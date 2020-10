”Tämä on erityisen epäreilu tilanne, että avun hakemisesta joutuu kiristykselle alttiiksi.”

F-Securen Erka Koivusen mukaan terapia-asiakaiden asema on jäänyt liian vähälle huomiolle Vastaamo-murron jälkimainingeissa.­

Psykoterapiakeskus Vastaamoon tehty tietomurto ja sitä seurannut psykoterapiatietojen levittäminen julkisuuteen on ajanut paitsi yhtiön, myös sen asiakkaat äärimmäisen vaikeaan tilanteeseen.

Kiristäjä julkaisee jopa päivä 100 uuden asiakkaan tiedot ellei hänen vaatimuksiinsa suostuta.

Tietoturva-alalla on oltu nihkeitä kommentoimaan hankalaa tapausta. F-Securen tietoturvajohtaja Erka Koivunen esittää kuitenkin huolensa kiristäjän aiheuttamasta vahingosta terapia-asiakkaille ja sille, missä määrin ihmiset uskaltavat jatkossa hakeutua hoitoon.

Vaikka Koivunen työskentelee tietoturva-yhtiössä, hän sanoo katsovansa asiaa ensisijaisesti todellisten uhrien, eli Vastaamon asiakkaiden näkökulmasta.

– Tämä on erityisen epäreilu tilanne, että avun hakemisesta joutuu kiristykselle alttiiksi.

Koivunen ei hyväksy kiristäjän perusteluja toiminnalleen. Niiden mukaan Vastaamon tietoturva oli kehnolla tolalla, ja vastuu tapahtuneesta kuuluu kohteelle itselleen. Kiristäjän toimintaa hän kuvailee ”näätämäiseksi” ja suojattomiin ihmisiin kohdistuvaksi lyödyn lyömiseksi.

Yksilötasolla Koivunen kehottaa uhreja asennoitumaan siten, että kiristys on väärin ja laitonta, eikä kiristyksen aihe ei kerro huonoudesta ihmisenä.

– Tässä täytyisi pystypäin nousta pitämään puoliaan painostusta vastaan. Kaikki eivät kuitenkaan ole tilanteessa, jossa itsetunto olisi riittävän vahva.

Koska tiedot on julkaistu salatussa Tor-verkossa, tavallisilla ihmisillä ei ole mahdollisuuksia saada tietoja mitenkään pois.

” Poliisin työn tukeminen esimerkiksi rikosilmoitus tekemällä on ainoa oikea toimintatapa tässä vaiheessa.

– Poliisin työn tukeminen esimerkiksi rikosilmoitus tekemällä on ainoa oikea toimintatapa tässä vaiheessa.

Koivusen oma kanta lunnaiden maksamiseen on se, että rikollisen kanssa ei tulisi neuvotella, eikä häntä tulisi häikäilemättömistä toimista palkita.

Hän on hämmästynyt kiristäjän IS:lle esittämästä väitteestä, jonka mukaan useimpien uhrien palkkaamat incident responsea eli tietoturvaloukkauksiin reagointia tarjoavat tietoturvayhtiöt suosittelevat lunnaiden maksamista pienimmän vahingon ja julkisuusharmin tienä.

Koivunen pitää tämänkaltaisia neuvoja maineriskinä koko tietoturva-alalle. Hän huomauttaa, että F-Secure ei koskaan neuvo toimimaan näin, vaikka jotkut ulkomaiset yhtiöt näin tekevätkin.

– Itse en antaisi tällaista neuvoa lähteä antamaan. Lunnaiden maksaminen ruokkii rikollisuutta. Lisäksi lunnaiden piilottaminen kirjanpitoon on vaikeaa ja on nähty tapauksia, jossa lunnaat päätyvät pakotelistoilla oleville tahoille.

Koivunen muistuttaa, ettei ole mitään takeita siitä, että kiristäjä pitäisi sanansa tietojen julkaisematta jättämisestä maksun saatuaankin. Maailmalla on nähty viime aikoina kyberrikollisliigoja, joiden toimintatapoihin on kuulunut uhrin tietojen tuhoaminen ja jopa julkaisu, vaikka lunnaat olisikin maksettu.

– Etkä pysty millään saamaan varmuutta siitä, tuhosiko kiristäjä ainoan kopion datasta. Tämä kannustaa lypsämiseen.

IS esitti kiristäjälle kysymyksen siitä, että onko tilanteelle muita mahdollisia loppuja kuin lunnaiden maksaminen, kaikkien tietojen julkaiseminen ajan mittaan tai kiristäjän kiinni jääminen.

Kiristäjän mukaan muita lopputulemia ei ole. Koivunen näkee kaksi muutakin vaihtoehtoa.

– On vielä neuvotteluvaihtoehto, jossa kiristäjä saadaan ymmärtämään, että tämä on tyhjä kaivo, eikä lunnaita makseta.

” On vaihtoehto, että hän myy tietokannan eteenpäin toiselle rikolliselle samaan tapaan kuin pankit myyvät roskalainoja.

– Lisäksi on vaihtoehto, että hän myy tietokannan eteenpäin toiselle rikolliselle samaan tapaan kuin pankit myyvät roskalainoja.

Verkossa on keskusteltu kiivaasti, miksi Vastaamon asiakkaille on kerrottu murrosta vasta eilen ja tänään. Asia on ollut tiedossa syyskuusta lähtien.

Vastaamo sanoo toimineensa krp:n ohjeiden mukaisesti. Entisen Viestintäviraston entinen virkamies Koivunen kuitenkin huomauttaa, että asioita tulisi harkita rekisterissä olleiden näkökulmasta.

– Ei riitä, että Vastaamo miettii, miten iso kupru tässä heille tuli ja miten vaikeaa heidän on jatkaa toimintaansa tämän jälkeen. Jokaisen asiakkaan kohdalla tulisi miettiä, miten suuri haitta näiden tietojen vuotamisesta voi koitua.

” Jos alkuperäinen avuntarve eskaloituu, Vastaamolla on moraalinen velvollisuus tarjota asiakkailleen apua.

– Jos alkuperäinen avuntarve eskaloituu, Vastaamolla on moraalinen velvollisuus tarjota asiakkailleen apua. Kokonaan toinen juttu on, ottaako sitä vielä joku vastaan. Itse vaatisin, että muistiinpanoja ei istunnoista tehdä.

Koivunen muistuttaa, että poliisi turvaa oman tutkinnallisen hyvänsä. Asianomistajan – eli Vastaamon – tulisi olla tiukkana poliisin suuntaan ja kysyä jatkuvasti, voiko asiasta tiedottaa.

Koivunen muistuttaa, että vuotaneita tietoja voivat käyttää rikollisesti muutkin tahot kuin alkuperäinen kiristäjä. Tällä hetkellä niihin on vaikea päästä käsiksi, mutta ne mahdollistavat muun muassa muuttoilmoitukset, identiteettivarkaudet ja muut rötökset.

– Mutta tietojen hyödyntäminen vaatii rikollisen skeeman ja harvinaisen häijyn moraalisen vaurion.

Koivusen mukaan koko psykoterapia-alalla on peiliin katsomisen paikka. Miten voidaan varmistaa, että potilaskertomukset eivät päädy myöhemmin verkkoon vaikka vuosien viiveellä?

– On pirullinen homma toteuttaa järjestelmä, jossa voi säilyttää arkaluontoiset tiedot vuosien ajan ja joka täyttää saatavuus- sekä tietosuojavaatimukset.