja Hanna Tiirinki.

”Myös itse uhrin määritelmä vaatii uudelleen ajattelua. Käytämme lähes huomaamatta melkein päivittäin erilaisia tietokantoja ja palveluita. Paikallishallinnolla on hallussaan meistä monenlaista henkilötietoa. Kybertapahtumissa hyökkääjä voi varastoida suuria määriä tietoa myöhempää käyttöä varten. Juuri yhdistelmätieto on haavoittuvuus uhrien kohdalla. Tietomurroissa on aina tunnistettava riski, että tietoja voidaan myöhemmin käyttää haitallisiin tarkoituksiin, kuten identiteettivarkauksiin ja petoksiin – eivätkä esimerkiksi nuoret osaa välttämättä ajatella, mitä heidän tiedoilleen tapahtuu, kun he tulevat täysi-ikäisiksi”, lisää Tiirinki.

Kansallinen kyberturvallisuuslaki astui voimaan 8.4.2025. Verkko- ja tietoturvadirektiivin NIS2 kansallinen täytäntöönpano on osa Kyberturvallisuuslain toimeenpanoa. Suomessa on kuitenkin kunnilla ja kaupungeilla laaja itsehallinto, eikä NIS2-kyberturvallisuusdirektiivi ulotu kuntiin ja kaupunkeihin.

”NIS2-direktiivi ei Suomessa ulotu paikallishallintoon. Tutkinnassa annetuilla suosituksilla pyrimme nyt osaksi paikkaamaan tätä aukkoa”, lisää Tiirinki.

NIS2 asettaa organisaatioille 24-tunnin viestintävelvoitteen. Tietomurtotapauksissa viestintä on olennainen osa suojaustoimea. Viestintä vähentää epävarmuutta, ehkäisee väärän tiedon leviämistä ja varmistaa, että uhrit saavat tarvitsemansa tuen. Viestinnän saavutettavuus, kattavuus ja ymmärrettävyys on ensiarvoisen tärkeää.

”Myös esimerkiksi lapset ja nuoret kohderyhmänä – sekä heille ikätason mukaisesti viestiminen on otettava huomioon. Kriisiviestinnän ja häiriötilanneviestinnän perusluonteeseen kuuluu, että usein tällaisessa tilanteessa on lähdettävä liikkeelle vajain tiedoin – koska tilannekuva täydentyy koko ajan. Tämä aluksi puutteellisen tiedon määrä ei saa olla tiedottamisen esteenä”, painottaa Tiirinki.

”Todettakoon vielä, että paikallissektorin toimijat ovat hyvinkin erilaisia, eivätkä yhteismitallisia. Osa on jo varautunut todella hyvin – toisilla on vielä kirittävää. Suomi pärjää kansainvälisessä vertailussa varautumisessa todella hyvin. Tietomurtojen jälkeen meillä on myös havahduttu ongelmaan, ja tätä on lähdetty korjaamaan. Eli paljon tehdään jo tietomurron tapaisten tapahtumien ehkäisemiseksi ja torjumiseksi”, painottaa Tiirinki.

Tutkinnassa annetaan neljä suositusta. Ne kohdentuvat pääosin Valtionvarainministeriölle, joka vastaa niiden toteuttamisesta yhteistyössä Oikeusministeriön, Liikenne- ja viestintäministeriön, Opetushallituksen ja Kuntaliiton kanssa. Viestinnän ohjeistuksen kehittämisen lisäksi, suositukset koskevat tiedonhallinnan yhteensovittamista, sen valvontaa ja ohjeistusta. Lisäksi suosituksilla puututaan julkisen hallinnon tietoturvapuutteiden havaitsemisen parantamiseen sekä sen kyvykkyyden parantamiseen, että tietoturvapuutteet havaittaisiin ja ne voitaisiin korjata.

Kansallisen tietoturvaviranomaisen kommentti

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus: ”Kansallisena tietoturvaviranomaisena autamme ja neuvomme yrityksiä, viranomaisia ja kansalaisia varautumaan ja tunnistamaan tämän hetken ja tulevaisuuden kyberuhkia. Traficomin Kyberturvallisuuskeskus on kattavasti tukenut Helsingin kaupunkia tietomurron havaitsemisesta saakka ja jatkamme yhteistyötä kaupungin ja palveluntarjoajien kanssa”, sanoo johtaja Samuli Bergström Traficomin Kyberturvallisuuskeskuksesta. ”Kyberhyökkäyksessä viestinnän merkitys korostuu. Traficomin keväällä 2025 tuottamassa Miten viestiä kyberhyökkäyksistä -kriisiviestintäohjeessa kerrotaan erilaisista kyberhyökkäyksistä sekä rikollisten käyttämistä menetelmistä ja keinoista. Lisäksi ohjeessa annetaan vinkkejä viestinnällisen varautumiseen sekä viestintään kyberhyökkäyksen aikana ja sen jälkeen”, Bergström jatkaa.

Muut tutkinnat Helsingin kaupungin tietomurtoon liittyen

Keskusrikospoliisi (KRP): Helsingin kaupungin tietomurron esitutkinnasta vastaa Keskusrikospoliisi. Tietomurtoa tutkitaan törkeänä tietomurtona. Lisäksi KRP selvittää erillisessä esitutkinnassa sitä, onko kaupunki suojannut tietoja asianmukaisesti. Tässä tutkinnassa rikosnimike on epäilty tietosuojarikos.

Tietosuojavaltuutetun toimisto (TSV) tutkii henkilötietoihin kohdistunutta tietoturvaloukkausta tietosuojalainsäädännön noudattamisen näkökulmasta. Selvityksessä arvioidaan erityisesti, onko Helsingin kaupungilla ollut käytössä riittävät suojatoimet ja onko se huolehtinut loukkauksen kohteeksi joutuneiden ihmisten oikeuksista. Tutkinta on käynnissä, ja siinä arvioidaan parhaillaan Helsingin kaupungilta saatua selvitystä tapahtuneesta.

Mistä apua?

Rikosuhripäivystys (RIKU) on julkaissut sivullaan neuvoja tietomurron tai tietovuodon uhriksi joutuneille. Sivustolla korostetaan, että on tärkeää seurata viranomaisten ohjeita ja tehdä tarvittavat sulkutoimenpiteet, jotta henkilötietoja ei käytetä petoksiin. RIKU tarjoaa myös keskusteluapua. Palvelut ovat maksuttomia.

1. Poikkeuksellisen tapahtuman tutkinta voi lain mukaan koskea erittäin vakavaa kuolemaan johtanutta tai yhteiskunnan perustoimintoja uhannutta tai vakavasti vaurioittanutta tapahtumaa, joka ei ole onnettomuus. (Turvallisuustutkintalaki 525/2011)
2. SAR: Search and Rescue, etsintä ja pelastus.

Lisätiedot:

Tutkintaryhmän johtaja Hanna Tiirinki, puh. 02951 50747, etunimi.sukunimi@om.fi

Lisäksi puh. 02951 50738 tai 050345 1931. Tutkintaa varten avattu puhelinliittymä on avoinna 1.8.2025 asti.

1.8. jälkeen pyydämme osoittamaan mahdolliset kysymykset sähköpostiosoitteeseen viestinta.otkes@om.fi tai suoraan tutkintaryhmän johtajalle.