Kysyimme teiltä mieltä askarruttavia kysymyksiä Psykoterapiakeskus Vastaamoon tehtyyn tietomurtoon liittyen Yle Uutisten Instagram-tilillä. Kysymyksiä tuli runsaasti.
Koostimme tähän juttuun kysymyksiä ja vastauksia tietomurron tämän hetkisistä tiedoista. Tiedot ovat peräisin jo julkaistuista artikkeleista ja haastatteluista. Lisäksi juttua varten on kysytty tietoja Kyberturvallisuuskeskuksesta, Psykologiliitosta sekä julkisoikeudenprofessorilta.
Takaisin Pasilaan -podcastissa haastatellaan hakkeri Laura Kankaalaa. Kankaala kertoo, miten verkko on paljon turvallisempi paikka säilyttää dataa, kuin vaikka kassakaappi huoneen perällä. Jaksossa kuullaan myös muusikko Iisaa, joka on yksi Vastaamon tietovuotomurron uhreista.
Tilanne nyt
Mistä tietää, ovatko omat tiedot netissä?
– Ei sitä voi tarkistaa oikein mistään. Tor-verkon kaiveluun en kyllä kehota ketään, sanoo julkisoikeuden professori Tomi Voutilainen.
Voutilaisen mukaan Vastaamon lokitiedoista pitäisi kuitenkin selvitä, onko omat tiedot napattu tietomurron yhteydessä. Vastaamolla tulisi siis olla tieto, kenen tiedot ovat päätyneet vääriin käsiin. Pitäisikö Vastaamon siis antaa tieto siitä, onko omat tiedot vuodettu?
– Kyllä se pitäisi tässä tilanteessa antaa. Sosiaali- ja terveydenhuollon asiakkaalla on oikeus tarkastaa lokitiedot. Se on erityinen oikeus, joka on säädetty laissa. En tiedä, minkälainen lokitus järjestelmissä on ollut, että onko tieto saatavissa. Sen yksin Vastaamo tietää.
Onko tekijä saatu kiinni?
Tämän hetken tietojen mukaan ei. Keskusrikospoliisi tutkii rikosta, ja tutkinnanjohtaja Marko Leposen mukaan koko poliisin osaaminen on käytössä. Kaikki asiantuntijat on hälytetty töihin, ja he työskentelevät lähes tauotta saadakseen tekijän tai tekijät kiinni.
Miten rikoksen tutkinta etenee?
Poliisi on ollut tutkinnan etenemisestä erittäin vaitonainen. Poliisi ei esimerkiksi kerro, onko sillä epäiltyä tai epäiltyjä. Tiedotuslinjasta ei voida päätellä, onko poliisi tekijän jäljillä vai ei. Ylen tietojen mukaan poliisi käyttää tutkinnassa varsin järeitä ja luoviakin keinoja. On ymmärrettävää, että poliisi ei kesken esitutkinnan julkisesti kerro menetelmistään, sillä se saattaisi varoittaa tekijää. Voit lukea lisää täältä.
Voiko tämä tapahtua Vastaamolle uudestaan, miten tiedot nyt suojataan?
Näin Vastaamon hallituksen puheenjohtaja Tuomas Kahri kommentoi tänään Ylelle sitä, onko vuotopaikka jo korjattu, jotta vastaavia ei pääse jatkossa käymään.
– Selvitys, jota olemme tehneet yhdessä Nixun kanssa, vaikuttaa selvältä, että maaliskuun 2019 puolivälissä yhtiöön kohdistui tietomurto. Sen jälkeen on lähdetty toimiin, jolloin on korjattu tietoturvapuutteet.
– Tämän selvityksen yhteydessä on tarkastettu vastaavia tietojärjestelmiä ja vahvistettu niiden suojausta myös Nixun toimesta. Nixun selvityksessä ei ole ilmennyt viitteitä siitä, että tietojärjestelmiin olisi tunkeuduttu maaliskuun 2019 jälkeen.
Eli ovatko ne nyt kunnossa?
– Selvityksessä ei ole viitteitä, että olisi tunkeuduttu maaliskuun 2019 jälkeen. Tämä on tarkastettu ja niitä on vahvistettu. Asiat, jotka nousi selvityksissä esiin, niiden korjaamiseen on välittömästi ryhdytty, jos sellaisia on löytynyt.
Mikä on tor-verkko?
Tor-verkon ensimmäinen versio valmistui vuonna 2002, ja sen rahoittaja, Yhdysvaltojen merivoimien tutkimuslaboratorio, halusi taata omille käyttäjilleen anonymiteetin verkossa. Tor reitittää käyttäjänsä verkkoliikenteen niin monen yhteyspisteen kautta, että sen alkuperän päätteleminen on monimutkaista – siksi siellä on myös rikollisuutta. Kuka vain voi käyttää Tor-verkkoa, eli dark webiä. HS on koonnut sivuilleen kysymyksiä ja vastauksia tor-verkosta.
Tekijä, rikos ja rangaistus
Mitä kaikkea tekijästä on tähän mennessä saatu selville?
Tekijästä on pyritty päättelemään esimerkiksi hänen kansalaisuuttaan tekstien perusteella. Kiristäjän käyttämä englanti ei erityisesti viittaa syntyperäiseen englannin puhujaan. Hän on myös osannut toimia suomalaisilla verkkoalustoilla. Poliisi pitää avoimena kaikki mahdollisuudet tekijän kansalaisuudesta. Olemme koonneet tähän juttuun, mitä tekijästä tällä hetkellä tiedetään.
Kuinka todennäköistä on, että tekijä jää kiinni?
Jos tekijä ei ole tehnyt virheitä, rikosta on erittäin vaikea selvittää. Salattujakin yhteyksiä käyttävä voi kuitenkin jättää jälkiä internetiin. Poliisin apuna tekijän jäljittämiseen osallistuvat niin sanotut valkohattuhakkerit. Tietoturva-asiantuntija ja entinen hakkeri Benjamin Särkkä kommentoi MTV Uutisille,ettei tekijä ole pystynyt peittämään ihan kaikkia jälkiään. Rikosta tutkitaan myös verkon ulkopuolella.
Jos kaveri jakaa varastettuja tietoja, voiko tehdä rikosilmoituksen?
Tietoja käsitellessä voi syyllistyä tietosuojarikokseen. Tällainen rikosnimike tulee sovellettavaksi, jos esimerkiksi uteliaisuudesta käsittelee tietoja ilman käsittelyyn oikeuttavaa perustetta. Rikosylikomisario Tero Muurmanin mukaan esimerkiksi tietojen tallentaminen tai jakaminen saattavat olla tällaista tietojen käsittelyä. Jos tällaisia epäilyjä siis tulisi ilmi poliisille, niitä myös tutkittaisiin. Lue lisää täältä.
Minkälainen tuomio tekijää odottaa, jos/kun hän jää kiinni?
Riippuu siitä, mihin tekijän katsotaan syyllistyneen. Tapauksessa on ollut puhe tietomurrosta ja kiristyksestä, jopa näiden törkeistä muodoista. Sakko tai vankeustuomio voivat tulla kysymykseen, kertoo julkisoikeuden professori Tomi Voutilainen.
Mikä on maksimirangaistus tällaisessa teossa, olettaen että tekijä jää kiinni?
Törkeästä tietomurrosta voi saada enintään kolme vuotta vankeusrangaistusta, törkeästä kiristyksestä voi saada enintään neljä vuotta, vähintään neljä kuukautta, sanoo Tomi Voutilainen.
Tuleeko oikeudenkäynnistä julkinen?
Oikeudenkäynti on aina julkinen, mutta voi olla, että oikeudenkäynnissä on tietoja, jotka ovat salassa pidettäviä tai oikeudenkäynti pidetään osin suljetuin ovin. Se riippuu siitä, millaisia asioita oikeudenkäynnissä käsitellään, Voutilainen kertoo.
Miten toimia, kun alaikäisen lapsen tiedot ovat vuotaneet?
Oikeuden näkökulmasta lapsen huoltaja edustaa lasta tai muu lapsen laillinen edustaja edustaa lasta tapauksessa, Voutilainen sanoo.
Onko tällaista laissa eli onko tällaisesta ennakkotapausta?
Tietomurtoja on tehty aiemminkin. Sellaisia ennakkotapauksia on, joissa tekijä ei ole jääny kiinni. Tässä mittakaavassa ei ole tiedossa vastaavaa tapausta, jossa tekijä olisi myös jäänyt kiinni, kertoo Voutilainen.
Kuinka isot sakot Vastaamolle voi tulla, jos todetaan GDPR-rikkomus? (GDPR on yleinen tietosuoja-asetus)
Voutilaisen mukaan puhutaan hallinnollisesta seuraamusmaksusta. Kyseessä ei siis ole rikosperusteinen, vaan hallinnollisen valvonnan kautta aiheutuva sanktio. Summa riippuu siitä, mitä tietosuoja-asetuksen säännöksiä Vastaamon arvioidaan rikkoneen.
– Jos lähdetään siitä, että henkilötietojen suojaamista koskevia velvollisuuksia ei ole noudatettu, se on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa. Mutta nämä ovat maksimeja, ja realismia on, että ne ovat huomattavasti pienempiä. Suomessa ei tällaisiin summiin päädytä, ne voisivat olla kansainvälisten yritysten, kuten Facebookin, lukuja.
Asiakkaana
Mitä minusta lukee potilaskertomuksissa?
Terapeuteilla on velvoite kirjata kaikki tapaamiset sekä tapaamisissa käsitellyt teemat. Tietoihin kirjataan kaikki olennaiset tiedot, joita tarvitaan potilaan hoitoon ja sen toteuttamiseen. Kuvauksien tarkkuus vaihtelee paljon. Näihin tietoihin ei kirjata muiden ihmisten asioita tai nimiä. Voit lukea lisää terapiakäyntien kirjaamisesta lisää täältä.
Miten henkilötunnusta voidaan väärinkäyttää? Mitä sillä voi tehdä?
Rikollinen voi onnistua tekemään tilauspetoksia, osamaksukauppoja tai ottamaan luottoa uhrin nimiin henkilötunnuksella tai muilla henkilötiedoilla. Finanssialan mukaan saaduilla tiedoilla ei pysty nostamaan pankkilainaa, koska siihen tarvitaan aina vahva tunnistautuminen esimerkiksi pankkitunnuksilla.
Miten voi tukea ystävää tai muita, jotka ovat joutuneet tietomurron kohteeksi?
Läheisen tärkein rooli on olla käytettävissä, sanoo Psykologiliiton puheenjohtaja Annarilla Ahtola. Tärkeintä olisi osoittaa, että jos itse jaksaa ja pystyy, voi asiasta keskustella toisen kanssa. Pahimmalta uhrista voi tuntua, jos joutuu miettimään asioita yksin ja usein jo pelkästään puhuminen helpottaa, Ahtola sanoo.
Uskaltaako enää kertoa mitään terapiassa, uskaltaako omista asioista avautua?
Uskaltaa ja täytyy uskaltaa, sanoo Psykologiliiton puheenjohtaja Annarilla Ahtola.
– Kyse on yksittäisestä toimijasta, joka ei ole hoitanut tärkeää hommaansa hyvin. Se on silti yksittäistapaus ja lähtökohtaisesti voidaan luottaa, että isommat toimijat ja yksityiset ovat huolehtineet tietoturvasta. Jos tällä hetkellä on avun piirissä, niin asia kannattaa ottaa puheeksi. Voi kysyä oman hoitavan tahon tietojärjestelyistä ja puhua se selväksi
Joutuuko Vastaamo korvausvastuuseen niille, joiden tiedot vietiin? Miten?
Aamulehden mukaan tietomurron uhrit voivat vaatia Vastaamolta vahingonkorvauksia, jos se on laiminlyönyt tietoturvaan ja henkilötietoihin liittyviä velvollisuuksiaan. Uhrit voivat saada korvausta, jos he ovat joutuneet tietovuodon takia tekemään esimerkiksi luottokiellon tai jos henkilötietoja käytetään väärin esimerkiksi pikavippien ottamiseen. Myös kärsimyksestä voi saada vahingonkorvauksia.
Jos Vastaamo on toiminut tietosuoja-asetuksen vastaisesti, Vastaamo voi vapautua vahingonkorvausvastuusta vain, jos se pystyy osoittamaan, ettei se ole millään tavalla vastuussa tapahtuneesta, professori Voutilainen sanoo.
Miten korvauksia voi hakea?
Korvausvaatimuksen voi esittää sille, joka on vahingon aiheuttanut. Ensin pitäisi todeta, että Vastaamo on toiminut tietosuoja-asetuksen vastaisesti. Näin voidaan osoittaa, jos viranomaisen päätös on olemassa. Jos korvauksesta ei päästä sopimukseen, vahingonkorvausvaateen voi käräjäoikeudessa nostaa, Voutilainen sanoo.
Tiistaina Suomen Potilasvahinkoapu kertoi antavansa tukensa rikoksen uhreille. Toimisto on päättänyt auttaa rikoksen uhreja selvittämään mahdollista vahingonkorvausvastuuta. Henkilöt, joiden tietoja on julkaistu verkossa, voivat lähettää toimistolle yhteystietonsa ja toimisto selvittää ensin yleisellä tasolla korvausvastuun perusteita.
Mitä kautta Vastaamolta saa tilattua omat potilastietonsa suojatussa sähköpostissa?
Tietosuoja-asetuksen mukaisesti henkilöllä on oikeus tarkastaa omat tiedot rekisterinpitäjältä ja on oikeus saada ne sähköisessä muodossa, sanoo professori Tomi Voutilainen. Voutilainen ei kuitenkaan tiedä, onko Vastaamolla käytössään suojattua sähköpostia.
Tietoturva
Ei kai tietoja laiteta kaikkien näkyville?
Maailmalla on ollut tapauksia, joissa kyberrikolliset ovat julkaisseet tietomurron yhteydessä kaapatut tiedot, vaikka lunnaat on maksettu, kerrotaan Kyberturvallisuuskeskuksesta. Tämän vuoksi kiristäjien vaatimia lunnaita ei tule koskaan maksaa, sillä ei ole varmuutta, että tiedot eivät leviä vielä maksamisen jälkeen.
Onko henkilötunnus vaihdettava, jos se on vuodettu? Milloin olen “vapaa”?
Henkilötunnuksen voi vaihtaa, mutta vasta, kun ulkopuolinen on toistuvasti väärinkäyttänyt tunnusta, uutisoi HS viikonloppuna. Haitan on oltava merkittävä. Syyksi ei esimerkiksi riitä se, että henkilötunnus on joutunut verkkoon kenen tahansa löydettäväksi ja käytettäväksi ikuisiksi ajoiksi, HS kirjoittaa.
Kun tietomurron tekijä vuotaa tietoja nettiin, niitä saattaa käyttää joku muukin kuin alkuperäinen vuotaja. Vuotaneet henkilötiedot voivat aiheuttaa ongelmia vielä pitkään tietomurron jälkeen.
Onko vastaavia tietomurtoja käynyt Suomessa ennenkin?
Vastaamon tietomurtoa on kuvailtu kansainvälisestikin poikkeukselliseksi tapaukseksi. F-Securen tutkimusjohtaja Mikko Hyppönen sanoo, ettei muista yhtään tapausta maailmalta, jossa olisi näin törkeästi käytetty hyväksi potilastietoja. Myös Kyberturvallisuuskeskuksen erityisasiantuntija Perttu Halonen kommentoi viime viikolla Iltalehdelle, ettei muista, että Suomessa olisi tällä tavalla sote-alan organisaatiosta tietoja viety ja kiristetty niillä. Halosen mukaan yleisintä tietomurroissa on tietojen kalastelu.
Miksi tehdä luottokielto?
Omaehtoinen luottokielto kannattaa tehdä sekä Suomen Asiakastiedolle että Bisnode Finlandille. Tietosuojavaltuutetun ohjeiden noudattaminen ja luottokiellon ottaminen ovat varmimpia tapoja suojautua henkilötunnusten ja -tietojen väärinkäytöltä. Luottokielto on järeä toimenpide, mutta se kannattaa, jos epäilee identiteettivarkautta tai jos henkilöpaperit ovat kadonneet.
Eikö viranomainen valvo psykoterapiapalveluiden tietoturvaa?
Valvova viranomainen on sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira. Tällä hetkellä yrityksiä valvova Valvira tarkastaa epäkohtia esimerkiksi silloin, kun yritykset itse niistä ilmoittavat, sanoo Ylen A-studiossa vieraillut Valviran ylijohtaja Markus Henriksson. Hän peräänkuuluttaa lisää voimavaroja sosiaali- ja terveysalan yritysten tietoturvan valvontaan, jotta sillä olisi resursseja myös ennakoiviin tarkastuksiin, jotka ovat nyt jääneet vähiin. Katso haastattelu Areenasta.
Kuluttajaliitto muistuttaa, että Valviran tehtävänä on turvata se, että asiakas ja potilastietojen käsittelyyn tarkoitetut tietojärjestelmät ovat vaatimusten mukaisia.
Onko syytä olla huolissaan siitä, että omat tiedot esimerkiksi julkiselta puolelta vuodetaan joskus?
Helsingin Sanomien mukaan tietomurto ei tullut täytenä yllätyksenä sosiaali- ja terveysalan toimijoille. Kuntaliiton erityisasiantuntija Karri Vainio arvioi HS:lle, että tietoturvan tilanne yksityisissä sote-alan yrityksissä vaihtelee. Kunnissa tietoturvaa on kehitetty viime vuosina, kun valtakunnallisten tietojärjestelmäpalvelujen vaatimukset ovat kasvaneet. Näihin velvoitteisiin on Vainion mukaan vastattu hyvin ja hän on lehden mukaan varma, että nyt tapahtunut tietomurto herättää toimijoita kiinnittämään entistä enemmän huomiota tietoturvaan.
Miksi ei erikseen neuvota olemaaan avaamatta kiristysviestejä?
Lukematta viestiä ei voi tietää sen sisältöä eikä siis tietää, onko kyseessä kiristys vai jokin muu viesti, vastataan Kyberturvallisuuskeskuksesta. Kiristysviestistä tulee tehdä rikosilmoitus poliisille, ja poliisi on suosittanut säilyttämään viestin.
Miten tällaiseen voidaan varautua jatkossa?
Jokainen järjestelmien omistaja on lähtökohtaisesti vastuussa omista järjestelmistään ja niiden tietoturvasta. Varautuminen suurimpaan osaan hyökkäyksistä ja hyökkääjistä ei ole rakettitiedettä, vaan tunnettujen parhaiden käytäntöjen noudattamisella pääsee pitkälle. Lyhyesti sanottuna tietoturvan varmistamisen pitäisi olla luonnollinen osa organisaation toimintaa ja järjestelmien rakentamista niiden suunnittelusta aina käytöstä poistoon asti, kerrotaan Kyberturvallisuuskeskuksesta.
Jos ei ole saanut kiristysviestiä, voiko silti tehdä rikosilmoituksen?
Poliisi ohjeistaa, että jos tietoja on vuotanut nettiin tai olet saanut kiristysviestin Vastaamon tietomurtoon liittyen, asiasta pitää tehdä rikosilmoitus.
Miksei Tor-verkkoa voida sulkea kansainvälisesti?
Internet on suunniteltu teknisesti avoimeksi alustaksi, jonka päälle kuka tahansa voi rakentaa omia ennalta määrittelemättömiä palvelujaan, kertovat Kyberturvallisuuskeskuksen asiantuntijat. Tämä on mahdollistanut palvelujen nopean kehittymisen globaalisti. Osa palveluista on kuitenkin luonteeltaan kaksoiskäyttöisiä, eli niillä on myös alkuperäisten suunnitelmien ja haaveiden vastaisia käyttötarkoituksia. Jo yksittäisen tekniikan kitkeminen maailmanlaajuisesti lähentelee mahdotonta, eikä mikään estä keksimästä uusia.
Lue myös: