Helsingin kaupungin tietomurto on paisunut entisestään.
Helsingin kaupunki myöntää nyt, että kymmeniä miljoonia dokumentteja sisältäneelllä verkkolevyllä on säilytetty tietoja liian pitkään.
Helsingin kaupungin kasvatuksen ja koulutuksen toimialajohtaja Satu Järvenkallas kertoo, että selvitykset ovat paljastaneet, että verkkolevyllä on säilytetty tietoja pidempään kuin olisi tarpeellista.
Järvenkallas myöntää, että henkilökuntaa ei ole ohjeistettu, kuinka pitkään tietoja saa verkkolevyllä säilyttää. Harkinnan tietojen säilyttämisen kestosta on siis tehnyt työntekijä itse.
Tietomurrossa on saattanut vuotaa vähintään 300 000 ihmisen tiedot, kun oppilaat ja huoltajat lasketaan yhteen. Myös koko kaupungin henkilöstö, noin 38 000 työntekijää, on tietomurron piirissä.
Oppilaiden ja vanhempien henkilötietojen lisäksi on saattanut vuotaa myös erittäin arkaluontoisia asiakirjoja, kuten tietoja erityisen tuen tarpeesta ja lääkärinlausuntoja oppivelvollisuuden keskeyttämisestä.
Lasten tietojen pelätään päätyvän pimeisiin verkkoihin
Yle pyysi tietomurron kohteeksi joutuneiden kommentteja, kun tapauksen kerrottiin olevan paljon aiemmin luultua laajempi.
Yle on ollut yhteydessä tässä jutussa esiintyviin vastaajiin. He esiintyvät jutussa nimettöminä asian arkaluonteisuuden vuoksi.
Vanhemmat kertovat olevansa huolissaan lastensa tietojen päätymisestä vääriin käsiin, mutta pääasiassa he ovat vihaisia Helsingin kaupungille siitä, että tietomurto pääsi ylipäätään tapahtumaan.
Olen raivona tästä tietomurrosta! Kaupungin virkamiehet ovat jättäneet päivityksiä, eli IT-ammattilaisen perustyötä, tekemättä. Sen seurauksena oppilaiden ja heidän huoltajiensa yksityisiä tietoja on ties missä.
Nainen, 51
Emme tiedä, olemmeko uhreja. Uutisissa kerrottiin, että voi olla uhri, vaikka lapsi ei kävisi koulua enää Helsingissä. Kaupunki voisi kertoa, kuinka kauan se tietoja säilyttää. Jos tiedot säilyvät pitkään, niin silloinhan uhreja voi olla pilvin pimein!
Nainen, 53
Henkilötietojen varastamisen lisäksi vanhempia ahdistaa pelko siitä, että lasten henkilökohtaisia tietoja voidaan käyttää tulevaisuudessa esimerkiksi kiristämiseen tai että tiedot päätyvät rikollisten käsiin.
Se voi johtaa riskialttiisiin tilanteisiin, jos tietoja kaupattaisiin esimerkiksi tor-verkossa toimiville lasten hyväksikäyttäjien keskustelupalstoille.
Mies, 36
Tietomurron kohteena on todennäköisesti myös alle 18-vuotiaita oppivelvollisia. Siis täysi-ikäisyyttä lähestyviä asevelvollisia.
Osa vastaajista näki tämän turvallisuusriskinä.
Pahimmassa tapauksessa tulevien asevelvollisten henkilötiedot ovat vuotaneet itänaapurin käyttöön.
Mies, 47
Vanhemmat eivät tiedä, ovatko he uhreja
Moni kokemuksistaan kertonut vanhempi sanoo olevansa pettynyt kaupungin epäselvään ja hitaaseen tiedottamiseen tietomurrosta.
Vanhemmilla on epäselvyyttä erityisesti siitä, mitä heidän pitää tehdä suojatakseen omat ja lastensa tiedot.
Kaupunki on tiedottanut tietomurrosta yleisellä tiedotteella, kodin ja koulun välisen oppimisalustan, Wilman, kautta sekä sähköpostitse.
Vanhempia huolestuttaa myös se, että he eivät tiedä, missä ja miten kauan lasten tietoja ja asiakirjoja säilytetään.
Olen jo aiemmin kyseenalaistanut esimerkiksi Helsingin linjauksen, että he käyttävät lasten asioista tiedottamiseen Google drivea. Lisäksi en ole saanut vastausta, missä Wilma-ohjelmiston tiedot sijaitsevat.
Nainen, 41
Vanhemmat eivät tiedä, miten he käytönnässä uskaltavat nyt viestiä koulun tai päiväkodin kanssa ja uskaltavatko he jatkossa käyttää esimerkiksi Wilmaa.
Osa vastaajista ihmettelee, miksi lasten ja nuorten asioita ei ylipäänsä hoideta vahvan tunnistautumisen kautta.
Wilmassa käydyt yksityiset ja sensitiiviset keskustelut terveystietoineen ovat nyt ties missä. Lapsen ADHD ei muille kuulu.
Nainen, 51
Pitäisi selvittää, kenen päätöksellä samalle verkkolevylle tallennettiin miljoonia tiedostoja täysin toisistaan riippumattomia ja tarpeettomia henkilötietoja. On myös uskomatonta, miten paljon on mahdollista tehdä ilman vahvaa tunnistautumista.
Mies, 40
Olen huolissani siitä, että minun pitäisi tehdä jotain, mutta ilman helppoja yksityiskohtaisia ohjeita en osaa tehdä mitään. En edes tiedä, keneltä voisin kysyä apua.
Nainen, 46
Helsingin kaupunki vastuuseen
Useat Ylelle kokemuksistaan kertoneet vanhemmat vaativat Helsingin kaupunkia vastuuseen.
Vanhemmat vaativat, että tapaus selvitetään perinpohjin, jotta lasten ja vanhempien tiedot olisivat jatkossa turvassa ja ettei vastaavaa enää pääsisi tapahtumaan.
Myös rikosoikeudellista vastuuta tietoturvalainsäädännön rikkomisesta vaaditaan.
Osa vastaajista on sitä mieltä, että Helsingin kaupunki on osasyyllinen, ei uhri.
Tässä on kaksi tahoa, jotka ovat vastuussa rikoksesta. Tietenkin tietomurtaja, mutta myös Helsingin kaupungilla on rikosoikeudellinen vastuu tietoturvan laiminlyönnistä.
Mies, 50
Osa vastaajista syyttää kaupunkia siitä, että kukaan ei tunnu ottavan vastuuta tapahtuneesta.
Koko pormestarikunta vaihtoon samoin kaikki IT-asioista vastaavat johtajat.
Mies, 47
Eräs äiti kirjoittaa olevansa erittäin huolestunut, koska hän on itse töissä Helsingin kaupungilla ja hänen lapsensa ovat päiväkodissa ja koulussa.
Hän kertoo saaneensa huonosti tietoja ja ohjeistuksia työnantajaltaan.
Toinen kaupungilla töissä oleva kertoo olevansa sitä mieltä, että kaupungin johtajien, virastojen ja osastojen asenne on ollut vähättelevä ja hyssyttelevä vaikeista tietoturva-asioista.
Eräs vastaajista väläyttää jopa uhrien yhteisen kanteen nostamisen mahdollisuutta Helsingin kaupunkia vastaan tietoturvalain rikkomisesta.
Mielestäni kaupunki pitäisi saada vastuuseen yleisen tietosuoja-asetuksen rikkomisesta. Olisiko yhteinen kanne mahdollinen? Tästä pitäisi seurata niin tuntuvat sakot, että se pakottaa muut rekisterien pitäjät huolehtimaan velvoitteistaan. Muuten vastaavaa tapahtuu muualla.
Mies, 55