Vastaamon tietomurto

Wikipediasta
Siirry navigaatioon Siirry hakuun

Psykoterapiakeskus Vastaamon tietomurto on vuosina 2018–2019 tapahtunut[1] ja 21. lokakuuta 2020 julkiseksi tullut[2] tietomurto, jossa jopa 33 000 Psykoterapiakeskus Vastaamon asiakkaan henkilö- ja potilastiedot varastettiin ja ainakin osittain julkaistiin Tor-verkossa[1]. Käyttäjänimellä ransom_man esiintynyt toimija yritti kiristää tietojen julkaisulla rahaa aluksi Vastaamolta ja myöhemmin yksittäisiltä asiakkailta kiristyksessä laajemmin kuitenkaan onnistumatta.[3] Muun muassa tietoturva-asiantuntija Mikko Hyppönen ja apulaistietosuojavaltuutettu Jari Råman kuvasivat tapausta kansainvälisellä tasolla poikkeukselliseksi tietomurroksi potilastietojen häikäilemättömän kiristyskäytön vuoksi.[4]

Tietomurtoa tutkii keskusrikospoliisi ja Vastaamon tietoturvan riittävyyttä tietosuojavaltuutettu.[5] Tietomurron tekijää tai tekijöitä ei ole saatu kiinni.[6] Tietomurto on herättänyt laajaa keskustelua kyberturvallisuudesta, identiteettivarkauksista ja tietoturvasta sekä henkilötunnuksen käytöstä Suomessa.[7][8]

Tietomurto[muokkaa | muokkaa wikitekstiä]

Ensimmäisen Vastaamon potilastietokantaan kohdistuneen tietomurron on arvoitu tapahtuneen 25. marraskuuta 2018.[1] Maaliskuussa 2019 tietokantaan kohdistui toinen murto, jonka jälkeen tietokanta tyhjennettiin ja tilalle jätettiin kiristysviesti. Vastaamon toimitusjohtaja Ville Tapio on väittänyt, että vähintään toisen Vastaamon tietoturvavastaavan on täytynyt tietää murrosta jo tuolloin, mutta asiasta ei raportoitu eteenpäin. Tapio väittää, että ei itse ollut tietoinen tietomurrosta ennen syksyä 2020.[9]

Varastetun tietokannan tarkka koko ei ole tiedossa, mutta potilastietoja arvioidaan olevan noin 33 000.[1] Tietokanta on sisältänyt ilmeisesti kaikki Vastaamon potilastiedot marraskuuta 2018 edeltävältä ajalta ja osittain myös sen jälkeiseltä ajalta.[3] Varastettu tietokanta sisältää Vastaamon asiakkaiden psykoterapian potilaskertomuksia ja henkilötietoja mukaan lukien henkilötunnuksen sekä jonkin verran Vastaamon henkilökunnan tietoja. [3]

Useat asiantuntijat ovat kutsuneet Vastaamon tietomurron aikaista tietoturvaa erittäin huonoksi.[10] Tietokantapalvelin on tiettävästi ollut löydettävissä julkisesti jopa Google-haulla ilman palomuuria marraskuussa 2017 tehtyjen muutostöiden jälkeen.[1][9] Kiristäjä itse väitti käyttäneensä kirjautumiseen oletuskäyttäjätunnusta ja -salasanaa. Keskusrikospoliisi kuvasi Vastaamon tietoturvan tasoa murtohetkellä "riittämättömäksi".[1]

Kiristys ja tietojen julkaisu[muokkaa | muokkaa wikitekstiä]

Nimetön kiristäjä lähetti pääosin englanniksi kirjoitetun kiristyssähköpostin Vastaamon toimitusjohtajalle sekä kahdelle muulle työntekijälle 28. syyskuuta 2020. Vastaamo teki murrosta ilmoituksen tietosuojavaltuutetulle seuraavana päivänä. Tietomurron koko oli aluksi epäselvä, ja Vastaamo uskoi tietomurron koskeneen aluksi vain noin tuhatta asiakasta.[11]

Keskiviikkona 21. lokakuuta 2020 nimimerkki ransom_man kirjoitti Tor-verkossa toimivalle suomalaiselle keskustelualusta Torilaudalle englanniksi, kuinka on hakkeroinut suomalaisen psykoterapiayrityksen tietokannan. Hän kertoi vaatineensa yritykseltä 40 bitcoinin (ajanhetkellä noin 450 000 euron) lunnaita, jottei julkaisisi tietoja. Kiristäjän mukaan Vastaamo lopetti vastaamisen kiristäjän sähköposteihin, joten tämä alkoi julkaista potilastietoja Tor-verkossa 100 kappaletta päivässä niin kauan, kunnes lunnaat maksetaan.[12]

Perjantaina 23. lokakuuta kiristäjä kuitenkin latasi verkkoon 100 potilastiedon sijasta paljon aiempia suuremman, noin 10 gigatavun kokoisen tiedoston. Suuren tiedoston epäillään olleen kiristäjän koko tietokanta, jonka tämä olisi julkaissut vahingossa. Suurikokoinen tiedosto oli saatavilla vain muutamia tunteja, eikä sen tarkka sisältö ole tiedossa.[12]

Lauantaina 24. lokakuuta kiristäjä muutti toimintaansa ja alkoi lähettää kiristysviestejä yksittäisille Vastaamon asiakkaille. Hän vaatii heiltä 200-500 euron lunnaita, jotta heidän henkilökohtaisia tietojaan ei julkaistaisi.[11] Lunnaiden maksun takarajaksi kiristäjä ilmoitti tiistai-illan 27. lokakuuta kello 20.[13] Poliisi kehotti, että lunnaita ei tule missään tapauksessa maksaa.[14] Lunnaiden takarajan umpeuduttua kiristäjä kuitenkin hiljeni, eikä julkaissut enää enempää tietoja.[13]

Reaktio ja vaikutukset[muokkaa | muokkaa wikitekstiä]

Hallituksen tiedotustilaisuus tietomurron jatkotoimenpiteistä 12. marraskuuta 2020

Keskustelijoiden reaktio Torilaudalla tietojen julkaisemisen myötä oli monin paikoin negatiivinen. Keskustelijat eivät kokeneet ihmisten potilastiedoilla kiristämistä moraalisena ja toisaalta pitivät tietomurtajaa pelkurina, joka ei julkaissut tietoja kuten oli väittänyt ja julkaisi vahingossa kaikki tietonsa ennen aikojaan.[12] Monet tietoturva-alan yritykset ja ammattilaistason tietotekniikan asiantuntijat aloittivat vapaaehtoisesti jäljittämään kiristäjää ja auttamaan poliisia heti tietojen julkaisun jälkeen erityisesti moraalisten ja eettisten syiden takia.[15]

Tietomurtoon liittyen on tehty yhteensä noin 25 000 rikosilmoitusta. Lunnaat maksaneita uhreja on joitakin kymmeniä, eikä rikoksesta saatu rahallinen hyöty ole kovin merkittävä. Suurin riski Vastaamon asiakkaille on henkilötietojen väärinkäyttö ja identiteettivarkaus.[5]

Valtioneuvosto aloitti tietomurron myötä lokakuun 2020 lopussa selvityksen henkilötunnuksen vaihtamisen helpottamisesta kuntaministeri Sirpa Paateron johdolla. Tulevien tietomurtojen tapahtuessa yksityishenkilöiden ilmoitusmenettelyä pyritään myös helpottamaan siten, että siitä vastaisi yksi keskitetty toimija.[16] Lisäksi jo käynnissä ollutta Kansallisen Terveysarkisto Kannan laajentamishanketta päätettiin nopeuttaa, jotta myös pienet terveysalan yritykset olisivat velvoitettuja liittymään siihen.[17]

Psykoterapiakeskus Vastaamo myytiin keväällä 2019 Intera Partnersin holding-yhtiö PTK Midcolle. PTK Midco väittää, ettei kauppa olisi toteutunut, mikäli se olisi tiennyt tietomurrosta ja on vaatinut kaupan purkamista sillä perusteella, että Vastaamon toimitusjohtaja Ville Tapio olisi tiennyt tietomurrosta myyntihetkellä.[5] Tapio on kiistänyt väitteet ja kertonut, että sai tietää tietomurrosta vasta lokakuussa 2020. Tapion omaisuutta on takavarikoitu yli 10 miljoonan euron edestä poliisitutkinnan ajaksi.[1]

Tapio erosi Vastaamon toimitusjohtajan paikalta tietomurron tultua julkiseksi lokakuussa 2020. Hänet korvasi marraskuussa Heini Pirttijärvi, joka kuitenkin myös erosi yhtiön muun hallituksen mukana 26. tammikuuta 2021.[18] 28. tammikuuta 2021 yhtiö asetettiin selvitystilaan[19] ja helmikuussa 2021 yritys haettiin konkurssiin. Terapiatoiminta on tarkoitus myydä suomalaiselle terveysalan yritys Vervelle, eikä potilastietoja siirretä osana kauppaa.[20]

Lähteet[muokkaa | muokkaa wikitekstiä]

  1. a b c d e f g Ralston, William: A dying man, a therapist and the ransom raid that shook the world Wired UK. 9.12.2020. Viitattu 4.2.2021. (englanniksi)
  2. Huhtanen, Jarmo: Potilaiden tietoja vietiin psykoterapiakeskuksen tietomurrossa, yritys kertoo joutuneensa kiristyksen uhriksi Helsingin Sanomat. 21.10.2020. Viitattu 4.2.2021.
  3. a b c Rimpiläinen, Tuomas: Tämä tiedetään valtavasta kiristysvyyhdistä Yle Uutiset. 26.10.2020. Viitattu 4.2.2021.
  4. F-Securen Hyppönen Vastaamon asiakkaiden kiristämisestä: Kansainvälisestikin poikkeuksellinen tapaus Yle Uutiset. Viitattu 4.2.2021.
  5. a b c Eskola, Meri: Vastaamon tietomurrosta tehty jo 25 000 rikosilmoitusta Apu. 1.2.2021. Viitattu 4.2.2021.
  6. Niinistö, Meeri: Haimme vastaukset 31 kysymykseen Vastaamon tietomurrosta Yle Uutiset. 27.10.2020. Viitattu 4.2.2021.
  7. Tietomurron uhreilta kiitosta ja kritiikkiä hallituksen suunnitelmille: "Pitäisi keskittyä henkilötunnusten suojaamiseen eikä niiden vaihtamiseen" Yle Uutiset. Viitattu 4.2.2021.
  8. Vastaamo-vyyhtiä puretaan nyt kolmessa eri ministeriössä - Marin väläyttää kyberturva-asioiden keskittämistä yhdelle ministerille Iltalehti. 28.10.2020. Viitattu 4.2.2021.
  9. a b Hämäläinen, Veli-Pekka: Vastaamon potilaiden tiedot olivat ehkä jopa vuosia suojaamatta netissä – tietoturva-asiantuntija: "Älyvapaata" Yle Uutiset. 22.1.2021. Viitattu 4.2.2021.
  10. Yle seurasi Vastaamon tietomurtoa: Näin kiristäjä ilmestyi Tor-verkon foorumille, poliisi pyytää harkintaa asiaan liittyvien yksityiskohtien julkaisemisessa Yle Uutiset. 2.11.2020. Viitattu 4.2.2021.
  11. a b Vastaamo arvioi uhrien määrän aluksi rajusti alakanttiin – piti asiakkaille ilmoittamista "kohtuuttoman" työläänä Yle Uutiset. 11.11.2020. Viitattu 4.2.2021.
  12. a b c "Onko herra Ransom mokannut?" Näin Vastaamon kiristäjä ilmestyi Tor-verkon foorumille, sai hakkerit peräänsä ja häipyi lähes tyhjin käsin Yle Uutiset. 31.10.2020. Päivitetty 21.12.2020. Viitattu 4.2.2021.
  13. a b Rummukainen, Anu: Vastaamo-kiristäjä pysyi piilossa vaikka lunnaiden maksuaika umpeutui – nyt uhkana uhrien identiteettivarkaudet Yle Uutiset. 28.10.2020. Viitattu 4.2.2021.
  14. Rantavaara, Minja: Vastaamon asiakkaat ovat saaneet kiristysviestejä, joissa vaaditaan 200–500 euron arvosta bitcoineja, poliisin sähköinen asiointipalvelu ruuhkautui Helsingin Sanomat. 24.10.2020. Viitattu 4.2.2021.
  15. Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit Helsingin Sanomat. 24.10.2020. Viitattu 4.2.2021.
  16. Tolkki, Kristiina: Hallitus yrittää avittaa Vastaamon tietomurron uhreja: henkilötunnuksen vaihtamista helpotetaan, pesukonetta ei voisi ostaa enää pelkällä hetulla Yle Uutiset. Viitattu 4.2.2021.
  17. Pääkirjoitus: Vastaamon tietomurto pani tietoturvan kohennuksiin vauhtia Etelä-Suomen Sanomat. 15.11.2020. Viitattu 4.2.2021.
  18. Taleva, Katariina: Vastaamon hallitus erosi tehtävästään Iltalehti. 26.1.2021. Viitattu 4.2.2021.
  19. Psykoterapiakeskus Vastaamo ajetaan alas – terapeuttien vastaanotot jatkuvat selvitystilan ajan Maaseudun Tulevaisuus. 29.1.2021. Viitattu 4.2.2021.
  20. Tietomurron kohteeksi joutunut psykoterapiakeskus Vastaamo on haettu konkurssiin Yle Uutiset. 11.2.2021. Viitattu 17.2.2021.