Wilma-oppilashallintojärjestelmän tietomurto Vaasassa on herättänyt kysymyksiä järjestelmän tietoturvallisuudesta.
Murron aikana päästiin käsiksi noin 50 oppilaan henkilötietoihin. Tietomurto tapahtui viime vuoden joulukuussa.
Yle uutisoi siitä eilen tiistaina.
Aikaisemmin Wilmaan liittyvistä tietoturvaloukkauksista on uutisoitu muun muassa vuonna 2020, kun Tuusulassa Hyrylän koulussa oppilas pääsi käsiksi toisen oppilaan Wilma-tunnuksiin ja laittoi koulun henkilölle järjestelmän kautta pommiuhkauksen.
Lisäksi Jalasjärvellä ja Kauhavalla uutisoitiin vuonna 2019 tapauksista, joissa oppilas tai oppilaat olivat päässeet lähettämään törkyviestejä muille oppilaille opettajien Wilma-tunnuksilla.
Wilman kehittäjän Visma Enterprise Oy:n Wilma-liiketoimintajohtaja Teemu Lehtonen kiistää sovelluksessa olevan suuria tietoturvariskejä.
Lehtosen mukaan usein on ollut kyse siitä, että käyttäjätunnukset ovat päätyneet vääriin käsiin.
– Tämän takia me suosittelemme, että ihmiset käyttäisivät aina kaksivaiheista tai vahvaa tunnistautumista Wilma-tunnuksissaan, jotta näiltä tapauksilta vältyttäisiin.
Vaasassa kirjautumisvirhe jätti henkilön istunnon auki
Vaasan Wilma-tietomurto tapahtui joulukuun alussa Onkilahden yhtenäiskoululla.
Viikon aikana tekijät olivat muun muassa lähettäneet viestejä Wilmassa ja päässeet käsiksi ihmisten henkilötietoihin. Asianosaisille tietomurrosta ilmoitettiin vasta kaksi kuukautta tapahtuneen jälkeen.
Vaasan tietosuojavastaava Tanja Markkulan mukaan kyseessä oli Wilmaan liittyvän taustajärjestelmän vika. Kaupunki on tehnyt asiasta rikosilmoituksen ja tekijät ovat jääneet kiinni jo joulukuussa.
Wilma-liiketoimintajohtaja Teemu Lehtonen kertoo, että Vaasan tapauksessa kyseessä on ollut kirjautumisvika kolmannen osapuolen palvelusta.
Kolmannen osapuolen toimittaja oli luonut tavan kirjautua Wilmaan suoraan omalta alustaltaan.
– Meidän paras käsityksemme tällä hetkellä on se, että siellä on ollut virhe, joka on jättänyt istunnon auki.
– Kirjautuminen on jäänyt tällä henkilöllä sitten päälle ja se on teoriassa mahdollistanut sen, että joku toinen on voinut päästä kirjautumaan Wilmaan sisään tämän edellisen henkilön tunnuksilla, Lehtonen sanoo.
”Järjestelmään ei ole päästy murtautumaan”
Lehtonen arvioi, että Wilma-järjestelmässä ei ole tietoturvan kannalta suuria haavoittuvuuksia.
Ainoastaan Kuopiossa sattuneessa tapauksessa Wilma plus-sovelluksen ohjelmistorajapinnoissa oli havaittu vikaa.
– Siinäkään ei ollut kuitenkaan niin, että kuka tahansa pääsee tietoja katsomaan, vaan kolmannen osapuolen palvelussa saattoi nähdä tiettyjä tietoja enemmän kuin mitä me itse näytämme Wilman sisällä, Lehtonen sanoo.
Tietoihin käsiksi pääseminen vaati Lehtosen mukaan kuitenkin tunnistautumisen järjestelmään ja oikeat käyttäjätunnukset.
– Ei ole siis ollut sellaista, että joku olisi päässyt aidosti murtautumaan meidän järjestelmäämme, eikä sellaista toivottavasti tulekaan tapahtumaan.
Käyttäjien tulisi muistaa hänen mukaansa myös Wilma-tunnuksien kanssa tietoturvallisuuden perussäännöt.
– Wilma on niin laajasti pienillä lapsilla ja nuorillakin käytössä, että tunnuksia saattaa helposti päätyä vääriin käsiin. Olisi todella tärkeää huolehtia Wilma-tunnuksista ja tarkistaa, että ne ovat vain omassa käytössä. Niitä ei saisi antaa kenenkään muun käyttöön.
Juttua voi kommentoida Yle-tunnuksilla 16.2.2023 kello 23 asti.