- Ympäri Suomea toimiva Psykoterapiakeskus Vastaamo on joutunut tietomurron ja kiristyksen uhriksi. Tuntematon kiristäjä on julkaissut verkossa Vastaamon asiakkaiden arkaluontoisia tietoja. tiedotti keskiviikkona joutuneensa tietomurron ja kiristyksen uhriksi.
- Tuntematon kiristäjä on julkaissut verkossa Vastaamon asiakkaiden arkaluontoisia tietoja ja uhannut julkaista 100 potilastietoa päivässä, jos hänen lunnasvaatimuksiinsa ei suostuta.
- Keskusrikospoliisi, Kyberturvallisuuskeskus ja Valvira tutkivat asiaa. Kyberturvallisuuskeskus kuvailee tietomurtoa poikkeukselliseksi.
- Toimi näin, jos epäilet joutuneesi tietomurron uhriksi.
Yle seurasi tässä artikkelissa Vastaamon tietomurtoa perjantaina 23.10. Uudemman seurannan löydät tästä jutusta.
23.10. klo 20.40 Vastaamon tapaus tuo taas esiin tietosuojan tärkeyden
Psykoterapiakeskus Vastaamon tietomurto ja sitä seurannut kiristys täyttää kirkkaasti rikoksen tunnusmerkit. Keskusrikospoliisin tehtävänä on löytää tekijä tai tekijät, joiden uhreina ovat potilastietoja hallinnoinut yritys – ja viime kädessä sen asiakkaat.
Toinen selvitys, joka lienee jo tavalla tai toisella käynnistynyt, liittyy tietosuojalainsäädäntöön. Tässä tutkinnassa Vastaamo on tietojen kerääjänä selvityksen kohde.
Tätä prosessia kannattaa seurata kaikkien, jotka käsittelevät henkilötietoja työssään tai vapaa-ajallaan. Tietosuojakysymyksiä eivät voi välttää enää urheiluseuratkaan.
Lue analyysi Vastaamon tilanteesta ja tietosuojakysymyksistä tästä jutusta.
23.10. klo 16.41 Nyt puhuvat Vastaamon tietovuodon uhri ja omainen
Maija sai keskiviikkona lukea Ylen uutisista, että hakkerit ovat varastaneen psykoterapiakeskus Vastaamon potilaiden arkaluontoisia tietoja.
Siitä lähtien hän on elänyt pelossa.
Ovatko terapiakertomukseni jossain ihmisten nähtävillä? Onko henkilötietoni jo myyty jonnekin? Perustaako joku nyt minun nimissäni yrityksen tai ottaa pikavipin?
Nuori aikuinen ei ole tilanteessa yksin. Hänen äitinsä Liisa on auttanut luotto-, rekisteröinti- ja osoitteenmuutoskieltojen kanssa.
23.10. klo 16.34 Vastaamon kiristäjä julkaisi yöllä lisää potilastietoja
Psykoterapiakeskus Vastaamon kiristäjä julkaisi yöllä lisää potilastietoja, mutta aamulla linkki tietoihin lakkasi toimimasta. Syytä linkin toimimattomuuteen ei ole tiedossa, mutta kolmen jälkeen iltapäivällä sivu toimi taas.
Kiristäjä julkaisi yöllä myös uuden, noin 10 gigan kokoisen tiedoston, jonka sisältö ei ole tiedossa. Kun sivusto iltapäivällä oli taas toiminnassa kyseinen tiedosto ei ensin ollut listalla mutta ilmestyi sinne pian takaisin.
Yle on on itse varmistanut tiedot sivuston ja sen sisällön palautumisesta.
Tor-verkossa on nyt julki varmistetusti hieman yli 300 ihmisen henkilötiedot, joista valtaosaan liittyy erittäin arkaluontoisia terveystietoja.
23.10. klo 16.19 Vastaamo tuottanut myös Kelan tukemaa kuntoutusta
Psykoterapiakeskus Vastaamo on Kelan palveluntuottaja, joka on toteuttanut Kelan tukemaa kuntoutuspsykoterapiaa ja vaativaa lääkinnällistä kuntoutusta.
Kela on pyytänyt Vastaamolta selvitystä siitä, onko Kelan asiakkaiden tietoja vuotanut tietomurron yhteydessä.
– On vakavaa, että henkilötietoja on voinut päätyä palveluntuottajaltamme ulkopuolisen käsiin, sanoo Kelan kuntoutuksen etuuspäällikkö Tuula Ahlgren.
Vaativaa lääkinnällistä kuntoutusta on saanut Vastaamossa 119 Kelan asiakasta. Vastaamossa kuntoutuspsykoterapiaa saaneiden asiakkaiden määrää selvitetään Kelassa parhaillaan. Kela on ollut tapauksesta yhteydessä myös Tietosuojavaltuutetun toimistoon.
23.10. klo 16.03: Monia potilastietojärjestelmiä valvotaan vain poikkeustapauksissa
Suomessa on 260 sosiaali- ja terveydenhuollon potilastietojärjestelmää, joiden tietoturvallisuutta viranomaiset valvovat lähinnä poikkeustapauksissa.
Tällainen järjestelmä on muun muassa psykoterapiapalveluja tarjoavalla Vastaamolla, jonka potilastietoja anastettiin. Järjestelmä on Vastaamon itsensä kehittämä.
Tavallisesti tietoturvallisuudesta vastaa järjestelmän valmistaja, ja Valvira puuttuu asiaan vain, jos valmistajat ilmoittavat poikkeamista tai ongelmista.
– Järjestelmän valmistajilla, samoin kuin järjestelmän käyttäjillä, on lakisääteinen velvollisuus ilmoittaa meille, jos niiden järjestelmien toiminnassa tai käytössä ilmenee poikkeamia toimivuudessa tai tietoturvassa, Valviran terveydenhuollon valvontaosaston yli-insinööri Antti Härkönen kertoo.
Tiukempi seula on järjestelmillä, jotka liitetään valtakunnalliseen terveystietojen Kanta-palveluun. Niiden osalta rekisteröinnin edellytyksenä on Kelan tekemä Kanta-yhteistestaus, minkä lisäksi niille tehdään tietoturva-arviointi.
B-luokan tietojärjestelmien, eli esimerkiksi Vastaamon järjestelmän, kohdalla kelpoisuusehtoja ei ole. Ne ilmoitetaan Valviraan ja rekisteröidään, minkä jälkeen järjestelmät ovat ilmoittautuneet viranomaisvalvonnan piiriin.
23.10. klo 15.54 Kiristäjän nettisivu palasi Tor-verkkoon
Aamulla verkosta kadonneet laittomasti julkaistut potilastiedot palasivat verkkoon kolmen aikaan perjantaina. Tiedostolistalta puuttuu kuitenkin kiristäjän lataama .tar-tiedosto, jonka koko oli noin 10 gigaa. Tietoa sivun poistumisen ja sen palautumisen syystä ei ole.
23.10. klo 15.29 10 sairaanhoitopiiriä kertoo, ettei ole osallisena tietomurrossa
Länsi-Pohjan, Pohjois-Karjalan, Kainuun, Keski-Pohjanmaan, Vaasan, Päijät-Hämeen, Etelä-Savon, Satakunnan ja Keski-Suomen sairaanhoitopiireistä kerrotaan, ettei niillä ole ollut sopimuksia Vastaamon kanssa aikana, jota tietomurto koskee.
Aiemmin Pohjois-Pohjanmaan sairaanhoitopiirin Oulun yliopistollinen sairaala on kertonut, että tietomurto ei koske myöskään sen asiakkaita.
Vastaamon mukaan marraskuun 2018 jälkeen kirjatut asiakastiedot eivät ole vaarantuneet.
23.10. klo 15.12: Myös HUSin asiakkaiden tietoja voinut vuotaa
Myös Helsingin ja Uudenmaan sairaanhoitopiiri (HUS) on ohjannut potilaitaan Vastaamon psykoterapiapalveluihin. Kyse on ostopalveluista.
Psykiatrian linjajohtaja Jan-Henry Stenberg sanoo STT:lle, että kilpailutettuja psykoterapeutteja, joille potilaita HUSista ohjataan jatkohoitoon, on useampi sata. Näistä osa toimii Vastaamossa.
Stenberg sanoo, että tarkkaa lukua potilaiden määrästä ei anneta, koska selvittely ja asiaa koskeva rikostutkinta on kesken.
– HUS on ohjannut potilaita jatkohoitoon myös Vastaamoon, mutta Vastaamoon ohjattujen potilaiden määrä on melko pieni suhteessa kaikkiin psykoterapiaan ohjattuihin, Stenberg sanoo.
HUS on alkanut selvittää, onko sen ohjaamien potilaiden tietoja vuotanut.
– HUS on pyytänyt Vastaamolta yksilöityä tietoa siitä, onko HUSin sinne lähettämien potilaiden osalta sellaisia, joiden tietoja on vuodettu. Tarkempaa tietoa ei ole vielä saatu.
Aiemmin sairaanhoitopiirit ovat kertoneet, että tietomurron uhriksi on voinut joutua Tampereen yliopistollisen sairaalan, Turun yliopistollisen keskussairaalan ja Kanta-Hämeen keskussairaalan potilaita, jotka ovat saaneet psykoterapiaa Vastaamosta ostopalveluna.
23.10. klo 14.00 Apulaistietosuojavaltuutettu: Vastaamon ilmoitettava asiakkailleen tietomurrosta henkilökohtaisesti
Apulaistietosuojavaltuutettu on määrännyt Psykoterapiakeskus Vastaamon ilmoittamaan asiakkailleen henkilökohtaisesti, jos heidän tietojaan on tietomurron yhteydessä vuotanut.
Pelkkä ilmoitus Vastaamon verkkosivuilla ei riitä, Tietosuojavaltuutetun toimiston lähettämässä tiedotteessa kerrotaan.
Apulaistietosuojavaltuutetun mukaan tietomurron uhriksi joutuneen kannattaa tehdä asiasta rikosilmoitus.
Katso tästä tietosuojavaltuutetun toimiston ohjeet: Näin toimit, jos joudut tietoturvaloukkauksen kohteeksi.
Mitä tietomurrosta tähän mennessä tiedetään?
Psykoterapiakeskus Vastaamon asiakkaiden tietoja on tietomurrossa päätynyt rikollisiin käsiin.
Tuntematon kiristäjä on julkaissut arkaluontoisia potilastietoja internetin tor-verkossa. Kiristäjä on perjantaihin mennessä ehtinyt julkaista noin 300 ihmisen potilastietoja, jotka sisälsivät henkilötietoja ja erittäin arkaluontoisia terveystietoja.
Kiristäjä on Tor-verkossa antanut ymmärtää, että hänen hallussaan olisi 40 000 ihmisen tiedot. Vastaamo ei ole vahvistanut, kuinka monen ihmisen tietoja on vuotanut.
Julkaisemissaan viesteissä kiristäjä on vaatinut Vastaamolta 40 virtuaalivaluutta bitcoinin lunnaita, mikä vastaa noin 450 000 euroa.
Kiristäjä on uhannut julkaista sata potilastietoa päivässä, jos vaatimuksiin ei suostuta. Viimeisten tietojen julkaisun jälkeen hänen sivustonsa lakkasi toimimasta perjantaiaamuna.
Keskusrikospoliisi tutkii tapausta törkeänä tietomurtona ja törkeänä yksityiselämää loukkaavan tiedon levittämisenä.
Keiden tietoja on vuotanut?
Vastaamo on tuottanut psykoterapiapalveluita ostopalveluna usean sairaanhoitopiirin alueella. Vastaamon asiakkaaksi voi hakeutua myös suoraan ilman maksusitoumusta.
Vastaamo on kertonut, että tietomurto ei tämänhetkisten tietojen mukaan koske marraskuun 2018 jälkeen kirjattuja tietoja.
Perjantai-iltapäivään mennessä neljä sairaanhoitopiiriä on tiedottanut, että osa niiden asiakastiedoista on mahdollisesti tietomurron kohteena. Yksitoista sairaanhoitopiiriä on ilmoittanut, että niillä ei ole ollut sopimusta Vastaamon kanssa aikana, jolta tietoja on vuotanut.
Näiden sairaanhoitopiirien asiakastietoja on voinut vuotaa:
- Pirkanmaan sairaanhoitopiiri
- Varsinais-Suomen sairaanhoitopiiri
- Kanta-Hämeen sairaanhoitopiiri
- Helsingin ja Uudenmaan sairaanhoitopiiri
Näiden sairaanhoitopiirien asiakastiedot eivät olleet osana tietomurtoa:
- Pohjois-Pohjanmaan sairaanhoitopiiri
- Länsi-Pohjan sairaanhoitopiiri
- Pohjois-Karjalan sairaanhoitopiiri
- Kainuun sairaanhoitopiiri
- Keski-Pohjanmaan sairaanhoitopiiri
- Vaasan sairaanhoitopiiri
- Päijät-Hämeen sairaanhoitopiiri
- Etelä-Savon sairaanhoitopiiri
- Satakunnan sairaanhoitopiiri
- Keski-Suomen sairaanhoitopiiri
- Pohjois-Savon sairaanhoitopiiri
Lue myös: