1. yle.fi
  2. Uutiset
  3. tietoturva

Koulujen Wilma-palveluun saapui viime viikolla viesti, jota tutkii nyt poliisi – lähes jokaisen väärinkäytön taustalla on sama ongelma, sanoo ohjelmistoyhtiön toimitusjohtaja

Kaksivaiheinen tunnistautuminen voisi ehkäistä väärinkäytöksiä, mutta kaikissa kunnissa se ei ole vielä käytössä. Poliisi tutkii palvelussa lähetettyä pommiuhkausta.

Koulujen Wilma-palvelu päätyy aika ajoin vääriin käsiin. Kuva: Henrietta Hassinen / Yle

Oppilashallinnon verkkopalvelu Wilmassa on ollut mahdollisuus kohta kolmen vuoden ajan kaksivaiheiseen tunnistautumiseen.

Ohjelmistotoimittaja pitää tietoturvan kannalta tärkeänä, että kunnat ja Wilman käyttäjät ottaisivat palvelun laajasti käyttöön. Näin voitaisiin estää nykyistä paremmin Wilman tunnusten ja salasanojen joutuminen vääriin käsiin.

– Lähes aina kunnissa havaituissa väärinkäytöissä on ollut kysymys siitä, että salasanoista ei ole huolehdittu riittävän hyvin, toteaa Visma Enterprisen toimitusjohtaja Jukka Holm.

Wilma on käytössä valtaosassa Suomen kunnista.

Palvelua ollaan kehittämässä täysin pilvipohjaiseksi ja nyt jo noin kaksi kolmasosaa kunnista on siirtynyt käyttämään Visman pilvipalvelua.

Samalla käyttäjille on avautunut mahdollisuus vahvempaan tietoturvaan.

– Kaksivaiheinen tunnistautuminen on kunnille maksuton palvelu, toiminto pitää vain laittaa päälle käyttäjille. Sen jälkeen Wilma-käyttäjien pitää itse aktivoida monivaiheinen tunnistaminen.

Salasanat vääriin käsiin

Viimeksi väärinkäyttöön törmättiin Kauhavalla Alahärmän yläkoulussa, jossa Wilman kautta lähetettiin opettajille pommiuhkaus.

Varsin pian pystyttiin toteamaan, viestin oli lähettänyt koulun oppilaan nimissä ulkopuolinen henkilö.

Lue myös: Wilma-järjestelmä päätyi taas vääriin käsiin Alahärmässä – kaupungin sivistysjohtaja hämmästelee yläkouluun kohdistunutta pommiuhkausta: "Noinko helposti se käy?"

Wilman tietoturvallisen käytön kanssa on samassa koulussa ollut ongelmia aikaisemminkin.

Kaksi vuotta sitten järjestelmään kirjaudutttiin luvatta koulunjohtajan salasanaa käyttäen ja muun muassa lähetettiin opettajien nimissä viestejä oppilaille. Tapauksen seurauksena yksi oppilas tuomittiin käräjäoikeudessa sakkoihin nuorena henkilönä tehdystä tietomurrosta.

Jukka Holm arvioi, että Wilman väärinkäyttötapaukset tulevat useimmiten myös palveluntarjoajan tietoon.

– Niitä on, mutta missään tapauksessa niitä ei ole paljon.

Visma on selvittänyt omalta osaltaan myös Kauhavan pommiuhkaustapausta. Holmin mukaan mikään ei viitaa siihen, että kysymys olisi tässäkään tapauksessa hakkeroinnista.

Myös poliisi tutkii asiaa.

Tietoisuutta ja tekniikkaa

Jukka Holm toteaa, että Vismalle Wilman tietoturva ja tietosuoja ovat aivan erityisen tärkeitä asioita, koska järjestelmässä käsitellään alaikäisten tietoja.

– Tietoturvan pitää olla aivan huipputasoa. Yritys työskentelee koko ajan muun muassa ulkoisten tietoturva-ammattilaisten kanssa ja yhteistyötä on tehty myös valkohattuhakkereiden kanssa.

Kun puhutaan käyttäjien vastuusta, kysymys on aivan perusasioista, toteaa Holm.

Tärkeässä roolissa ovat salasanat. Salasanat on säilytettävä turvallisesti, ja älypuhelin kannattaa lukita esimerkiksi numerokoodilla tai biometrisella tunnisteella.

– Voi jopa sanoa, että tässä isompi osa tietoturvaa on tietoisuus kuin tekniikka. Suosittelemme, että huoltajat ja opettajat neuvovat säännöllisesti oppilaita Wilman tietoturvalliseen käyttöön.

Kohti vahvempaa tunnistautumista

Myös Lohjan kaupungin tietohallintoasiantuntija Piia Silventoinen-Laakso korostaa opastamisen merkitystä.

– Koulun tehtävä on tässäkin opettaa aivan perusasioita kuten salasanan oikeaa käyttöä.

Lohjan kaupunki siirtyi käyttämään Wilmaa pilvipalveluna pari vuotta sitten.

Silventoinen-Laakso kertoo, että sen jälkeen huoltajia ja koulujen henkilökuntaa on muistutettu kaksivaiheisen tunnistautumisen mahdollisuudesta.

– Itse pidän sitä tosi tärkeänä. Noin vuosi sitten asiaan alettiin kiinnittää enemmän huomiota, ja ainakin valveutuneimmat huoltajat ovat ottaneet kaksivaiheisen tunnistautumisen käyttöön.

Lohjallakin on ollut muutamia Wilma-tunnusten väärinkäyttötapauksia.

Oppilailla vielä opittavaa

Silventoinen-Laakso arvioi, että lukioastetta lukuun ottamatta kaksivaiheinen tunnistautuminen voi olla vielä haastavaa oppilaille.

– Meillä on oppilailla edu-tunnukset käytössä ja tuntuu, että oman salasanan muistamisessa ja vaihtamisessa on siinäkin jo tekemistä.

Lohjalla oppilaiden salasanaosaamiseen on kiinnitetty huomiota muun muassa digiasioiden taitotasotavoitteissa.

– Uskon, että oppilailla taito kehittyy koko ajan, ja voihan olla, että jossain vaiheessa kaksivaiheinen tunnistautuminen on heilläkin mahdollista.

Silventoinen-Laakso toteaa, että tietoturvaan joudutaan kouluissa samoin kuin koko yhteiskunnassa kiinnittämään entistä enemmän huomioon.

– Jos jotain hyvää on esimerkiksi näissä Wilman väärinkäyttötapauksissa tai laajemmin Vastaamon tapauksessa, niin ainakin ne aikaansaavat hetkellistä heräämistä tietoturva-asioihin, pohtii Silventoinen-Laakso.

Kokeilunhalua ja jäynää

Oma työsarkansa on koulumaailmassa myös palvelunestohyökkäysten torjumisessa.

Kyberturvallisuuskeskus toteaa vuosikatsauksessaan (siirryt toiseen palveluun) (2019), että lyhyiden palvelunestohyökkäysten “kohteet vaihtelevat, mutta yksi kohde, joka korostuu vuodesta toiseen, on koulujen Wilma-järjestelmä”.

Vuosikatsauksessa arvioidaan, että lyhyiden hyökkäysten takana voi olla nuorten kokeilunhalua.

Ilmiö paisui uusiin mittoihin vuosi sitten keväällä.

Lue myös: Kyberhyökkäykset häiritsevät etäkoulua – tekijöinä lapset ja nuoret

Jukka Holmin mukaan palvelunestohyökkäyksiä on melko usein, mutta niiden vaikutukset on onnistuttu minimoimaan.

– Meillä on tarkka prosessi ja teknologia käytössä, niin että mahdolliset häiriöt ovat jääneet lyhytaikaisiksi. Isossa kuvassa mitään laajamittaisia häiriöitä ei ole ollut.

Holm arvelee, että Wilma opetusympäristön kohteena voi olla tietyllä tavalla houkutteleva. Motiiviksi hyökkäysyritykselle voi riittää pelkkä jäynän tekeminen.

Seuraukset tekijälle voivat kuitenkin olla vakavia.

Palvelunestohyökkäyksen tekeminen tai sen yrittäminen voidaan tulkita rikokseksi, ja siitä voi seurata tekijälle sakkoa tai jopa vankeutta.

Lisää aiheesta:

Poliisi Hyrylän koulu-uhkauksesta: Epäilty latasi oppilaan koneelle viruksen nettipelissä, vei Wilma-tunnukset ja lähetti koululle pommiuhkauksen

Digitreenit: Salasanakone - testaa kuinka nopeasti salasana murretaan

Digitreenit: Kaksivaiheinen tunnistautuminen – eikö yksi kerta riitä?

Oletko havainnut väärinkäytöksiä tai tietoturvaan liittyviä ongelmia Wilma-palvelussa? Voit keskustella aiheesta keskiviikkoon kello 23 saakka.