Vastaamon tietomurto

Wikipediasta
Siirry navigaatioon Siirry hakuun

Psykoterapiakeskus Vastaamon tietomurto on vuosina 2018–2019 tehty[1] ja 21. lokakuuta 2020 julkiseksi tullut[2] tietomurto, jossa kaikkiaan 33 086[3] Psykoterapiakeskus Vastaamon asiakkaan henkilö- ja potilastiedot varastettiin ja ainakin osittain julkaistiin Tor-verkossa[1]. Käyttäjänimellä ”ransom_man” esiintynyt toimija yritti kiristää tietojen julkaisulla rahaa aluksi Vastaamolta ja myöhemmin yksittäisiltä asiakkailta mutta ei kuitenkaan onnistunut kiristyksessä laajemmin.[4]

Muun muassa tietoturva-asiantuntija Mikko Hyppönen ja apulaistietosuojavaltuutettu Jari Råman kuvasivat tapausta kansainvälisellä tasolla poikkeukselliseksi tietomurroksi potilastietojen häikäilemättömän kiristyskäytön vuoksi.[5] Tietomurto on herättänyt laajaa keskustelua kyberturvallisuudesta, identiteettivarkauksista ja tietoturvasta sekä henkilötunnuksen käytöstä Suomessa.[6][7]

Tietomurtoa tutki keskusrikospoliisi ja Vastaamon tietoturvan riittävyyttä tietosuojavaltuutettu.[8] Useista tietoliikennerikoksista tuomittu Aleksanteri Kivimäki nimettiin lokakuussa 2022 epäillyksi, ja hänestä annettiin kansainvälinen pidätysmääräys.[9][10] Kivimäki otettiin kiinni Ranskassa 3. helmikuuta 2023.[11] Hänta vastaan nostettiin lokakuussa syytteet yli 30 000 rikoksesta. Rikosnimikkeinä ovat muun muassa törkeä tietomurto, törkeä kiristys ja törkeä yksityiselämää loukkaava tiedon levittäminen.[12] Länsi-Uudenmaan käräjäoikeus tuomitsi Kivimäen huhtikuussa 2024 kuuden vuoden ja kolmen kuukauden vankeusrangaistukseen.[13]

Ensimmäisen Vastaamon potilastietokantaan kohdistuneen tietomurron on arvoitu tapahtuneen 25. marraskuuta 2018.[1] Maaliskuussa 2019 tietokantaan kohdistui toinen murto, jonka jälkeen tietokanta tyhjennettiin ja tilalle jätettiin kiristysviesti. Vastaamon toimitusjohtaja Ville Tapio on väittänyt, että vähintään toisen Vastaamon tietoturvavastaavan on täytynyt tietää murrosta jo tuolloin, mutta asiasta ei raportoitu eteenpäin. Tapio väittää, että ei itse ollut tietoinen tietomurrosta ennen syksyä 2020.[14] Tapion mukaan hänelle selvisi vasta lokakuussa 2020, että Vastaamon tietoturvasta vastanneet henkilöt olivat juuri ennen Vastaamoon siirtymistään pidätettyinä Tekesiin tehdystä tietomurrosta,[15] josta lopulta ei nostettu syytteitä.[16] Tapion mukaan miehet kertoivat tästä oma-aloitteisesti.[15]

Varastettujen potilastietojen määräksi vahvistettiin elokuussa 2023 33 086.[3] Tietokanta on sisältänyt ilmeisesti kaikki Vastaamon potilastiedot marraskuuta 2018 edeltävältä ajalta ja osittain myös sen jälkeiseltä ajalta.[4] Varastettu tietokanta sisältää Vastaamon asiakkaiden psykoterapian potilaskertomuksia ja henkilötietoja mukaan lukien henkilötunnuksen sekä jonkin verran Vastaamon henkilökunnan tietoja. [4]

Useat asiantuntijat ovat kutsuneet Vastaamon tietomurron aikaista tietoturvaa erittäin huonoksi.[17] Tietokantapalvelin on tiettävästi ollut löydettävissä julkisesti jopa Google-haulla ilman palomuuria marraskuussa 2017 tehtyjen muutostöiden jälkeen.[1][14] Kiristäjä itse väitti käyttäneensä kirjautumiseen oletuskäyttäjätunnusta ja -salasanaa. Keskusrikospoliisi kuvasi Vastaamon tietoturvan tasoa murtohetkellä "riittämättömäksi".[1]

Kiristys ja tietojen julkaisu

[muokkaa | muokkaa wikitekstiä]

Nimetön kiristäjä lähetti pääosin englanniksi kirjoitetun kiristyssähköpostin Vastaamon toimitusjohtajalle sekä kahdelle muulle työntekijälle 28. syyskuuta 2020. Vastaamo teki murrosta ilmoituksen tietosuojavaltuutetulle seuraavana päivänä. Tietomurron koko oli aluksi epäselvä, ja Vastaamo uskoi tietomurron koskeneen aluksi vain noin tuhatta asiakasta.[18]

Keskiviikkona 21. lokakuuta 2020 nimimerkki ransom_man kirjoitti Tor-verkossa toimivalle suomalaiselle keskustelualusta Torilaudalle englanniksi, kuinka on hakkeroinut suomalaisen psykoterapiayrityksen tietokannan. Hän kertoi vaatineensa yritykseltä 40 bitcoinin (sillä hetkellä noin 450 000 euron) lunnaita, jottei julkaisisi tietoja. Kiristäjän mukaan Vastaamo lopetti vastaamisen kiristäjän sähköposteihin, joten tämä aikoi julkaista potilastietoja Tor-verkossa sata kappaletta päivässä niin kauan, kunnes lunnaat maksetaan.[19]

Perjantaina 23. lokakuuta kiristäjä kuitenkin latasi verkkoon sadan potilastiedon sijasta paljon aiempia suuremman, noin 10 gigatavun kokoisen tiedoston. Suuren tiedoston epäillään olleen kiristäjän koko tietokanta, jonka tämä olisi julkaissut vahingossa. Suurikokoinen tiedosto oli saatavilla vain muutamia tunteja, eikä sen tarkka sisältö ole tiedossa.[19]

Lauantaina 24. lokakuuta kiristäjä muutti toimintaansa ja alkoi lähettää kiristysviestejä yksittäisille Vastaamon asiakkaille. Hän vaati heiltä 200–500 euron lunnaita, jotta heidän henkilökohtaisia tietojaan ei julkaistaisi.[18] Lunnaiden maksun takarajaksi kiristäjä ilmoitti tiistai-illan 27. lokakuuta kello 20.[20] Poliisi kehotti, että lunnaita ei tule missään tapauksessa maksaa.[21] Lunnaiden takarajan umpeuduttua kiristäjä kuitenkin hiljeni eikä julkaissut enää enempää tietoja.[20]

Tietomurron tietokannasta on julkaistu joitakin versioita myös syksyn 2020 jälkeen. Elokuussa 2021 pimeään verkkoon julkaistiin hakukone, jolla potilastietoja oli mahdollista hakea, ja kopio hakukoneesta oli lyhyen aikaa saatavilla myös julkisessa verkossa.[22][23]

Reaktio ja vaikutukset

[muokkaa | muokkaa wikitekstiä]
Hallituksen tiedotustilaisuus tietomurron jatkotoimenpiteistä 12. marraskuuta 2020.

Keskustelijoiden reaktio Torilaudalla tietojen julkaisemisen jälkeen oli monin paikoin kielteinen. Keskustelijat pitivät ihmisten potilastiedoilla kiristämistä epämoraalisena ja toisaalta pitivät tietomurtajaa pelkurina, joka ei julkaissut tietoja, kuten oli väittänyt, ja julkaisi vahingossa kaikki tietonsa ennen aikojaan.[19] Monet tietoturva-alan yritykset ja ammattilaistason tietotekniikan asiantuntijat alkoivat vapaaehtoisesti jäljittää kiristäjää ja auttaa poliisia heti tietojen julkaisun jälkeen erityisesti moraalisista ja eettisistä syistä.[24]

Tietomurtoon liittyviä rikosilmoituksia tehtiin yhteensä noin 25 000. Lunnaat maksaneita uhreja on joitakin kymmeniä, eikä rikoksesta saatu rahallinen hyöty ole kovin merkittävä. Suurin riski Vastaamon asiakkaille on henkilötietojen väärinkäyttö ja identiteettivarkaus.[8]

Valtioneuvosto aloitti tietomurron myötä lokakuun 2020 lopussa selvityksen henkilötunnuksen vaihtamisen helpottamisesta kuntaministeri Sirpa Paateron johdolla. Tulevien tietomurtojen tapahtuessa yksityishenkilöiden ilmoitusmenettelyä pyritään myös helpottamaan siten, että siitä vastaisi yksi keskitetty toimija.[25] Lisäksi jo käynnissä ollutta Kansallisen Terveysarkisto Kannan laajentamishanketta päätettiin nopeuttaa, jotta myös pienet terveysalan yritykset olisivat velvoitettuja liittymään siihen.[26]

Psykoterapiakeskus Vastaamo myytiin keväällä 2019 Intera Partnersin holding-yhtiö PTK Midcolle, joka sanoo, ettei kauppa olisi toteutunut, jos se olisi tiennyt tietomurrosta, ja on vaatinut kaupan purkamista sillä perusteella, että Vastaamon toimitusjohtaja Ville Tapio olisi tiennyt tietomurrosta myyntihetkellä.[8] Tapio on kiistänyt väitteet ja kertonut, että sai tietää tietomurrosta vasta lokakuussa 2020. Tapion omaisuutta on takavarikoitu yli 10 miljoonan euron edestä poliisitutkinnan ajaksi.[1]

Tapio erotettiin Vastaamon toimitusjohtajan paikalta tietomurron tultua julkiseksi lokakuussa 2020[27]. Hänen tilalleen tuli marraskuussa Heini Pirttijärvi, joka kuitenkin erosi yhtiön muun hallituksen mukana 26. tammikuuta 2021.[28] Sen jälkeen 28. tammikuuta 2021 yhtiö asetettiin selvitystilaan,[29] ja helmikuussa 2021 yritys haettiin konkurssiin. Terapiatoiminta on tarkoitus myydä suomalaiselle terveysalan yritykselle Vervelle, eikä potilastietoja siirretä osana kauppaa.[30]

Poliisin tutkimukset

[muokkaa | muokkaa wikitekstiä]

Tietomurtoa tutki keskusrikospoliisi ja Vastaamon tietoturvan riittävyyttä tietosuojavaltuutettu.[8] 28. lokakuuta 2022 keskusrikospoliisi nimesi ensimmäisen tietomurrosta epäillyn, aiemmin useista tietoliikennerikoksista tuomitun suomalaisen Aleksanteri Julius Kivimäen (s. 1997)[31] ja tiedotti, että Kivimäestä on annettu eurooppalainen pidätysmääräys. Helsingin käräjäoikeus vangitsi miehen poissaolevana todennäköisin syin epäiltynä törkeästä tietomurrosta, törkeän kiristyksen yrityksestä ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.[32]

Kivimäki otettiin kiinni Ranskassa 3. helmikuuta 2023.[33] Hänet luovutettiin Suomeen 25. helmikuuta 2023.[34]

Tapion oikeudenkäynti

[muokkaa | muokkaa wikitekstiä]

Helsingin käräjäoikeus tuomitsi Tapion huhtikuussa 2023 kolmen kuukauden ehdolliseen vankeusrangaistukseen tietosuojarikoksesta. Tuomion mukaan Tapio ei toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta. Potilastietokantaan oli tallennettu asiakkaiden henkilötietoja ja käyntimerkintöjä selkokielisinä ilman riittävää salausta.[35] Sekä syyttäjä että Tapio ovat valittaneet tuomiosta hovioikeuteen.[36]

Kivimäen oikeudenkäynti

[muokkaa | muokkaa wikitekstiä]

Lokakuussa 2023 Kivimäkeä vastaan nostettiin syytteet yli 30 000 rikoksesta. Rikosnimikkeinä olivat muun muassa törkeä tietomurto, törkeä kiristys ja törkeä yksityiselämää loukkaava tiedon levittäminen.[12]

Syyttäjä nosti 18. lokakuuta 2023 Aleksanteri Kivimäkeä vastaan syytteet yli 30 000 rikoksesta.[12] Rikosnimikkeinä ovat törkeä tietomurto, törkeä kiristys, törkeän kiristyksen yritys ja törkeä yksityiselämää loukkaava tiedon levittäminen. Epäillyillä rikoksilla on yli 21 000 asianomistajaa. Oikeudenkäynti alkoi Länsi-Uudenmaan käräjäoikeudessa lokakuussa 2023, ja se jatkui maaliskuulle 2024.[37] Kivimäki vapautettiin 5. helmikuuta 2024 odottamaan tuomiotaan,[38] mutta vangittiin uudelleen.

Länsi-Uudenmaan käräjäoikeus tuomitsi Kivimäen huhtikuussa 2024 kuuden vuoden ja kolmen kuukauden vankeusrangaistukseen.[13][39][40] Syyttäjä oli vaatinut hänelle seitsemän vuoden ehdotonta vankeusrangaistusta ja rikoksentekovälineet valtiolle menetettäviksi.[41]

  1. a b c d e f Ralston, William: A dying man, a therapist and the ransom raid that shook the world Wired UK. 9.12.2020. Viitattu 4.2.2021. (englanti)
  2. Huhtanen, Jarmo: Potilaiden tietoja vietiin psykoterapiakeskuksen tietomurrossa, yritys kertoo joutuneensa kiristyksen uhriksi Helsingin Sanomat. 21.10.2020. Viitattu 4.2.2021.
  3. a b Jecaterina Mantsinen, Poliisi on selvittänyt kaikkien Vastaamon tietomurron uhrien henkilötiedot Aamulehti 2.8.2023
  4. a b c Rimpiläinen, Tuomas: Tämä tiedetään valtavasta kiristysvyyhdistä Yle Uutiset. 26.10.2020. Viitattu 4.2.2021.
  5. Tero Valtanen, Marika Harjumaa: F-Securen Hyppönen Vastaamon asiakkaiden kiristämisestä: Kansainvälisestikin poikkeuksellinen tapaus Yle Uutiset. Viitattu 4.2.2021.
  6. Anne Orjala, Salla Vuolteenaho: Tietomurron uhreilta kiitosta ja kritiikkiä hallituksen suunnitelmille Yle Uutiset. Viitattu 4.2.2021.
  7. Joonas Alanne, Kreeta Karvala, Tommi Parkkonen: Vastaamo-vyyhtiä puretaan nyt kolmessa eri ministeriössä Iltalehti. 28.10.2020. Viitattu 4.2.2021.
  8. a b c d Eskola, Meri: Vastaamon tietomurrosta tehty jo 25 000 rikosilmoitusta Apu. 1.2.2021. Viitattu 4.2.2021.
  9. Joonas Alanne: Tällainen on Julius Kivimäki, jota epäillään Vastaamon tietomurrosta Iltalehti. Viitattu 28.10.2022.
  10. Yksi vangittu poissaolevana liittyen Vastaamon tietomurtoon Poliisi.fi. Viitattu 28.10.2022.
  11. Vastaamon tietomurrosta epäilty mies otettu kiinni Ranskassa 3.2.2023. Poliisi. Viitattu 3.2.2023.
  12. a b c Kerkelä, Lasse: Syyttäjä nosti syytteet yli 30 000 rikoksesta Vastaamo-tapauksessa HS.fi. 18.10.2023. Viitattu 18.10.2023.
  13. a b Rautio, Marjatta: Aleksanteri Kivimäelle yli kuusi vuotta vankeutta Vastaamon tietomurrosta – Kivimäki pettynyt yle.fi. 30.4.2024. Viitattu 30.4.2024.
  14. a b Hämäläinen, Veli-Pekka: Vastaamon potilaiden tiedot olivat ehkä jopa vuosia suojaamatta netissä Yle Uutiset. 22.1.2021. Viitattu 4.2.2021.
  15. a b William Ralston: They Told Their Therapists Everything. Hackers Leaked It All Wired. Viitattu 14.2.2024. (englanti)
  16. Henrik Kärkkäinen: Vastaamon it-järjestelmistä vastanneet miehet olivat aiemmin pidätettyinä Tekesin tietomurtojutussa Ilta-Sanomat. 6.5.2021. Viitattu 14.2.2024.
  17. Yle seurasi Vastaamon tietomurtoa: Näin kiristäjä ilmestyi Tor-verkon foorumille, poliisi pyytää harkintaa asiaan liittyvien yksityiskohtien julkaisemisessa Yle Uutiset. 2.11.2020. Viitattu 4.2.2021.
  18. a b Veli-Pekka Hämäläinen, Elisa Kallunki: Vastaamo arvioi uhrien määrän aluksi rajusti alakanttiin Yle Uutiset. 11.11.2020. Viitattu 4.2.2021.
  19. a b c Veli-Pekka Hämäläinen, Anu Rummukainen: "Onko herra Ransom mokannut?" Näin Vastaamon kiristäjä ilmestyi Tor-verkon foorumille, sai hakkerit peräänsä ja häipyi lähes tyhjin käsin Yle Uutiset. 31.10.2020. Päivitetty 21.12.2020. Viitattu 4.2.2021.
  20. a b Rummukainen, Anu: Vastaamo-kiristäjä pysyi piilossa vaikka lunnaiden maksuaika umpeutui Yle Uutiset. 28.10.2020. Viitattu 4.2.2021.
  21. Rantavaara, Minja: Vastaamon asiakkaat ovat saaneet kiristysviestejä, joissa vaaditaan 200–500 euron arvosta bitcoineja, poliisin sähköinen asiointipalvelu ruuhkautui Helsingin Sanomat. 24.10.2020. Viitattu 4.2.2021.
  22. Pimeästä verkosta löytyy hakukone, joka paljastaa kaikki Vastaamon potilastiedot MTV Uutiset. 18.8.2021. Viitattu 11.3.2022.
  23. Psykoterapiakeskus Vastaamon tietomurron uhrien tiedot eivät enää leviä avoimessa verkossa Helsingin Sanomat. 28.8.2021. Viitattu 11.3.2022.
  24. Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit Helsingin Sanomat. 24.10.2020. Viitattu 4.2.2021.
  25. Tolkki, Kristiina: Hallitus yrittää avittaa Vastaamon tietomurron uhreja: henkilötunnuksen vaihtamista helpotetaan, pesukonetta ei voisi ostaa enää pelkällä hetulla Yle Uutiset. 12.11.2020. Viitattu 4.2.2021.
  26. Pääkirjoitus: Vastaamon tietomurto pani tietoturvan kohennuksiin vauhtia Etelä-Suomen Sanomat. 15.11.2020. Viitattu 4.2.2021.
  27. Tietoturvaskandaalissa rypevän Vastaamon toimitusjohtajalle potkut Yle Uutiset. 26.10.2020. Viitattu 16.11.2023.
  28. Taleva, Katariina: Vastaamon hallitus erosi tehtävästään Iltalehti. 26.1.2021. Viitattu 4.2.2021.
  29. Psykoterapiakeskus Vastaamo ajetaan alas Maaseudun Tulevaisuus. 29.1.2021. Viitattu 4.2.2021.
  30. Nina Svahn, Tiina Karppi: Tietomurron kohteeksi joutunut psykoterapiakeskus Vastaamo on haettu konkurssiin Yle Uutiset. 11.2.2021. Viitattu 17.2.2021.
  31. Joonas Alanne: Tällainen on Julius Kivimäki, jota epäillään Vastaamon tietomurrosta Iltalehti. Viitattu 28.10.2022.
  32. Yksi vangittu poissaolevana liittyen Vastaamon tietomurtoon Poliisi.fi. Viitattu 28.10.2022.
  33. Vastaamon tietomurrosta epäilty mies otettu kiinni Ranskassa 3.2.2023. Poliisi. Viitattu 3.2.2023.
  34. Kari Ikävalko, Rosa Lehtokari: Vastaamo-epäilty Julius Kivimäki tuotu Suomeen Yle. 25.2.2023. Viitattu 25.2.2023.
  35. Mäntysalo, Jesse ja Salumäki, Tiina: Ehdolliseen vankeuteen tuomittu Ville Tapio pyytää anteeksi Vastaamon tietomurron uhreilta Yle Uutiset. 18.4.2023. Viitattu 18.10.2023.
  36. Tiina Salumäk: Syyttäjä ja ex-toimitusjohtaja Ville Tapio valittivat Vastaamo-tuomiosta Yle Uutiset. 19.5.2023. Viitattu 14.2.2024.
  37. Vastaamo Länsi-Uudenmaan käräjäoikeus. Viitattu 14.2.2024.
  38. Sanni Mattila, Iida Vashko: Julius Kivimäki päästetty vapaaksi – purskahti nauruun oikeussalissa Ilta-Sanomat. 5.2.2024. Viitattu 1.3.2024.
  39. Vastaamo | Aleksanteri Kivimäki tuomittiin Vastaamon rikosvyyhdistä Helsingin Sanomat. 30.4.2024. Viitattu 30.4.2024.
  40. Akseli Vanhala, STT: Tällaisen tuomion Julius Kivimäki sai Ilta-Sanomat. 30.4.2024. Viitattu 30.4.2024.
  41. Eevi Karvinen: Syyttäjä vaatii Aleksanteri Kivimäelle 7 vuoden vankeutta www.iltalehti.fi. Viitattu 18.10.2023.