Suomalaisten organisaatioiden epäillään maksaneen lunnaita tietoverkkorikollisille, vahvistaa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus. Keskuksen tiedossa on kaksi tapausta, joissa suomalaisen organisaation rahojen epäillään päätyneen välikäden kautta kiristäjille.
Organisaatiot ovat suostuneet maksamaan, jotta ne saisivat haittaohjelmien lukitsemat tiedot vapautettua. Organisaatiot ovat itse ilmoittaneet tapauksista Kyberturvallisuuskeskukselle. Tyypillisesti lunnaiden maksaminen rikollisille ei tule viranomaisten tietoon.
Kyberturvallisuuskeskuksen tietoon tulleissa tapauksissa kiristyshaittaohjelman uhreiksi joutuneet eivät maksaneet suoraan hyökkääjille vaan käyttivät ulkomaisen yrityksen apua. Yritys hoiti lukittujen tietojen vapauttamisen rahaa vastaan.
Kyberturvallisuuskeskus epäilee, että ulkomainen yritys teki yhteistyötä hyökkääjien kanssa. Epäily johtuu siitä, että hyökkääjät olivat salanneet lukitsemansa tiedot niin hyvin, että salausta ei olisi voinut purkaa ilman rikollisilta saatua avainta.
– Tämä viittaa siihen, että ulkomainen yritys on jollain lailla yhteistyössä tekijöiden kanssa, sanoo Traficomin tietoturva-asiantuntija Ville Kontinen.
– En näe sellaista vaihtoehtoa, että yrityksellä olisi salaista tekniikkaa, josta kukaan muu koko maapallolla ei ole kuullut ja sillä he pystyisivät purkamaan salauksen olematta yhteydessä hyökkääjiin.
Kontisen mukaan suomalaiset maksoivat salauksen purkamisesta 10 000–30 000 euroa. Kyberturvallisuuskeskus ei paljasta lunnaita maksaneista organisaatioista muuta kuin sen, että ne eivät kuulu julkishallintoon.
Lunnaiden maksamista ei suositella
Tietoverkkorikoksiin liittyvä kiristäminen on ollut julkisuudessa psykoterapiakeskus Vastaamon tietomurron vuoksi. Kiristäjä vaati Vastaamolta 450 000 euron lunnaita, jotta se ei julkaisi varastamiaan potilastietoja. Julkisuudessa olleiden tietojen mukaan Vastaamo ei ole maksanut lunnaita.
Myös Vastaamon asiakkaat ovat saaneet kiristysviestejä. Yle uutisoi torstaina, että ainakin 14 Vastaamon asiakkaana ollutta yksityishenkilöä on maksanut lunnaita.
Kyberturvallisuuskeskuksen tietoon tulleessa kahdessa tapauksessa organisaatiot ottivat yhteyttä viranomaiseen ja pyysivät apua.
Viranomaiset eivät suosittele lunnaiden maksamista rikollisille, jotka kiristävät haittaohjelmilla tai varastetuilla tiedoilla. Rikollisten vaatimuksiin suostuminen ei takaa sitä, että lukitut tiedot saisi takaisin tai että varastettuja tietoja ei julkaistaisi.
Kontisen mukaan salauksen purkamisesta maksaminen oli organisaatioiden oma ratkaisu.
– Emme suosittele myöskään käyttämään tällaisia välikäsiä, koska oletus on, että niille maksettu raha päätyy rikollisille.
Toisaalta Kontisen mukaan molemmissa tapauksissa oli painavia perusteita sille, että jotain oli pakko tehdä. Lunnaiden maksaminen voi olla houkutteleva vaihtoehto, jos yrityksen kaikki tiedot ovat lukossa ja koko toiminnan jatko uhattuna.
Pääosin piilorikollisuutta
Maailmalla on aiemmin uutisoitu (siirryt Forbes-lehden englanninkielisille sivuille) samanlaisista välittäjäyrityksistä, joiden liiketoiminta on auttaa kiristyshaittaohjelmien uhreja. Yritykset mainostavat verkkosivuillaan neuvottelevansa kiristäjien kanssa. Ne myös julkaisevat tilastoja maksetuista lunnassummista.
Lisäksi on uutisoitu tapauksista, joissa yritykset ja julkiset toimijat ovat maksaneet suuria summia tietoverkkorikollisille. Esimerkiksi yhdysvaltalainen teknologiayhtiö Garmin oletettavasti maksoi miljoonalunnaat kiristäjille. (Siirryt The Vergen englanninkielisille sivuille.)
Suomessa kenelläkään ei tunnu olevan tietoa siitä, miten yleistä lunnaiden maksaminen on. Jos lunnaita maksetaan, se tapahtuu yleensä piilossa viranomaisilta.
– Meillä ei ole oikeastaan tietoa tapauksista, joissa lunnasrahat olisi maksettu, sanoo keskusrikospoliisin kyberkeskuksen päällikkö Mikko Rauhamaa.
Poliisin tietoon on tullut tapauksia, joissa lunnaita on vaadittu mutta ei maksettu. Uhreiksi on joutunut sekä kaikenkokoisia yrityksiä että yksityishenkilöitä.
– Yrityksille ja organisaatioille lunnasvaatimukset ovat usein useita tuhansia euroja. Joskus puhutaan jopa sadoistatuhansista, Rauhamaa sanoo.
Yksityishenkilöille tehdyt lunnasvaatimukset ovat vaihdelleet satasista muutamiin tuhansiin euroihin.
Satoja tietomurtoja poliisin tietoon
Kiristyshaittaohjelmat luokitellaan poliisin tilastoissa tietomurtojen alle. Tilastoihin kirjautui viime vuonna 822 tietomurtoa. Tilastoista ei pysty erottelemaan, kuinka monessa tapauksessa oli osana kiristyshaittaohjelma.
Myöskään Finanssivalvonnan (Fiva) johtavalla riskiasiantuntijalla Anne Nisénillä ei ole tietoa alan yritysten maksamista lunnaista. Fiva valvoo muun muassa eläke-, luotto- ja vakuutuslaitoksia sekä sijoituspalveluyrityksiä ja maksulaitoksia.
Runsas viisi vuotta sitten laajaa julkisuutta sai tapaus, jossa nuori mies yritti kiristää suomalaispankkeja lamauttamalla niiden toiminnan palvelunestohyökkäyksillä.
Vakuutus voi korvata lunnaskulut
Jotkut vakuutusyhtiöt tarjoavat yrityksille tietoturva- ja kybervakuutuksia, jotka laajimmillaan kattavat myös verkkorikollisille maksettuja lunnasrahoja.
Esimerkiksi vakuutusmeklari Howden tarjoaa kybervakuutusta, joka korvaa monenlaisia tietoverkkohyökkäyksistä aiheutuneita kuluja. Howdenin asiakaspäällikkö Juho Heikkinen ei kommentoi, onko yhtiö korvannut lunnasrahoja asiakkailleen.
– Yleisellä tasolla voi arvioida, että Suomessakin lunnaita maksetaan ja että paljon kiristystilanteita sekä muita tietoturvavahinkoja on jäänyt piiloon, Heikkinen sanoo.
Myös Heikkisen mukaan lunnaiden maksaminen on riski.
– Lunnaiden maksun jälkeen osa rikollisista vapauttaa lukitut tiedot tai tuhoaa varastetut tiedot, mutta eivät kaikki.
Yhdysvaltalainen AIG on tarjonnut kybervakuutusta Suomessa jo vuosia. AIG:n Suomen sivuliikkeen asiakkuusjohtaja Jussi Tuohiniemi kertoo, että osa varsinkin suurista suomalaisista yrityksistä on vakuuttanut itsensä tietoturvavahingon varalle. Suurimmalla osalla yrityksistä ei kuitenkaan ole kybervakuutusta.
Tuohiniemen mukaan selvittelykulut voivat helposti kasvaa pienessäkin vahingossa kymmeniintuhansiin euroihin. Jos yritys joutuu maksamaan lunnaita, vakuutusyhtiön korvaussummat kasvavat selvästi.
AIG:n kybervakuutus korvaa myös lunnaista aiheutuneita kuluja. Yritys ei ota kantaa siihen, onko se korvannut suomalaisten asiakkaidensa lunnaskuluja.
Myös Tuohiniemen mukaan lunnaita on kuitenkin maksettu Suomessakin.
– Siihen, kuinka yleistä lunnasvaatimusten esittäminen kaikkiaan on, ja kuinka usein lunnaita maksetaan, voi kenties paremmin vastata viranomainen.
Vakuutusyhtiö esittelee lunnastapauksia
AIG nostaa esiin Eurooppaa, Afrikkaa ja Lähi-itää käsittelevässä raportissaan tapauksia, joissa yhtiö on korvannut lunnaskuluja.
Yhdessä tapauksessa teollisuusyritys maksoi 25 000 euroa, koska yrityksen toiminta lamaantui kiristyshaittaohjelman vuoksi. Yritys ei pystynyt toimittamaan tilauksia, vastaanottamaan raaka-aineita eikä maksamaan laskuja. Kymmenen päivää haittaohjelmaiskun alkamisesta yritys maksoi lunnaat ja pystyi jatkamaan toimintaansa. Vakuutus kattoi maksetut lunnaat.
Toisessa tapauksessa kansainvälisen vähittäiskauppaketjun yli sadan myymälän kaikki tiedot lukittiin. Myymälät eivät pystyneet täydentämään varastojaan eivätkä toimittamaan verkkotilauksia. Kun ahdinko jatkui, yritys päätti maksaa kiristäjälle 150 000 dollaria eli vajaat 130 000 euroa. AIG auttoi yritystä hankkimaan lunnaisiin tarvittavat bitcoin-virtuaalirahat.
Maailmalla tietoturva-asiantuntijat ovat arvostelleet sitä, että lunnaskuluja korvaavat vakuutukset voivat synnyttää uusia hyökkäyksiä ruokkivan kierteen. Kun rikolliset saavat haluamansa, se kannustaa heitä uusiin rikoksiin.
– Lunnaiden maksaminen ei ole ensisijainen ratkaisu, sillä maksaminen ei takaa, että tilanne laukeaa, asiakkuusjohtaja Jussi Tuohiniemi sanoo.
Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontinen arvioi, että jonkinlainen vakuutus voi olla tarpeen, koska hyökkäyksistä palautumiseen voi kulua paljon työtunteja.
– Jos vakuutuksesta korvataan suoraan lunnasvaatimuksiin menneitä rahoja, se on melko mielenkiintoista. Tämän tarkemmin en ota kantaa, Kontinen muotoilee.
Tietoturva-asiantuntija arvioi, että jos rikolliset saavat rahaa, se rohkaisee rikoksen uusimiseen. Sekä kansainvälisten uutisten että Kyberturvallisuuskeskuksen tilastojen perusteella vaikuttaa siltä, että kiristyshaittaohjelmatapauksien määrä on lisääntymässä.