Psykoterapiakeskus Vastaamon tietomurto on nostanut esille monia mielenkiintoisia kysymyksiä eikä KRP:n eilinen tiedotustilaisuus tuonut niihin vielä selvyyttä. Yritimme hakea vastauksia hämmästystä herättäneisiin, esille nostettuihin kysymyksiin.
1. Miksi kiristäjä odotti kaksi vuotta?
Julkisuudessa on pohdittu, miksi murtautuja on istunut tietojen päällä lähes kaksi vuotta. Nykytiedon mukaan murto tapahtui marraskuussa 2018 ja kiristys alkoi lokakuussa 2020.
Yhden teorian mukaan murtautuja ei ole tiennyt, millaisen aineiston päällä hän istuu. Tätä teoriaa murtautuja itse on yrittänyt pitää yllä lähettämissään viesteissä.
F-Securen tutkimusjohtaja Mikko Hyppösen mukaan on toinenkin mahdollisuus. Kiristäjä tiesi heti, mitä sai käsiinsä, mutta päätti odottaa pienentääkseen oman kiinnijäämisensä riskiä.
– Kiristäjä on oivaltanut, että data on arvokasta vielä parin vuodenkin päästä. Harvojen yritysten järjestelmien tapahtumalokit yltävät kuitenkaan niin pitkän ajan taakse, mikä tekee murron selvittelystä paljon vaikeampaa.
F-Securen tutkimusjohtaja Mikko Hyppönen arvioi IS:lle tietomurtoon liittyviä kysymyksiä.
2. Miksi vaaditut summat ovat näinkin pieniä?
Monet ovat pitäneet Vastaamolta vaadittuja noin 450 000 euron lunnaita ja yksityishenkilöiltä vaadittuja 200 euroa pienenä summana. Hyppönen ei pidä Vastaamolle esitettyä lähes puolen miljoonan vaatimusta pienenä.
– Se ei ole kohtuullinen pyyntö, mikä näkyy siinä ettei Vastaamo maksanut. Vaikka firmalla on paljon liikevaihtoa, se ei ole sama kuin liikevoitto.
Kiristäjä olisi voinut toimia myös toisin. Hän olisi voinut etsiä tietokannasta esimerkiksi yritysjohtajia ja kiristää näitä.
Yksityishenkilöille lähetetyt kohtuulliset lunnasvaatimukset selittyvät Hyppösen mukaan sillä, että kiristäjä tajusi tehneensä virheen, ja hänelle tuli kiire saada aineistosta edes jotain rahaa. Vastaamon asiakastietokanta oli kiristäjän Tor-verkon sivulla vähän aikaa perjantaiaamuna, ja ilmeisesti ainakin muutama ihminen ehti ladata sen kokonaan tai osittain.
Ei ole tiedossa, kuinka suuri osa potilastiedoista on muiden kuin alkuperäisen kiristäjän hallussa. Alun perin murron tehneen tahon uskotaan saaneen noin 40 000 ihmisen tiedot.
Hyppönen uskoo, että ”kourallinen” ihmisiä on saanut tietoja käsiinsä. Ainakin yksi verkkokäyttäjä on julkaissut ihmisten tietoja muiden keskustelupalstan käyttäjien pyynnöstä.
Nämä ihmiset ovat olleet suurimmilta osin sellaisia, jotka eivät ole kuuluneet kiristäjän 3 päivän aikana julkaisemiin 300 henkilöön.
– Kysymys kuuluu: Jos tiedoston ehti ladata vaikka kymmenen ihmistä, kuinka moni näistä kymmenestä on niin mielipuolia ja tunteiltaan kylmiä, että olisivat valmiita vuotamaan sen kokonaan nettiin tai alkamaan itse kiristää sillä, Hyppönen kysyy.
– Aika pieni todennäköisyys on, että tuosta joukosta löytyisi samanlaisia mielipuolia kuin alkuperäinen kiristäjä itse.
Hyppönen toivoo, ettei osittain tai kokonaan vuotanut tietokanta päätyisi kiristysvälineeksi uudelle ihmiselle tai alkaisi kiertää käyttäjältä toiselle.
– Tämä on se todennäköisin uhka ennemmin tai myöhemmin. Se lähtee kiertämään.
3. Kuka tai mikä taho teon taustalla on?
Vastaamon murrosta liikkuu verkkoväitteitä, joiden mukaan kyseessä olisi ollut inside job, sisäpiiriläisen tekemä tietovarkaus.
Tietoturva-asiantuntijat eivät pidä tätä todennäköisenä.
Ulkopoliittisen instituutin johtaja Mika Aaltola puolestaan nosti sosiaalisessa mediassa sunnuntaina esille ajatuksen siitä, että laajalla tietomurrolla ja uhrien kiristämisellä on myös potentiaalinen poliittinen ulottuvuus.
– Tarkkana on syytä olla myös valtiollisesta näkökulmasta, Aaltola kirjoitti viitaten hybridivaikuttamiseen.
Euroopan hybridiuhkien torjunnan osaamiskeskuksen johtaja Teija Tiilikainen arvioi IS:lle, että nykytiedon valossa kyse tuskin on hybridivaikuttamisesta.
– Niiden tietojen valossa, mitä asiasta on ja jotka koko ajan täydentyvät, on rahan tavoittelu ja taloudellinen motiivi mitä ilmeisimmin tarkoitusperänä, Tiilikainen toteaa.
