Kaupungin sisäisen verkon tiedostopalvelimen kansiossa on ollut liian laajat käyttöoikeudet

Riihimäen kaupungin sisäisen verkon tiedostopalvelimen yhden kansion käyttöoikeudet ovat olleet tarpeettoman laajat. Asia kävi ilmi kaupungin tiedonhallinnan kehittämisen hankkeessa, jossa käydään järjestelmällisesti läpi kaupungin tiedostopalvelimia ja verkkolevyjä. Hanke käynnistettiin pilvipalveluihin siirtymisen valmistelua varten.

Tiedostopalvelimen kansion käyttöoikeudet saatiin rajattua oikein samana päivänä kun poikkeama havaittiin, maanantaina 22. syyskuuta 2025.

Tiedostopalvelimen kansio sisälsi tuhansien Riihimäen peruskoululaisten ja heidän huoltajiensa nimiä ja henkilötunnuksia vuodelta 2014. Tilapäiseksi kansioksi tarkoitettu siirtokansio oli tehty vuoden 2014 oppilashallinnon järjestelmän vaihtoa varten. Kansio olisi tullut poistaa järjestelmävaihdoksen jälkeen. Kansiota ei ollut kuitenkaan poistettu ja sen lukuoikeudet olivat kaupungin sisällä liian laajat. Koko kaupungin työntekijöiden on ollut teknisesti ottaen mahdollista lukea tiedostoja. Oikea rajaus olisi ollut osa sivistyksen ja hyvinvoinnin toimialan henkilöstöä.

Tiedossa ei ole väärinkäytöksiä

Kaupungin tiedossa ei ole tällä hetkellä, että liian laajoista käyttöoikeuksista johtunutta tietoturvan haavoittuvaisuutta olisi yritetty hyödyntää asiattomiin tarkoituksiin.

Kaupungin tietosuojavastaavan sijainen teki maanantaina 22. syyskuuta ilmoituksen tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle. Organisaation on tehtävä ilmoitus tietosuojavaltuutetun toimistoon, kun on syytä epäillä henkilötietojen käsittelyä tietosuojasäännösten vastaisesti, vaikka väärinkäytöksiä ei epäiltäisi tehdyiksi.

“Henkilötietojen tietosuojaloukkaus on vakava asia. Kaupungilla on tällaista tilannetta varten toimintamalli, joka käynnistyi välittömästi asian tultua ilmi. Työskentelemme aktiivisesti tiedonhallinnan kehittämiseksi. Vuodesta 2024 lähtien meillä on ollut käynnissä laaja koko kaupungin hanke, jossa käydään systemaattisesti läpi organisaation tiedonkäsittely. Vastaan tullut vanha kansio on esimerkki tiedonhallinnasta, joka ei täytä nykyvaatimuksia”, toteaa talousjohtaja Pekka Karvonen.

Kaupungin tiedossa ei tällä hetkellä ole, että tietoja olisi käytetty väärin. Jos sinulla on epäilys, että liian laajoista käyttöoikeuksista johtunutta tietoturvan haavoittuvaisuutta olisi käytetty asiattomasti, ota yhteyttä kaupungin tietosuojavastaavaan tietosuoja@riihimaki.fi tai 050 523 7304 (vain puhelut).