Lauantai 5. marraskuuta 2011 oli jo ehtinyt iltapäivään, kun KRP:n silloisen tietotekniikkajaoston päällikön, rikoskomisario Timo Piiroisen, ruuanlaitto keskeytyi puhelinsoittoon.
Päällystöpäivystäjä ilmoitti, että miestä tarvitaan töihin. Internetin Mediafire-sivustolla oli julkaistu tiedosto, joka sisälsi vähintään 16 000 suomalaisen henkilötiedot.
Eri-ikäisten, eri aloilla työskentelevien ja ympäri Suomen asuvien ihmisten henkilötunnukset, osoitteet, puhelinnumerot ja sähköpostiosoiteet olivat kenen tahansa nettiä käyttävän löydettävissä ja luettavissa.
Tapaus on palannut vahvasti silloisen tutkinnanjohtajan mieleen Vastaamo-tietomurron paljastuttua lokakuussa 2020.
Psykoterapiakeskus Vastaamon palvelimelta lähti varkaiden matkaan tuhansien asiakkaiden arkaluontoisia tietoja heidän terapastaan. Niiden julkaisulla on myös kiristetty uhreja.
– Silloin ei ihmisistä viety sellaista tietoa kuin Vastaamon tapauksessa, mutta henkilötunnusten varastaminen mahdollisti petokset, kertoo nykyisin KPMG yhtiön forensic-palveluiden johtajana toimiva Piiroinen.
Henkilötiedoilla ei myöskään yritetty kiristää rahaa, vaan ne vain julkaistiin verkkoon.
Kissa – hiiri -leikkiä
Piiroinen tiimeineen alkoi selvittää, mistä tiedot olivat peräisin, ja miten niihin oli päästy käsiksi.
Tärkeintä oli saada selville kuka tai ketkä tiedot varasti ja julkaisi internetissä. Myös rekisterinpitäjien vastuu kiinnosti.
Kysymykset olivat samoja kuin nyt Vastaamon tutkinnassa.
– Aikaisemmin oli ollut jo pienempiä henkilötietoihin liittyviä varkauksia, mutta tämä oli Suomen ensimmäinen näin suuri, Piiroinen muistelee.
Liikenne- ja viestintävirasto sai nopeasti virka-apupyynnön poliisilta.
Viraston kyberturvallisuusosasto CERT-FI:n silloinen päällikkö Erka Koivunen kertoo, että ensimmäinen viikko paiskittiin ympärivuorokautisia päiviä.
Poliisi antoi määräyksiä nimitiedostoja julkaisseiden sivustojen sulkemisesta. CERT-FI välitti tiedon kontaktiensa kautta palvelimien ylläpitäjille.
– Se oli kissa–hiiri-leikkiä. Kun yksi saitti sulkeutui, ne (tiedostot) olivat taas yhtäkkiä jossakin esillä, muistelee yhdeksän vuoden takaisia aikoja nykyinen F-Securen turvallisuuspäällikkö Erka Koivunen.
Hänen mukaansa viestintävirasto sai heti alkumetreillä lukuisia vihjeitä ”valkohattu-hakkeriyhteisöltä”. Muropaketti- ja Ylilauta-sivustojen hakkerit löysivät nopeasti yhteyden Työtehoseuraan.
Selvisi, että tietovuoto liittyi laajemminkin aikuis-ja täydennyskoulutukseen.
Ainakin myös Itä-Suomen yliopiston avoimen yliopiston ja Suomen Opiskelijat Allianssin tietokantoihin oli tunkeuduttu.
Petoksia varastetuilla henkilötiedoilla
5. marraskuuta 2011 tapahtunut tietojen varastaminen oli nopeasti yleisön huulilla.
Yhtä kova tiedonjano on myös lokakuussa 2020. Nyt Vastaamon tietomurron uhreille on julkaistu ohjeita, miten toimia, kun varkaat iskevät henkilökohtaisiin tietoihin.
Yhdeksän vuotta sitten viestien sävy oli toinen. Ylen uutisjutuissa viestintäviraston ja poliisin mielestä uhreilla ei ollut suurempaa syytä huoleen.
Kuitenkin jo seuraavalla viikolla KRP kertoi, että vuodettuja henkilötunnuksia oli käytetty rikoksiin. Ihmisiä neuvottiin tekemään rikosilmoituksen, jos he saisivat laskuja palveluista, joita eivät olleet hankkineet.
Vuosien kuluessa petoksia tehtiin lisää.
Yle kertoi vuonna 2017 Jarista, jolle soitettiin kuusi vuotta tietojen varastamisen jälkeen. Hänen nimissään oli tilattu MacbookPro -tietokone ja kolme kallista iPhonea. Myyjä halusi varmistaa, oliko mies varmasti tilannut tavarat.
Poliisi ei Jarin mukaan ottanut häntä todesta, ja siksi hän jätti rikosilmoituksen tekemättä.
Lue seuraavaksi: Joku julkaisi 16 000 suomalaisen henkilötunnukset netissä kuusi vuotta sitten – nyt niillä tehtaillaan tuhansia rikoksia vuodessa
– Mitään tarkkaa tilastointia tai seurantaa ei ole tehty, mutta henkilöiden tietoja on käytetty, kertoo Timo Piiroinen.
Moni suomalainen halusi heti tietää, löytyykö oma nimi varastettujen henkilötietojen joukosta. Viestintävirasto toppuuteli: Älkää yrittäkö etsiä tietovuotolistaa itse.
Verkkoon ilmestyi hämäriä nimentarkistuspalveluita. Osa niistä vaati käyttäjää antamaan henkilötunnuksensa tietojen löytämiseksi.
Poliisi halusi estää lisävahinkojen syntymisen ja laati omille sivuilleen tarkistuspalvelun.
– Teimme riisutun version. Syötä syntymäaika ja etunimi ja, jos tulee osuma, kannattaa mennä poliisilaitokselle selvittämään, onko kyse omista tiedoista, Piiroinen kertoo.
Poliisin verkkosivut kaatuivat välittömästi yleisöryntäyksen takia. Piiroinen muistelee käyneensä selvittämässä kaatumista ja tutkinnan kulkua aina eduskunnan hallintovaliokuntaa myöden.
Robotti raksutti viestejä
Samaan aikaan, kun ihmiset etsivät tietojaan verkosta, viestintävirasto yritti tavoittaa jokaisen tietovuodon kohteeksi joutuneen.
– Lähetimme sähköpostitse tai tekstiviestinä ilmoituksen, että tietonne ovat päätyneet joko rikollisten haltuun tai julkiseen levitykseen, Erka Koivunen kertoo.
Tätä ennen talon omat juristit, keskusrikospoliisin edustajat ja tietosuojavaltuutettu olivat selvittäneet, muodostuuko uhrien auttamisen sivuotteena henkilörekisteri, jonka ylläpitämisessä tarvitaan laillinen oikeus ja syy.
– Päätös oli, että nämä ovat rikoksen kautta paljastuneita tietoja, eikä rikosta jatketa sillä, että uhreja informoidaan. Ei siis muodostu henkilörekisteriä, ja jonkunhan informointi oli tehtävä, Koivunen sanoo.
Teknisesti homma oli helppo hoitaa. Kyberturvallisuusosastolla oli ja on edelleen Autoreporter-palvelu, joka lähettää joka vuorokausi koosteita eri yhtiöiden ja varsinkin teleoperaaattoreiden verkoissa havaituista tietoturvapoikkeuksista.
Sama palvelu valjastettiin tavoittamaan myös tietoturvaloukkauksen kohteeksi joutuneet.
– Osa kuittasi, mutta ei niitä 16 000 tullut, Koivunen toteaa.
Kukaan ei tiedä tuliko jokainen tietomurron kohteeksi joutunut edes tietämään olevansa listalla. Ei ole varmaa menikö jokainen tekstiviesti perille, tai päätyikö osa sähköposteista esimerkiksi suoraan roskapostiin.
Ketään ei tuomittu
Vuonna 2019 keskusrikospoliisista KPMG yhtiöön siirtynyt Timo Piiroinen sanoo, että rikos jäi ratkaisematta, vaikka poliisi teki kaiken voitavansa.
Kukaan ei päätynyt oikeuteen, eivätkä teon tarkoitusperät auenneet.
– Silloin puhuttiin paljon hakkeri- ja aktivistiryhmä Anonymosista ja palvelunestohyökkäyksistä. Tämä saattoi olla jonkun näyttöä, että hänkin pystyy verkossa tekemään jotakin, Piiroinen miettii.
F-Securen turvallisuusjohtajaa Erka Koivusta puolestaan turhauttaa edelleen. Kovasta työstä huolimatta ei pystytty sanomaan, kuinka monesta eri lähteestä henkilötiedot oli varastettu.
Sen näki, että asiakasrekistereitä oli niputettu yhteen.
– Rekisterit olivat siististi järjestyksessä verkkoon kytketyssä tietojärjestelmässä. Ihan samoin kuin Vastaamossakin on, Koivunen toteaa.
Hän kuvailee, miten rikolliset yhdeksän vuotta sitten käyttivät enemmän tai vähemmän automatisoitua hyökkäysskriptiä, joka pantiin koputtelemaan eri verkkopalveluiden ovia.
– Jos tuhannesta palvelusta viisikin avasi ovensa, datat imettiin sieltä talteen. Siinä ei ollut mitään suurta dramatiikkaa, eikä mainittavia murtojälkiäkään jäänyt.
Jotain samaa, jotain uuttakin
Erka Koivusen mielestä myös Vastaamon tuore tietomurto vaikuttaa aivan samanlaiselta vuosituhannen alun meiningiltä.
– Meillä ei ole ikinä ollut näin hyvää turvallisuustekniikkaa käytettävissä kuin nykyään. Mutta edelleen on mahdollista myös pystyttää huonosti suojattuja palveluita. Ja niitä korkataan automatisoidun keinoin kuten ennenkin.
Yhdeksässä vuodessa verkkorikollisuus on kuitenkin myös muuttunut.
– Tuli bitcon ja muut kybervaluutat. Nyt datasettiin tai organisaation tietotekniikkaan kiinni päässeiden rikollisten ensimmäinen ajatus on, kuinka kiristän tällä rahaa. He tietävät, että rahan kotiuttaminen jälkiä jättämättä on mahdollista, ellei tee itse virhettä, toteaa Erka Koivunen
Entä ne 16 000 suomalaisen henkilötiedot? Pääseekö niihin edelleen käsiksi?
– Varmasti. Kyllä ne löytyvät, kuittaa Koivunen.
Lue myös: