Tekijä on yhä vapaalla jalalla. Sekä poliisi että asiantuntija uskovat hänen jäävän kiinni.

Psykoterapiakeskus Vastaamoon kohdistuneen tietomurron ja kiristyksen paljastumisesta ja kiristyksen alkamisesta tulee kuluneeksi vuosi tänään torstaina 21.10.

Vastaamoon kohdistui kaksi tietomurtoa, ensimmäinen loppuvuodesta 2018 ja toinen maaliskuussa 2019. Jomman kumman murron yhteydessä varastettiin Vastaamon asiakastietokanta, jossa on nykytiedon mukaan 31 980 henkilötietoa. Todellinen asiakasluku on hieman pienempi, sillä tietokannassa on jonkin verran päällekkäisyyksiä ja testikäyttäjiä.

Itseään Ransom_maniksi kutsunut kiristäjä vaati sähköpostitse syyskuussa 2020 Vastaamolta 40 bitcoinin lunnaita. Vaatimuksen arvo oli kiristyshetkellä noin 450 000 euroa. Asiasta tutkinnan aloittanut keskusrikospoliisi määräsi Vastaamon henkilökunnalle ilmaisukiellon. Se on poliisin tutkinnallisista syistä asettama vaikenemismääräys.

Kolme päivää murron paljastumisen jälkeen Ransom_man alkoi kiristää Vastaamon asiakkaita henkilökohtaisesti.

Vastaamon asiakkaille ei tiedotettu asiasta ennen kuin uutisointi alkoi kiristäjän tehtyä lunnasvaatimuksensa julkiseksi ja alettua julkaista potilastietoja 100 kappaleen päivävauhtia keskiviikkona 21. lokakuuta.

Perjantaina 23.10. Vastaamon koko tietokanta ilmestyi kiristäjän darknet-verkkosivuille muutamaksi tunniksi. Monet käyttäjät ehtivät ladata tiedot osittain tai kokonaan. Seuraavana päivänä kiristäjä lähetti Vastaamon asiakkaille henkilökohtaisia kiristysviestejä sähköpostitse.

Rikosilmoituksia on tehty yli 250­000, mikä tekee Vastaamosta Suomen historian suurimman rikosvyyhdin.

Kaikki uhrit eivät ole tehneet rikosilmoitusta. Poliisi ei saa tavoitella rikoksen uhreja, sillä korkein oikeus on estänyt poliisia käyttämästä Vastaamon asiakastietoja tutkinnassa. Samasta syystä poliisi ei voi todentaa kaikkien rikosilmoitusten tehneiden olevan Vastaamon asiakkaita.

Tutkinnanjohtaja, KRP:n rikoskomisario Marko Leponen sanoo tutkintaa tehtävän yhä kovalla intensiteetillä.

– Vuosi on painettu tosi kovaa töitä, ja olemme tekijöiden perässä. Eteen tulee edelleen uusia johtolankoja ja selvitettäviä seikkoja, Leponen sanoo.

Rikosvyyhdin päähaaran eli tietomurron ja kiristyksen lisäksi tapauksessa on sivuhaaroja. Vastaamon työntekijöitä epäillään tietosuojarikoksesta. Esitutkinnan on määrä valmistua vielä tänä vuonna.

Lisäksi Vastaamon osake-enemmistön toimitusjohtaja Ville Tapiolta ja tämän vanhemmilta kesällä 2020 ostanut pääomasijoitusyhtiö Intera Partners on vaatinut arvonsa menettäneen ja sittemmin konkurssiin asetetun Vastaamon kaupan purkua. Asia ratkaistaan myöhemmin ei-julkisessa välimiesoikeudenkäynnissä.

Kiristäjä viestitteli salatulla Torilauta-nettifoorumilla, missä kirjoittajilta testattiin suomen kielen taito ennen lupaa julkaista.

Rikoksia on useampia. Onko kaikkien takana sama taho?

Vastaamoon kohdistui kaksi tietomurtoa, joita tutkitaan törkeinä tietomurtoina. Myös kiristyksiä oli kaksi: ensin Vastaamoon ja sen jälkeen sen kymmeniin tuhansiin asiakkaisiin kohdistunut henkilökohtainen kiristys, jotka ovat tutkinnassa törkeinä kiristyksinä. Lisäksi asiakasrekisteri julkaistiin internetissä tammikuussa 2021. Tämä on tutkinnan näkökulmasta yksityiselämää loukkaava tiedon levittäminen.

Poliisi sanoo pitävänsä kaikki tutkintalinjat auki. Marko Leposen mukaan tahoja voi olla yhdestä kolmeen.

Tutkintaa avustanut tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen uskoo, että vuoden 2018 murron takana on eri tekijä. Sen sijaan toinen murto, kiristykset ja tietojen julkaiseminen verkossa ovat hänen uskomuksensa mukaan saman tahon tekemiä.

Poliisi pitää kaikki tutkintalinjat auki: tahoja voi olla yhdestä kolmeen.

Millaisia jälkiä murtautuja jätti?

Poliisilla on tutkinta-aineistoa noin petatavun verran, mikä vastaa useita miljoonia sivuja tekstiä.

Tutkinta-aineistossa on muun muassa kiristäjältä julki lipsahtaneessa paketissa olleita tiedostoja, hakemistoja, käyttölokeja, salasanoja ja ohjelmakoodia, jota hän käytti varastamiaan tietoja järjestellessä. Paketti saattaa paljastaa myös kiristäjän käyttämän Tor-palvelimen.

Lisäksi tutkinta-aineistoon kuuluu verkkosivujen kävijätietoja sekä mahdollisesti hänen käyttämiensä palvelin- ja sähköpostipalvelujen luovuttamia tietoja.

Poliisi on hankkinut aineistoa tietopyynnöin ja takavarikoin. Tutkinnan alkuvaiheessa tehtiin Suomessa kaksi kotietsintää, mutta ne eivät johtaneet pidätyksiin.

Ainakin 33 Vastaamon asiakasta maksoi henkilökohtaiset lunnaat kiristäjälle. Bitcoin-rahasiirtoja on mahdollista seurata, mutta jäljet päättyivät bitcoinit dollareiksi vaihtaneeseen OTC-palveluun, Mikko Hyppönen kertoo.

Kiristäjä vaati sähköpostitse syyskuussa 2020 Vastaamolta 40 bitcoinin lunnaita. Myöhemmin Vastaamon asiakkaat saavat henkilökohtaisia kiristysviestejä.

Miksi tietovarkaudesta ei kerrottu Vastaamon asiakkaille heti?

Poliisi määräsi Vastaamon henkilökunnalle ilmaisukiellon tutkinnan alkuvaiheen turvaamiseksi. Tämä määrää heitä olemaan kertomatta eteenpäin asioita, jotka ovat tulleet heidän tietoonsa esitutkinnan aikana.

Poliisi ei arvioi, saavutettiinko ilmaisukiellolla sille saavutetut tavoitteet.

Euroopan tietosuoja-asetukseen eli GDPR:ään kuuluu tiukka ilmoitusvelvollisuus henkilörekisteriloukkauksesta henkilörekisterissä oleville ihmisille.

Poliisilla on kuitenkin mahdollisuus kiertää tätä ilmoitusvelvollisuutta. Näin toimittiin Vastaamo-tapauksessa esitutkinnan turvaamiseksi.

– Mitä tulee GDPR:n mukaiseen ilmoittamiseen: Esitutkinnallisista syistä tiettyjä toimenpiteitä tai ilmoituksia tutkinnan alussa on jouduttu hetkellisesti viivyttämään, esitutkinnan turvaamisen näkökulmasta. Näillä toimin on pyritty keskeyttämään vielä meneillään oleva rikos sekä hankkimaan tarvittavaa todistusaineistoa rikoksen selvittämiseksi, Leponen toteaa.

Mitä kiristäjästä tiedetään?

Ransom_man teki useita virheitä, joista pahin oli potilastietokannan lisäksi hänen tietokoneellaan olleita tiedostoja sisältäneen datapaketin julkaiseminen.

Kiristäjä viesti varsin ahkerasti sittemmin lakkautetulla Tor-verkossa toimineella salatulla Torilauta-foorumilla. Siellä hänen toimintansa vaikutti ajoittain varsin holtittomalta ja suunnittelemattomalta.

Vaikka kiristäjä viesti systemaattisesti englanniksi, Torilaudalla oli käytössä suomen kielen osaamista testaava kysely, joka oli läpäistävä ennen kirjoittamaan pääsemistä.

Kiristäjä viesti ahkerasti sittemmin lakkautetulla Tor-verkossa toimineella salatulla Torilauta-foorumilla.

Kuinka lähellä kiristäjän kiinnijäämistä ollaan?

Tutkinnanjohtaja rikoskomisario Marko Leposen mukaan tutkinnassa on tapahtunut merkittävää edistymistä.

Internet-tutkinta on kuitenkin luonteeltaan sellaista, että johtolankojen ketjun pituutta ei tiedetä.

– Alkupisteestä ollaan tultu kauas, mutta verkossa ei näe seuraavan kulman taakse. Siksi on vaikea sanoa, kuinka lähellä tekijää ollaan, Leponen sanoo.

Mikko Hyppönen uskoo kiristäjän jäävän kiinni tekemiensä virheiden ja todistusaineiston suuren määrän vuoksi. Jättimäinen aineisto tekee vain tutkinnasta hidasta.