– Hei, nimeni on Sami ja olen Vastaamon tietomurron uhri.

Näin kirjoitti hakkeroinnin ja tietoturvan huippuasiantuntija Sami Laiho Twitterissä sunnuntaina illalla (siirryt toiseen palveluun) englanniksi. Hän mietti vuorokauden ajan, onko valmis julkisuuteen.

Kiukku tekijää, Vastaamoa ja tietoturvan laiminlyöntejä kohtaan oli lopulta niin kova, että hän halusi kertoa oman kokemuksensa. Kuka tahansa voi joutua uhriksi, jos tietoturvaan ei kiinnitetä huomiota.

– Jokainen on tässä haavoittuvainen, Laiho sanoo.

Ympäri Suomea toimiva Psykoterapiakeskus Vastaamo tiedotti keskiviikkona joutuneensa tietomurron ja kiristyksen kohteeksi. Tuntematon kiristäjä varasti Vastaamon asiakkaiden henkilökohtaisia tietoja ja potilaskertomuksia ja julkaisi ainakin 300 ihmisen tietoja internetin salatussa tor-verkossa. Anastettuja tietoja voi olla kymmeniätuhansia.

Maanantaina Laiho pitää kurssia tietoturvasta. Se on hänen työnsä.

Sami Laiho on palkittu moneen kertaan maailmalla ja Suomessa. Hänen Windows-aiheiset luentonsa on palkittu Pohjois-Amerikassa, Euroopassa, Pohjoismaissa ja Australiassa.

Nyt tietoturvasta luennoiva on yksi tietoturvamurron uhreista. Hän kävi Vastaamon asiakkaana vuosia sitten muutaman kerran. Kyse ei ollut pitkäaikaisesta psykoterapiasta.

– Kävin läpi mielessäni, mitä olen puhunut. Se ei haittaa, jos tämä tulee julki.

Sen sijaan sosiaaliturvatunnuksen ja muiden henkilötietojen varastaminen huolettaa. Laihon amerikkalainen ystävä oli identiteettivarkauden uhri ja joutui hirvittävän vaikeaan tilanteeseen. Asunto ja auto menivät alta, eikä mikään pankkikortti toiminut.

Kiristykseen ei pidä suostua

Myös Sami Laiho on saanut Vastaamolta viestin, että hänen tietonsa on viety. Hänen käsityksensä mukaan tietoja ei ole julkaistu tor-verkossa ainakaan vielä.

Kiristäjä on vaatinut Vastaamolta 450 000 euron arvosta verkkovaluutta bitcoineja ja uhannut julkaista lisää tietoja, jos vaatimuksiin ei suostuta. Lisäksi yksittäisiltä asiakkailta on vaadittu 200 euron arvosta bitcoineja ensimmäisen vuorokauden aikana tai 500 euroa sen jälkeen.

Sami Laiho on saanut Vastaamolle antamaansa sähköpostiin kaksi tällaista kiristyskirjettä. Laiho ei ole maksanut kiristäjälle ja kannustaa muita tekemään samoin.

200 euron maksu voi olla houkuttavan pieni siihen nähden, että joutuu näkemään vaivaa luottokieltojen ja muiden kanssa.

Tietoturva-asiantuntija muistuttaa, ettei ole kuitenkaan mitään takeita, että vaikka maksaisi kiristäjälle, tiedot olisivat iäksi poissa internetistä.

Kiristäjä voi kiristää lisää tai myydä eteenpäin tietoja jollekin muulle taholle. Sitäkään ei tiedetä, onko tiedot kopioitu tor-verkosta muualle.

Sami Laiho ymmärtää hyvin, että monelle voi olla haittaa myös terapiakäyntien sisältöjen paljastumisesta.

– Tämä on raa'inta, mitä voi tehdä. Verotietojen julkaiseminen ei ole mitään näihin salaisuuksiin verrattuna.

Sami Laiho toivoo, että hänen esimerkkinsä näyttää, että terapeutin luona voi käydä hyvin monenlaisista syistä ja kuka vain.

– Terapia on Suomessa vähän tabu, mutta Amerikassa ihmetellään, jos ei käy. Oli kuinka superihminen vaan, kaikki siellä terapiassa käy.

Liian lepsua tietoturvaa

Sami Laiho on kiertänyt vuosia puhumassa liian lepsusta tietoturvasta Suomessa ja maailmalla. Pääkäyttäjäoikeuksia on annettu vaikka kenelle ja monessa yrityksessä kaikille työasemille on yhteinen pääkäyttäjäsalasana.

Vuonna 2018 hän kertoi tietotekniikan TiVi-lehdessä (siirryt toiseen palveluun), että 94 prosenttia kaikista Microsoftin tuotteisiin liittyvistä kriittisistä tietoturva-aukoista estettäisiin, jos käyttäjällä ei ole pääkäyttäjäoikeuksia.

Vastaamon tietomurron yksityiskohtia ei vielä tiedetä. Sen voi kuitenkin Laihon mukaan jo sanoa, ettei koko tietokannan häviämisen kerralla pitäisi olla mahdollista, jos tietoturvaan on kiinnitetty yhtään huomiota.

Laiho on selvittänyt tietomurtoa kollegoidensa kanssa ja välittänyt tietoja poliisille. Kuten julkisuudessa on kerrottu, teko näyttää ammattilaisen tekemältä.

Tästä kertoo Laihon mukaan esimerkiksi se, että bitcoin-osoitteet ovat yksilöllisiä. Kiristäjä tietää, kuka on maksanut, kuka ei.

Laiho ja muut hakkeroinnin ammattilaiset ovat nyt rikollisen jäljillä, onko hän kenties mokannut jotain.

Suomessakin on valkohattuhakkereita, jotka auttavat pk-yrityksiä tai viranomaisia. Tampereelle on perustettu tätä tekevä yritys nimeltä Rotco, kertoi TiVi (siirryt toiseen palveluun)viime vuonna.

Sami Laiho haluaisi, että yritykset ottaisivat tietoturvan tosissaan, ettei vastaavaa tapahtuisi.

– Tämä on nyt henkilökohtaista. Kiukku tekijää kohtaan tuo motivaatiota auttaa. Miksi alan ammattilaisia ei kuunnella, kun pienellä vaivalla nämä voisi estää?

