Lahden kyberhyökkäystutkinta: livahtiko haittaohjelma tuhanteen tietokoneeseen yksittäisen käyttäjän toiminnan vuoksi?

Lahden kaupungin tietoverkkoa yhä kiusaava ohjelma on paljastunut troijalaiseksi. Parhaillaan työasemia puhdistetaan ja terveysasemille viedään rinnakkaisia laitteita.

Kyberhyökkäys
Asiakkaita Päijät-Hämeen keskussairaalan aulassa.
Asiakkaita Päijät-Hämeen keskussairaalan aulassa.Timo Vepsäläinen / Yle

Lahden kaupungin tietoverkkoon tiistaina iskeneestä kyberhyökkäyksestä aletaan saada uutta tietoa. Haittaohjelman leviämisestä yhdestä kaupungin tietokoneesta noin tuhanteen työasemaan on jo olemassa arvio.

– Olettamuksena on, että haittaohjelma on lähtenyt liikkeelle yksittäisen käyttäjän toiminnasta. Keskusrikospoliisi on varmastikin taho, joka antaa viimeisen sanan siitä, mitä kautta haittaohjelma on tullut, sanoo Lahden tietohallintojohtaja Marko Monni.

Keskusrikospoliisin tutkinnanjohtaja ei poissulje yksittäisen työntekijän tekemän varomattoman klikkauksen mahdollisuutta, mutta suoranaista näyttöä tällaisesta ei ole.

– Sen tiedämme, että yhdessä työasemassa on ollut luvaton yhteys. Se on voinut aueta vaikka ohjelmistohaavoittuvuuden vuoksi, sanoo Krp:n tutkinnanjohtaja, rikoskomisario Sami Siurola.

Tietohallintojohtaja Marko Monnin mukaan tuhannen työaseman puhdistaminen on suuri työ.

– Katsomme, saadaanko haittaohjelma poistettua ohjelmallisesti eli virusohjelman avulla automaattisesti. Pahin skenaario on, että jokainen kone joudutaan asentamaan uudestaan.

Haittaohjelma on varmistunut troijalaiseksi. Troijalaiset ovat tietoturvayhtiö F-Securen (siirryt toiseen palveluun) mukaan ohjelmia, jotka näyttävät siltä kuin niillä olisi jokin houkutteleva toiminto tai ominaisuus. Ne kuitenkin tekevät haitallisia toimintoja taustalla kaikessa hiljaisuudessa.

Onko Lahden kyberhyökkäyksen takana yksittäinen tekijä vai hakkerijoukko, ei edelleenkään tiedetä.

Terveyspalveluissa kipuillaan ainakin yli viikonlopun

Lahden kaupungin verkkopalveluissa voi olla viikonloppuna katkoksia puhdistustöiden takia. Verkkoyhteyden puuttuminen voi kiusata muun muassa pääkirjaston ja maauimalan palveluita sekä kaupungin verkkosivuja.

Kaupungin ja Päijät-Hämeen hyvinvointiyhtymän väliset tietoliikenneyhteydet oli pakko katkaista tiistaina nopeasti, jotta hyökkäys ei leviäisi terveyspalveluihin. Tämä on heijastunut perusterveydenhuollon asiakkaille ikävästi: suuria ongelmia on ollut sähköisissä resepteissä ja laboratoriotuloksissa. Potilasturvallisuus ei kuitenkaan ole hyvinvointiyhtymän mukaan vaarantunut.

Tilanne palautunee normaaliksi näillä näkymin vasta ensi viikolla.

– Toimitamme Lahden terveysasemille koko ajan rinnakkaisia laitteita, jotka menevät suoraan kiinni hyvinvointiyhtymän verkkoon, kertoo Lahden tietohallintojohtaja Marko Monni.

Hän ennakoi, että kyberhyökkäyksen jälkeen kaupunki kiristää tietoturvakäytäntöjä käyttäjille ja ohjelmistoissa. Haittojen selvittelyn kustannukset nousevat kymmeniintuhansiin euroihin.

– Kustannukset maksaa Lahden kaupunki. Emme voi olettaa, että hyökkääjää saadaan tässä maksumieheksi, toteaa Monni.

Lue lisää:

Katkoja Lahden kaupungin verkkopalveluissa – Syynä haittaohjelman puhdistustyöt