1. yle.fi
  2. Uutiset

Vastaamo-kiristäjä teki pahan virheen perjantaina, sanoo F-Securen Hyppönen: "Hän päästi käsistään kaikkein tärkeimmän tietonsa"

Tietojen mahdollinen leviäminen tarkoittaa sitä, että kiristäjän on vaikeampi hyötyä varastetuista tiedoista.

Vastaamon tietomurto
Mikko Hyppönen
F-Securen tutkimusjohtaja Mikko Hyppönen kertoi A-studiossa, millainen tekijä löytyy Vastaamon hakkeroinnin takaa. Kuva: Petteri Sopanen / Yle

Psykoterapiakeskus Vastaamon varastetut potilastiedot eivät todennäköisesti ole enää pelkästään kiristäjän käsissä, arvioi tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.

Rikollinen julkaisi viime viikolla yhteensä noin 300 asiakkaan potilastiedot anonyymissä Tor-verkossa. Perjantaiaamuna sivuille ilmestyi hetkeksi myös suuri 10 gigatavun tiedosto, jonka moni muu netinkäyttäjä kertoi saaneensa ladattua ainakin osittain.

Vielä ei ole tietoa, mitä suuressa tiedostossa on ollut. Hyppönen pitää kuitenkin todennäköisenä, että siinä on ollut koko potilastietokanta.

Tähän viittaa muun muassa se, että viikonlopun ja alkuviikon aikana Torilauta-foorumilla on julkaistu laittomasti uusia potilastietoja. Ylen tietojen mukaan ne eivät ole peräisin kiristäjän alun perin julkaisemista tiedostoista. Julkaisijat ovat olleet eri nimimerkkejä kuin kiristäjänä esiintynyt käyttäjä.

– Se oli kieltämättä todella iso moka hyökkääjältä. Hän päästi käsistään kaikkein tärkeimmän tietonsa, jota hän ei missään tapauksessa haluaisi päästää käsistään, Hyppönen sanoo.

– Miten hän pystyy näin paljon mokaamaan, en osaa sanoa. Varmaan se on ollut vahinko. Ehkä hänellä on mennyt kaksi samannimistä tiedostoa sekaisin. Siellähän oli kaksi erikokoista samannimistä tiedostoa vähän aikaa.

Tiedoston suuri koko viittaa Hyppösen mielestä siihen, että siellä oli muutakin kuin tekstiä. Edes 40 000 ihmisen potilaskertomukset eivät tekstinä vie kymmentä gigaa tilaa.

Myös poliisi vahvistaa, että tietojen leviämisestä on viitteitä. Rikosylikomisario Tero Muurman ei kuitenkaan osaa sanoa, onko kiristäjä julkaissut nettiin kaikki varastamansa potilastiedot vai vain osan.

Kiristyksen uhrien kannalta tietojen mahdollinen leviäminen tarkoittaa entistä vahvemmin sitä, että lunnaita ei kannata maksaa. Vaikka alkuperäinen kiristäjä poistaisi tiedot, hänen tilalleen saattaa tulla uusia.

Poliisi ja Bitcoin-välittäjät ovat muutenkin ohjeistaneet uhreja olemaan maksamatta kiristäjälle.

"Hän vaikuttaa aika oikukkaalta"

Kiristyskirjeiden lähettäminen merkitsi myös muutosta hyökkääjän toimintatavoissa. Alun perin hän vaati lunnaita pelkästään Vastaamolta. Syystä tai toisesta kiristäjä käänsi huomionsa lauantaina Vastaamon asiakkaisiin.

Hyppösen silmissä kiristäjän viimeisin liike tuntuu ehkä jopa epätoivoiselta yritykseltä saada operaatiosta edes jotain rahallista hyötyä.

– Hän vaikuttaa aika oikukkaalta. Tuntuu, että hänellä ei ehkä ollutkaan niin vahvaa suunnitelmaa. Tämä on yksi niistä syistä, minkä vuoksi hyökkääjä alkaa minusta vaikuttaa enemmän yksittäiseltä tekijältä kuin ammattimaiselta rikollisjengiltä, Hyppönen sanoo.

Martti Lehto
Martti Lehdon mukaan asetelma on nyt eri kuin terveydenhuollon yksiköihin yleensä kohdistuneissa kiristystapauksissa.Jyväskylän yliopisto

Kiristäjä vaikuttaa siis ajautuneen tilanteeseen, jossa hänellä ei välttämättä ole enää mitään, millä kiristää. Saman on pannut merkille terveyspalveluihin kohdistuneita tietomurtoja tutkinut työelämäprofessori Martti Lehto Jyväskylän yliopistosta.

Hänen mukaansa asetelma on hyökkäyksissä usein erilainen: hakkerit estävät esimerkiksi sairaalaa käyttämästä potilastietojärjestelmää, kunnes lunnaat on maksettu. Näissä kiristyksissä on välillä onnistuttu.

– Nyt Vastaamon toimintakyky ei sinällään ole kohteena. Teknisesti Vastaamo voisi jatkaa toimintaansa kuten ennenkin, Lehto miettii.

Myös uhka mainehaitasta on Vastaamon kohdalla jo toteutunut. Asiakkaiden ja yhteistyökumppaneiden luottamus yhtiöön on kokenut kolauksen.

Rikollisten pitkä odotusaika saattoi olla harkittu teko

Vastaamo myönsi maanantaina, että yrityksen tietojärjestelmiin on kohdistunut kaksi tietomurtoa. Nyt kiristykseen käytettävät tiedot on saatu marraskuussa 2018. Lisäksi tietoon on tullut maaliskuulta 2019 toinen tietomurto. Sen todellinen merkitys on vielä epäselvä.

Vastaamon mukaan toimitusjohtaja Ville Tapio pimitti tietoa tietomurrosta puolentoista vuoden ajan. Maanantaina yhtiö kertoi erottavansa Tapion. Myöhemmin Tapio kiisti tienneensä vuoden 2018 tietomurrosta.

Vielä ei tiedetä, miksi varastettuja tietoja alettiin käyttää hyväksi vasta kaksi vuotta tietomurron jälkeen. Sekä Mikko Hyppönen että Martti Lehto näkevät kuitenkin, että odotus saattoi olla harkittu teko. Sen aikana osa todisteista ehtii kadota.

– Jos murto olisi tehty äskettäin, siitä olisi paljon lokidataa, metadataa, ehkä jopa auki olevia sessioita. Vanhassa ei ole välttämättä mitään jäljellä, Hyppönen sanoo.

Toinen mahdollinen vaihtoehto on, että tiedot on varastanut alun perin joku muu, joka on myynyt ne eteenpäin nykyiselle kiristäjälle.

Keskusrikospoliisi tutkii Vastaamon tietomurtoa törkeänä tietomurtona, törkeänä kiristyksenä ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä.

Poliisi on ollut tutkinnan etenemisestä erittäin vaitonainen. Poliisi ei kerro, onko sillä epäiltyä tai epäiltyjä. Tiedotuslinjasta ei voi päätellä, onko poliisi tekijän jäljillä vai ei.

F-Securen tutkimusjohtaja Mikko Hyppönen oli tiistaina A-studion vieraana klo 21 Yle TV1:ssä ja Yle Areenassa.

Lue myös: Paljastaako pilkutus jotakin Vastaamon kiristäjästä? Miksi hän ei osaa teititellä suomeksi? Tämä tiedetään valtavasta kiristysvyyhdistä

Kuuntele: Takaisin Pasilaan:

Lue seuraavaksi