Tämä Vastaamo-kiristyksestä tiedetään nyt – 9 avointa kysymystä - Tietoturva - Ilta-Sanomat

Tämä Vastaamo-kiristyksestä tiedetään nyt – 9 avointa kysymystä

Vastaamo-episodi alkoi syksyllä 2018. Kiristyksen jatkumisesta ei ole tietoa.

23.10. 17:16

Verkkokiristäjä on varastanut Psykoterapiakeskus Vastaamo -ketjun potilasrekisterin ja on kiristänyt sillä Vastaamoa. IS kertoo aikajärjestyksessä, miten tapahtumat ovat edenneet nykytiedon valossa ja esittää suurimmat avoimet kysymykset.

Marraskuu 2018: Tietomurto

Verkkorikollinen murtautuu Psykoterapiakeskus Vastaamon järjestelmiin. Vastaamon koko potilastietokanta varastetaan.

Kiristäjän sanojen mukaan murto tapahtuu automatisoidusti ohjelmistorobotilla heikkotasoisen tietoturvan ohi. Väitettä ei voi vahvistaa riippumattomista tahoista. Murron ajankohta on on hyvin suurella todennäköisyydellä marraskuun 2018 loppupuoli.

Potilasrekisteritietokantoihin liittyy muita henkilötietokantoja suurempia vastuita.

Kysymys 1: Oliko Vastaamon tietoturva luvattoman heikolla tasolla?

Syyskuu 2020: Lunnasvaatimus

Kiristäjä oivaltaa, että hänellä tai ryhmällä on hallussaan potilasrekisteri. Rikollinen ottaa yhteyttä Vastaamoon ja esittää lunnasvaatimuksen.

Kysymys 2: Miten kiristäjä tajusi istuvansa potilasrekisterin päällä lähes 2 vuoden viiveellä?

Vastaamo tekee rikosilmoituksen sekä ilmoittaa asiasta Kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle. KRP aloittaa rikostutkinnan.

Syys–lokakuu 2020: Kello käy

Kiristäjä sanoo uusineensa lunnasvaatimukset ja lykänneensä maksun deadlinea. Kiristäjä väittää myöhemmin, että Vastaamo vaikenee ja ei yritä neuvotella tosissaan.

Kysymys 3: Odotettiinko kiristäjän seuraavaa siirtoa eli tietojen julkaisemista tietoisella päätöksellä?

Keskiviikko 21.10.

Kiristäjä julkaisee salattuun Tor-verkkoon perustamallaan nettisivulla 100 Vastaamon asiakkaan tiedot kello 4.52 aamulla. Ne sisältävät henkilötiedot ja terapiaistuntojen sisällön. Kiristäjä sanoo myöhemmin nimien olevan satunnaisesti valittuja.

Kiristäjä julkaisee lisää tietoja Ylilauta-keskustelufoorumilla sekä tarjoaa linkin Tor-sivuilleen, jossa hän julkistaa tietoja itse. Ylilaudan keskusteluketju poistetaan, mutta linkkiä jaellaan edelleen Tor-verkon Torilauta-keskustelupalstalla sekä mitä todennäköisimmin myös pikaviestimissä ja sähköpostitse.

Ilta-Sanomat saa aamulla uutisvihjeen. IS:n otettua yhteyttä Vastaamoon ketju julkaisee tiedotteen tietomurrosta.

Kiristäjä ottaa yhteyttä Ilta-Sanomiin tavoitteenaan saada julkisuutta kiristykselleen saatuaan tiedot mahdollisesti Ylilaudalta. IS ei anna kiristäjälle ääntä, ja julkaisee tämän sanomisia hyvin rajoitetusti ja harkiten. Kiristäjän mukaa hänellä on 40 000 asiakkaan tiedot, ja hän haluaa niiden julkaisematta jättämisestä 40 bitcoinia eli noin 450 000 euroa.

Kiristäjä käyttää viestintään anonyymiä Tutanota-sähköpostiosoitetta ja kirjoittaa erittäin hyvää englantia. Viestinnässään kiristäjä välttelee omaa moraalista vastuutaan ja vierittää pääsyyn Vastaamolle.

Kiristäjä sanoo edustamansa ryhmän murtautuneen myös neljään muuhun organisaatioon, joista yksikään ei ole suomalainen. Väitteen mukaan nämä ovat maksaneet vastaavankokoiset tai suuremmat lunnaat. Muut eivät ole terapia-alan toimijoita, mutta myös niistä on satu sensitiivisiä henkilötietoja yrityssalaisuuksien ohella.

Kysymys 4: Kuinka yleistä lunnaiden maksaminen on verkkokiristystapauksissa?

IS tekee kiristäjälle selväksi, että tämän julkaisemissa tiedoissa on mukana alaikäisiä. Kiristäjä sanoo, ettei tällä ole vaikutusta suunnitelmiin.

Vastaamoa aletaan kritisoida siitä, miksi se ei ole tiedottanut asiakkailleen tietomurrosta heti. Vastaamon mukaan hiljaisuus on johtunut KRP:n käskystä.

Poliisin toimia ja niiden gdpr:n mukaisesti arvioidaan kriittisesti verkossa. Tietosuoja-asetuksessa on kuitenkin kohta, joka antaa viivyttää tiedon julkaisua tutkinnallisista syistä. Poliisi ei kommentoi muuten kuin sanomalla tutkivansa törkeää tietomurtoa.

Moni Vastaamon asiakas kuulee tietomurrosta mediassa. F-Securen tietoturvajohtaja Erka Koivunen huomauttaa, että poliisi ajaa omia tutkinnallisia etujaan aktiivisesti, ja poliisin käskyjä olla julkaisematta tietoja pitäisi kyseenalaistaa aktiivisesti ja koko ajan.

Kysymys 5: Oliko terapia-asiakkaiden ja poliisitukinnan etu koko ajan tasapainossa?

Ihmiset kyselevät verkon keskustelupalstoilla, miten tiedot löytää ja miten niihin pääsee käsiksi.

Torstai 22.10.

Kiristäjä julkaisee yöllä verkkosivullaan 100 uuden potilaan tiedot. Julkaistujen potilastietoprofiilien kokonaismäärä on nyt noin 200.

Palveluntarjoaja poistaa Tutanota-osoitteen, joten kiristäjä siirtyy Protonmail- ja Cock.li-sähköposteihin. Kiristäjä on viestinnässään hyvin itsevarma ja antaa ymmärtää, ettei voi jäädä kiinni.

Torilauta-keskustelufoorumilla yksittäiset käyttäjät pyytävät mahdollisuutta maksaa saadakseen tietonsa rekisteristä pois. Kiristäjä suostuu, ja laittaa hinnaksi 0,05 bitcoinia eli noin 540 euroa. Ei ole tiedossa, kuinka moni tarttuu tarjoukseen.

Kiristäjä sanoo harkitsevansa suoraa yhteydenottoa terapia-asiakkaisiin sähköpostitse tai puhelimitse asettaakseen painetta Vastaamolle sekä maalittavansa Vastaamon johdon. IS tekee viestinvaihdossa selväksi, että kiristäjä olisi vastuussa mahdollisista itsemurhista. Kiristäjä uskoo väistävänsä juridisen vastuun eikä pidä moraalista vastuuta ongelmana.

Perjantai 23.10.

Kiristäjä julkaisee verkkosivullaan 100 uuden potilaan tiedot. Julkaistujen potilastietoprofiilien kokonaismäärä on nyt noin 300.

Kiristäjä julkaisee anonyymissä nettikeskustelussa myös tärkeissä asemissa olevien ihmisten nimiä, muttei näiden tarkempia tietoja. Kysymys on ensimmäisestä kerrasta, kun kiristäjä vaikuttaa käyttävänsä varastamiaan tietoja selektiivisesti.

Tor-verkossa olevalle kiristäjän verkkosivulle ladataan aamulla noin 10 gigatavun suuruinen tiedosto, jonka uskotaan olevan Vastaamon asiakastietokanta kokonaisuudessaan. Väitettä ei voi vahvistaa.

Kysymys 6: Mitä kiristäjän lataama tiedosto sisälsi?

Hetkeä tiedoston julkaisemisen jälkeen noin kello 9 aikoihin kiristäjän verkkosivu poistuu Tor-verkoista. Sen häviämisen syitä saattaa olla kiristäjän päätös ottaa se alas tai tekninen häiriö.

Sivu palasi verkkoon iltapäivällä noin kello 15.30.

Kysymys 7: Miksi kiristäjän verkkosivu katosi?

Verkosta löytyy bitcoin-lompakko, jonka rahaliikenne vastaa kiristäjän vaatimuksia. Lompakkoon on siirretty perjantaiaamuna vaaditun lunnassumman verran rahaa, ja se siirretään sieltä pian myös pois.

Lompakon omistajaa tai rahan maksajaa ei voi varmistaa.

Kysymys 8: Saiko kiristäjä rahansa ja nauraa matkalla pankkiin?

F-Securen tutkimusjohtaja Mikko Hyppönen uskoo kiristäjän olevan ulkomaalainen ryhmä. Tämän kiinnijääminen riippuu siitä, onko hän tehnyt virheitä. Anonyymien sähköpostipalveluiden ja Tor-verkon turvallisuutta on hyvin vaikea murtaa, mutta parhaatkin rikolliset saattavat tehdä virheitä.

Kysymys 9: Jääkö kiristäjä kiinni?

Osion tuoreimmat

Luitko jo nämä?