Onnettomuustutkintakeskus julkaisi suosituksia Helsingin kaupunkiin kohdistuneen tietomurron seurauksena – tietosuojavaltuutetun toimisto jatkaa asian tutkintaa

Onnettomuustutkintakeskuksen (OTKES) yhteyteen perustettu tutkintaryhmä julkaisi 17. kesäkuuta tutkintaselostuksen Helsingin kaupunkiin keväällä 2024 kohdistuneesta tietomurrosta. Selvityksessä annetaan neljä suositusta julkisen sektorin varautumisen ja tietoverkkorikosten torjumisen kehittämiseksi. Tietosuojavaltuutetun toimisto muistuttaa, että tietosuojasta ja -turvasta huolehtiminen on jatkuvaa työtä.

Onnettomuustutkintakeskuksen yhteydessä toiminut tutkintaryhmä selvitti muun muassa, miten Helsingin kaupungin tietoturva oli pyritty varmistamaan, miten johtamis-, valvonta- ja tarkastustoiminta oli toteutettu sekä miten viestintä sekä tietomurron kohteiden jälkihuolto toteutuivat. Selvityksessä annetut suositukset koskevat viestinnän ohjeistuksen kehittämistä, tiedonhallinnan yhteensovittamista, valvontaa ja ohjeistusta sekä julkisen hallinnon tietoturvapuutteiden havaitsemisen parantamista.

Tietosuojavaltuutetun toimisto jatkaa omaa tutkintaansa Helsingin kaupunkiin kohdistuneeseen tietomurtoon liittyen. ”Arvioimme sitä, onko Helsingin kaupunki noudattanut tietosuojalainsäädäntöä. Tutkinta keskittyy erityisesti siihen, onko Helsingin kaupunki suojannut henkilötietoja riittävän hyvin ja miten se on huolehtinut tietoturvaloukkauksen kohteeksi joutuneiden ihmisten oikeuksista – onko esimerkiksi tietojen poistot toteutettu asianmukaisesti”, apulaistietosuojavaltuutettu Annina Hautala kertoo. 

Verkkorikollisuus kehittyy – miten organisaatioiden pitäisi parantaa varautumistaan?

Tietosuojavaltuutetun toimistossa on havaittu, että henkilötietoihin kohdistuvien riskien tunnistamiseen ja hallintaan ei aina panosteta riittävästi. Organisaatioissa täytyy miettiä, mitä tietoa säilytetään, missä ja kuinka kauan sitä säilytetään sekä miten organisaatio huolehtii tietojen poistamisesta. Riskejä on arvioitava jatkuvasti erityisesti siitä näkökulmasta, mitä mahdollinen tietoturvaloukkaus saattaisi aiheuttaa sen kohteeksi joutuville henkilöille. Laiminlyönnit henkilötietojen säilyttämisen ja käsittelyn turvallisuudessa voivat johtaa vakaviin vahinkoihin.

”Digitaalisessa yhteiskunnassa ihmisten on voitava luottaa siihen, että heidän henkilötietonsa ovat turvassa ja niitä ei käsitellä lainvastaisesti. Tietosuoja- ja tietoturvatyöhön täytyy olla riittävät resurssit niin henkilötietoja käsittelevillä organisaatioilla kuin valvontaviranomaisilla”, Hautala toteaa.

Organisaatioiden on huolehdittava järjestelmien turvallisuudesta, päivitysten ajantasaisuudesta, säännöllisestä testauksesta ja valvonnasta. Organisaation vastuiden ja roolien on oltava selkeitä ja esimerkiksi organisaatiomuutosten yhteydessä on huolehdittava, että roolit ja vastuut pysyvät ajan tasalla. Myös osaamisen päivittämisestä on muistettava huolehtia.

Suunnittelu ja harjoittelu auttavat toimimaan tietoturvaloukkaustilanteissa

”Organisaatioiden on suunniteltava, miten ne toimisivat vakavissa tietoturvaloukkaustapauksissa. Niillä on oltava valmius esimerkiksi viestiä nopeasti ja ymmärrettävästi, jotta tietoturvaloukkauksen kohteeksi joutuneet henkilöt osaavat varautua mahdollisiin uhkiin ja vahinkoihin”, Hautala neuvoo. 

 Henkilötietoihin kohdistuvasta tietoturvaloukkauksesta pitää ilmoittaa sen kohteeksi joutuneille henkilöille silloin, jos se todennäköisesti aiheuttaa korkean riskin heidän oikeuksilleen ja vapauksilleen.

Ohjeita organisaatioiden varautumisen tueksi

Tietosuoja.fi-verkkosivuilla on julkaistu ohjeita muun muassa henkilötietoihin kohdistuneiden tietoturvaloukkausten ja niihin liittyvien riskien arviointiin. Sivuilla kerrotaan, millaisissa tilanteissa henkilötietojen tietoturvaloukkauksista on ilmoitettava tietosuojavaltuutetun toimistolle ja loukkauksen kohteeksi joutuneille henkilöille. 

Verkkosivuilla on paljon ohjeita tietosuojalainsäädännön noudattamisesta, muun muassa henkilötietoien käsittelyyn liittyvien riskien tunnistamisesta ja hallinnasta sekä ihmisten tietosuojaoikeuksien toteuttamisesta.

Ohjeita tietosuojavaltuutetun toimiston verkkosivuilla:

• Tietoturvaloukkaukset
• Henkilötietojen käsittelyyn liittyvien riskien arviointi
• Muita ohjeita organisaatioille henkilötietojen käsittelystä

Neuvoja tietoturvaloukkauksen kohteeksi joutuneille

• Helsingin kaupunki on julkaissut verkkosivuillaan ohjeistusta tietomurron mahdollisille kohderyhmille osoitteessa hel.fi/tietomurto
• Ohjeita tietosuojavaltuutetun toimiston verkkosivuilla: Jos joudut tietoturvaloukkauksen kohteeksi
• Opas Suomi.fi-verkkosivuilla: Henkilötietojani on viety tai vuotanut
• Tukea ja keskusteluapua voi tarvittaessa pyytää esimerkiksi Rikosuhripäivystyksestä tai Mieli ry:n kriisipuhelimesta.

Lisätietoja:

Onnettomuustutkintakeskuksen tiedote 17.6.2025: Helsingin kaupunkiin kohdistunut tietomurto osoittaa, että tietomurrot vaativat uudenlaista ajattelua julkisen sektorin varautumisessa, torjunnassa ja viestinnässä

Tutkintaselostus Onnettomuustutkintakeskuksen verkkosivuilla: P2024-01 Hel­sin­gin kau­pun­gin tie­to­mur­to 2024

Tietosuojavaltuutetun toimiston tiedote 14.5.2024: Tietosuojavaltuutetun toimisto selvittää Helsingin kaupunkiin kohdistunutta tietoturvaloukkausta

Median yhteydenotot: viestinta.tietosuoja(at)om.fi

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo henkilötietojen käsittelyä koskevan lainsäädännön noudattamista. Toimistossa työskentelee noin 60 asiantuntijaa.