Poliisi alkaa pian kuulla Vastaamo-tietomurron tuhansia uhreja – "Ratkaiseva tekijä voi olla jo nurkan takana", sanoo tutkinnanjohtaja

Psykoterapiakeskus Vastaamosta tietomurroilla vietyjen potilastietojen julkaiseminen netissä alkoi vuosi sitten. Tietoja oli varastettu ensimmäisen kerran jo syksyllä 2018.

Pyskoterapiakeskus Vastaamon toiminta päättyi tietomurron ja sen seurausten vuoksi viime maaliskuussa. Kuva: Petteri Bülow / Yle

Tieto Suomen historian vakavimmasta tietomurrosta tuli julki tasan vuosi sitten. Psykoterapiakeskus Vastaamo tiedotti (siirryt toiseen palveluun), että sen tietojärjestelmistä oli hakkeroitu potilaiden arkaluontoisia tietoja.

Tieto oli pysäyttävä, vaikka tuolloin ei vielä täysin ymmärretty tilanteen vakavuutta.

Nyt tiedetään, että tietomurroissa oli viety yli 30 000 asiakkaan potilas- ja henkilötietoja ja myös henkilökunnan tietoja. Uhrien määrä on Suomen rikoshistorian suurin.

Vastaamon entiset asiakkaat ovat hakeneet konkurssiin haetulta yhtiöltä vahingonkorvauksia yli 208 000 euroa. Rikosilmoituksen tehneet voivat vaatia korvauksia osana rikosprosessia näillä näkymin lokakuun lopulta lähtien.

Tapahtumat ovat paljastuneet pala palalta.

Vastaamo ja asiakkaat joutuivat kiristyksen uhreiksi

Vuosi sitten julkistettu tietomurto oli tapahtunut jo paljon aikaisemmin. Hyökkääjät olivat tunkeutuneet Vastaamon potilastietojärjestelmään kaksi kertaa: ensimmäisen kerran jo syksyllä 2018 ja toisen kerran keväällä 2019.

Hyökkääjä, joka käytti nimimerkkiä ”ransom_man”, otti yhteyttä Vastaamoon syyskuussa 2020 ja vaati tiedoista viikon sisällä 450 000 euron edestä bitcoineja.

Vastaamon asiakkaiden piina alkoi, kun kiristäjä 21. lokakuuta kertoi pimeässä Tor-verkossa hakkeroineensa tiedot ja julkaisi osan niistä. Vastaamo tiedotti asiasta (siirryt toiseen palveluun) muutamaa tuntia myöhemmin.

Yhtiö ei suostunut maksamaan lunnaita, ja kiristäjä alkoi julkaista lisää potilastietoja ja myös kaupata niitä.

Tor-verkossa tietoja vuoroin ilmestyi ja vuoroin katosi. Niitä julkaistiin myös Ylilauta-sivustolla. Näytti siltä, että koko varastettu aineisto oli jonkin aikaa saatavilla.

Tuhansille, ehkä jopa kymmenille tuhansille Vastaamon asiakkaille lähetettiin uhkaavia kiristysviestejä. Niissä vaadittiin maksua päivän tai kahden aikana, jotta tietoja ei julkaistaisi. Jotkut uhreista tiettävästi maksoivat vaaditun summan.

Sadat kiristyksen kohteeksi joutuneet ottivat hädissään yhteyttä hätäkeskukseen.

Psykoterapiakeskus Vastaamon verkkosivu lokakuussa 2020. Kuva: Silja Viitala / Yle

Asiantuntija: vastaavaa ei ole tapahtunut missään muualla

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen arvioi tuolloin, että missään muualla ei ole tapahtunut yhtä laajaa tietomurtoa, jossa olisi varastettu uhreille niin herkkiä tietoja kuin nyt.

Tilanne oli sekava eikä kukaan tiennyt, oliko tietomurron, psykoterapiakeskuksen kiristyksen ja yksityishenkilöiden kiristyksen taustalla yksi vai useampi taho.

Varastetut potilastiedot eivät todennäköisesti olleet enää pelkästään kiristäjän käsissä ja niitä julkaisivat muutkin.

Viime tammikuussa Tor-verkossa julkaistiin linkki mahdollisesti lähes 32 000 potilaskertomusta sisältävään tiedostoon. Ainakin osa julkaistuista potilastiedoista oli aitoja.

Vastaamon tietoturva oli heikko

Vastaamon käytössä oli heikommin valvottu niin sanottu B-luokan tietojärjestelmä. Useat suuret psykoterapiayritykset käyttävät Kanta-palvelun kanssa yhteensopivia A-luokan järjestelmiä, joille tehdään tietoturva-arviointi ja niitä valvotaan tarkemmin.

Vastaamon toimitusjohtajana toimineen Ville Tapion epäillään tienneen ainakin kevään 2019 tietomurrosta ja tietoturvapuutteista, mutta pimittäneen ne.

Tapio sai potkut pian tietomurron julkistamisen jälkeen.

Vastaamon osake-enemmistön vuonna 2019 ostanut pääomasijoittaja vaati kaupan purkua. Kauppoja ei sen mukaan olisi tehty, jos tietomurrosta olisi tiedetty. Riitaa on käsitelty välimiesmenettelyssä.

Poliisi toivoo vielä lisää rikosilmoituksia

Poliisi on etsinyt hyökkääjien jälkiä jo yli vuoden. Vastaamo ilmoitti kiristyksestä tietosuojavaltuutetulle ja poliisille syyskuussa 2020.

Poliisille on tehty 25 000 rikosilmoitusta. Tutkinnanjohtaja Marko Leponen keskusrikospoliisista kertoo, että osa ilmoituksista on päällekkäisiä. Yksittäisiä tietomurron uhreja on ilmoittautunut rikosprosessiin 22 000.

Poliisi arvioi, että uhreja on noin 10 000 enemmän. Leponen toivoo, että rikosilmoituksia tehtäisiin vielä lisää. Viime kesänä tehty vetoomus ei siihen johtanut.

– Syitä voi olla monia. On ihmisiä, jotka eivät ole jaksaneet tai kyenneet lähtemään prosessiin mukaan, ja osa saattanut menehtyä. Päällekkäin menee monta prosessia ja se saattaa hämmentää – missä juuri minun pitäisi olla mukana? Toivon, että he olisivat mukana ainakin poliisitutkinnassa.

Poliisi aikoo aloittaa vielä lokakuun aikana rikoksen kohteeksi joutuneiden kuulemisen sähköisellä lomakkeella.

– Tarkoitus on, että se on uhreille helppo ja turvallinen tapa. He ilmoittavat, että vaativatko he rangaistusta ja korvausta, ja minkälaiset perusteet korvausvaatimukselle on.

Kekusrikospoliisin työryhmä etsii verkosta hakkereiden jättämiä jälkiä. Kuva: Silja Viitala / Yle

Poliisi uskoo yhä vyyhden selviävän

Tutkinnanjohtaja Marko Leponen on antanut toiveikkaita arvioita siitä, että rikosvyyhti on mahdollista selvittää. Näin hän tekee nytkin.

– Tutkinnassa on tapahtunut vuoden aikana merkittävää edistystä, kun ottaa huomioon kuinka suuresta tietomäärästä on kyse.

– On menty vauhdikkaasti eteenpäin, ja koko ajan tulee johtolankoja lisää. Tietoverkkoon jää jälkiä, ja niitä yritämme punoa ja koota yhteen ja selvittää, keitä toiminnan takana on.

Lepponen ei halua ennakoida, milloin rikolliset paljastuvat.

– Tulee varmasti vaatimaan vielä työtä, että ollaan maalissa. Ajankohtaa ei voi ennakoida. Ratkaiseva tekijä voi olla jo nurkan takana tai vasta johtolankojen ketjun päässä.

Konkurssipesä: asiakkaat voivat saada 2 500 euron korvauksen

Vastaamo haettiin viime talvena konkurssiin ja jälkipyykki yhtiön raunioilla jatkuu vielä pitkään.

Tietomurtojen uhrit ovat vaatineet pesäluettelon mukaan Vastaamolta korvauksia 208 000 euroa. Suurimmat yksittäiset vaatimukset ovat runsaat 26 500 euroa.

Lisäksi Vastaamolla oli jo konkurssiinasettamishetkellä vireillä ainakin kaksi yksityishenkilöiden vahingonkorvausvaatimuksia koskevaa riita-asiaa.

Vastaamon konkurssipesä on arvioinut, että yksityishenkilöt voisivat saada korvauksia enimmillään 2 500 euroa.

Itä-Suomen yliopiston julkisoikeuden professori Tomi Voutilainen on pitänyt vahingonkorvausten saamista Vastaamon tietomurrosta monimutkaisena prosessina ja arvioinut, että asiakkaiden kannattaa lähtökohtaisesti hyväksyä 2 500 euron korvaus.

Tuomioistuimessa rikosperusteella määrätty korvaus voi olla pienempi tai sitä ei saa lainkaan. Korvausten saamiseen voi mennä vuosia.

Osa tietomurron uhreista on hakenut henkilötunnuksen muuttamista Digi- ja väestötietovirastolta. Voimassa oleva lainsäädäntö ei mahdollista henkilötunnuksen muuttamista tietomurron vuoksi, ellei kyseessä ole tilanne, josta aiheutuisi esimerkiksi toistuvaa taloudellista vahinkoa.

Henkilötunnuksen vaihtamisen nykyistä helpommin salliva lakimuutos oli tarkoitus tehdä kiireellisesti, mutta se siirrettiin osaksi laajempaa henkilötunnuksen uudistamista. Tunnuksen vaihtaminen aiheuttaa paljon vaivaa eikä se välttämättä edes auta tietomurron uhreja.

Lue lisää: