Verkkorikolliset tunkeutuvat sairaalan verkkoon, lukitsevat tiedostoja ja vaativat rahaa – Ovatko tietoni turvassa?

Kiristyshaittaohjelma lukitsee tiedostoja ja vaatii rahaa niiden palauttamiseksi. Suostuisitko vaatimukseen? Moni suostuu, ja siksi kiristyshaittaohjelmista on kasvanut iso bisnes. Tänä keväänä verkkorikolliset ovat iskeneet muun muassa sairaaloihin, yhteiskunnan rakenteisiin. Suomessakin.

tietoturva
Kiristysohjelma tietokoneella.
Juha Rissanen

Tartunta. Siihen oli riittänyt yksi klikkaus. Helsingin ja Uudenmaan sairaanhoitopiirin eli Husin tietoverkossa oli loinen: virus, kiristyshaittaohjelma. Se oli ottanut tietokoneen haltuunsa ja uhannut, että hävittäisi kaikki tiedostot, jos sen lunnasvaatimukseen ei suostuttaisi.

On vaikea sanoa, kumpi hoksasi ensin, mitä oli tapahtunut – sairaanhoitopiirin it-yksikkö, kiitos automaattisten valvontaohjelmien, vai tietokoneen käyttäjä itse, sairaalan työntekijä.

Tiesivätkö verkkorikolliset, että heidän levittämänsä haittaohjelma oli tunkeutunut Suomen suurimman sairaanhoitopiirin, yli 22 000 työntekijän Husin tietoverkkoon? Sitäkin on vaikea sanoa. Varmaa on, ettei potilasturvallisuus ollut vaarassa. Lunnaitakaan ei tällä kertaa maksettu, vaikka rahaa rikolliset ensi sijassa halusivat.

Mikko Hyppönen: Yksi suurimmista ongelmista

Tietoturva-alan ammattilaisten puheissa toistuu kaksi lukua. Ensin 1980-luku, sitten vuosi 2012.

Edellisellä he viittaavat siihen, että ensimmäiset kiristyshaittaohjelman tunnusmerkit täyttävät tietokonevirukset tavattiin jo 30 vuotta sitten. Jälkimmäisellä tarkoitetaan vuotta, jolloin nykyaikaiset kiristyshaittaohjelmat alkoivat toden teolla yleistyä.

Sittemmin tahti on vain kiihtynyt. Alalla on alettu puhua jopa trendistä. Maailmanlaajuisesti kiristyshaittaohjelmahavaintoja raportoidaan vuorokaudessa kymmeniätuhansia, kertoo tietoturva-asiantuntija Juha Tretjakov Viestintäviraston Kyberturvallisuuskeskuksesta.

Se on valtava määrä. "Tietty rikollisaines" on huomannut, että kiristyshaittaohjelmilla voi tienata, Tretjakov tulkitsee ilmiön yleistymisen syitä.

– Nyt käytettävissä olevan tiedon valossa tämä on lisääntymässä oleva rikollisuuden muoto.

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen säestää Tretjakovia: kiristyshaittaohjelmat ovat yleisin tekniikka, jolla verkkorikolliset tällä hetkellä tekevät rahaa.

– Niistä on tullut yksi suurimmista ongelmista, joiden kanssa meilläkin tapellaan.

– Viisi vuotta sitten ongelmana olivat pankkitroijalaiset, sitä ennen luottokorttitietoja tallentavat näppäimistönauhurit. Nyt suurimpana ongelmana ovat nimenomaan lunnastroijalaiset, Hyppönen sanoo.

Kiristyshaittaohjelmatartunnan kaava on yksinkertainen. Useimmiten ne leviävät sähköpostitse: Vastaanottaja saa uskottavalta näyttävän viestin, joka sisältää liitteen, vaikkapa laskun. Se taas sisältää kiristyshaittaohjelman, joka käynnistyy yhdellä klikkauksella. Ohjelma saastuttaa ja lukitsee tietokoneen, salaa tiedostot ja ilmoittaa käyttäjälle, että tämän on maksettava tietty summa rahaa, jos haluaa saada tiedostonsa takaisin.

Rytäkässä voisi menettää vaikka kymmenen vuoden lomakuvat, jos haittaohjelma osuisi yksittäisen ihmisen koneelle.

Siinä tapauksessa että käyttäjällä – yrityksessä työntekijällä – olisi laaja pääsy organisaation tietoverkkoon, kiristyshaittaohjelma voisi saastuttaa muutakin kuin vain yhden tietokoneen tiedot.

Kiristyshaittaohjelmaviestejä lähetetään yleensä massajakeluna, sattumanvaraiselle joukolle. Siksi ei ole ihme, että haaviin osuu silloin tällöin isokin kohde, kuten sairaala – sattumalta tai tarkoituksellisesti. Uutta se kuitenkin on. Vakavaakin, kyse on yhteiskunnan rakenteista.

"Hakkerit pitävät tietoverkkoa panttivankinaan"

Helmikuu 2016. Helsinkiläisen Husin tietojärjestelmässä oli havaittu sen historian ensimmäinen kiristyshaittaohjelma. Vastaavasta ei ollut aikaisempaa kokemusta.

Samaan aikaan kun Husin it-yksikössä selvitettiin tapausta, maailmalla kohistiin yhdysvaltalaisesta sairaalasta, Hollywood Presbyterian Medical Centeristä.

"Hollywoodilaissairaala verkkohyökkäyksen uhri", paikallinen NBC (siirryt toiseen palveluun) otsikoi. "Hakkerit pitävät kalifornialaissairaalan tietoverkkoa panttivankinaan", kirjoitti verkkojulkaisu The Verge (siirryt toiseen palveluun).

Ensimmäisten uutisten mukaan verkkorikolliset olivat saaneet lamautettua sairaalan tietoverkon, eli lukittua pääsyn sähköpostiin ja sähköisiin potilastietoihin, ja vaatineet siltä noin kolmea miljoonaa euroa tiedostojen palauttamiseksi.

Sairaala kiisti väitteet miljoonien eurojen lunnasvaatimuksista.

Myöhemmin sairaala selvensi tapahtumien kulkua tiedotteessaan (siirryt toiseen palveluun):

Henkilökunta oli havainnut, että sairaalan tietoverkkoon pääsyssä oli ollut vaikeuksia. It-yksikkö totesi, että verkko oli joutunut haittaohjelmahyökkäyksen kohteeksi. Kiristyshaittaohjelma oli lukinnut pääsyn "tiettyihin tietokonejärjestelmiin".

Sairaala kiisti tiedotteessaan väitteet miljoonien eurojen lunnasvaatimuksista. Sen mukaan vaatimus oli ollut noin 17 000 dollaria, nykykurssilla noin 15 000 euroa.

Nopein ja tehokkain tapa palauttaa järjestelmät ja hallinnolliset toiminnot oli maksaa lunnaat ja hankkia salausavain, sairaala raportoi . "Niin teimme."

Oli kulunut puolitoista viikkoa siitä, kun haittaohjelmahyökkäys oli havaittu. Sairaala vakuutti, että mikään ei ollut uhannut potilasturvallisuutta. Siitäkään ei ollut näyttöä, että kenelläkään olisi ollut luvatonta pääsyä potilaiden tai henkilökunnan tietoihin.

Hollywood Presbyterian Medical Center oli tiettävästi ensimmäinen sairaala, joka tunnusti julkisesti, että se oli ollut iskun kohteena ja maksanut kiristyshaittaohjelman vaatimat lunnaat. Suomessa tapauksesta uutisoivat lähinnä tietotekniikkamediat.

Hus: Ei vaikuttanut potilastyöhön

Husissa helmikuiseen kiristyshaittaohjelmahavaintoon suhtauduttiin yhdysvaltalaissairaalaa rauhallisemmin. Sairaanhoitopiiri ei tiedottanut siitä julkisuuteen.

Haittaohjelma ja sen vaikutukset eivät näkyneet ulospäin, perustelee Husin tietohallinnon johtaja Pertti Mäkelä. Tietohallinnolle tartunta aiheutti ylimääräistä työtä, koska lukittuja tiedostoja oli palautettava varmuuskopioista.

– [Saastuneet tiedostot] olivat sisäisessä työkäytössämme olevia tiedostoja. Asia ei vaikuttanut potilastyöhön. Sisäistä harmia se aiheutti.

Tapaus ei jäänyt ainoaksi. Keväällä Husin tietoverkkoon tunkeutui kolme muutakin lunnastroijalaista, tiettävästi satunnaisia sähköposteja klikkaamalla.

Kiristysohjelma kännykässä.
Juha Rissanen

KRP: Sairaalaa saatetaan pitää helppona ansaintakohteena

Verkkorikollisten näkökulmasta sairaala on houkutteleva kohde, arvioi rikoskomisario Jyrki Kaipanen keskusrikospoliisin kyberrikostorjuntakeskuksesta. Saattaa olla, että sairaala koetaan helppona kiristys- ja ansaintakohteena, hän arvelee. Niiden hallitsema tieto on kriittistä ja arkaluonteista.

Kaipanen kommentoi asiaa yleisellä tasolla, koska ei tunne Husin tapausta.

Suomessa ja muissa Pohjoismaissa kiristyshaittaohjelmat eivät ole isossa kuvassa iso ongelma, rikoskomisario sanoo. Hän perustaa näkemyksensä kiristyshaittaohjelmatartunnoista tehtyjen rikosilmoitusten määrään. Suomea turvaa ennen kaikkea kieli – moni miettii kahdesti ennen kuin klikkaa liitetiedostoa, jonka on saanut englanninkielisen sähköpostin mukana.

– Pääsääntöisesti haittaohjelmat kohdentuvat Yhdysvaltoihin ja Keski-Eurooppaan. Siellä mennään ihan eri lukemissa kuin meillä.

Kaipanen ei kuitenkaan pidä liioiteltuna Viestintäviraston arviota siitä, että kiristyshaittaohjelmat olisivat yleistymässä ja kyseessä olisi jonkinlainen trendi. Voi olla, että haittaohjelmien uhrit eivät ilmoita kiristyksestä poliisille, vaan maksavat lunnaat ja kärsivät tappiot, hän arvelee.

Tietoverkkorikoksia ilmoitetaan poliisille laiskasti. Yritykset eivät ilmoita niistä, jos eivät koe saavansa siitä hyötyä.

Kokonaiskuvan hahmottamista vaikeuttaa sekin, ettei teonkuvauksessa aina mainita kiristyshaittaohjelmaa tai sen englanninkielistä nimeä, "ransomwarea".

Tietoverkkorikoksia ilmoitetaan poliisille ylipäätään laiskasti, Poliisiammattikorkeakoulussa tehdyssä, huhtikuussa 2016 julkaistussa selvityksessä (siirryt toiseen palveluun) todetaan. Esimerkiksi yritykset eivät ilmoita niistä poliisille, jos eivät koe saavansa siitä hyötyä.

Tähän viittaa myös Viestintäviraston Ylelle esittämä arvio siitä, että pelkästään tänä vuonna kiristyshaittaohjelmatapauksia on ollut suomalaisyrityksissä kymmeniä. Luku ei ole täsmällinen, sillä se perustuu Viestintäviraston tietoon tulleisiin tapauksiin. Todellisuudessa tartuntoja voi olla enemmänkin, tietoturva-asiantuntija Juha Tretjakov sanoo.

Sairaaloissa kiristyshaittaohjelmatartuntoja on ollut muuallakin kuin vain Husissa. Määrää tai sitä, missä sairaalat sijaitsevat, Tretjakov ei paljasta.

– Meille raportoidut tapaukset ovat laskettavissa yhden käden sormilla. Mutta olisin hyvin yllättynyt, mikäli niitä ei olisi enempää. Niitä ei vain katsota tarpeelliseksi raportoida.

Siitä olisi kuitenkin hyötyä rikosten selvittämisessä.

Saksassa salattiin röntgenlaitteen asetustiedostot

Yrityksissä kiristyshaittaohjelmatartunta voi aiheuttaa tuotannollisia seisokkeja, jos virus pääsee leviämään laajalti, Tretjakov havainnollistaa haittaohjelman vaikutuksia. Tyypillisessä yritystapauksessa tartunta voi levitä kymmenestä kahteensataan työasemaan ja saastuttaa kaiken. Niin, ettei työasemia voi käyttää.

Toimintakatkokset ovat mahdollisia myös sairaaloissa. Niitä on ollutkin, Tretjakov toteaa. Saksasta tiedetään tapaus, jossa lunnastroijalainen oli salannut röntgenlaitteen asetustiedostot, eikä laitetta näin ollen voinut käyttää.

– Huonossa tilanteessa tällainen voisi aiheuttaa potilastutkimuksen vaarantumisen. Näissäkään tapauksissa potilaan henki ei onneksi olisi vaarassa.

Sellaiset laitteet, jotka ylläpitävät kriittisiä elintoimintoja, on yleensä eristetty sairaalan muusta tietoverkosta, Tretjakov tähdentää.

– Niihin ei pääse käsiksi, ja hyvä niin.

Pertti Mäkelä ei konkretisoi sitä, millaista hallaa kiristyshaittaohjelmat ovat Husissa tehneet. Hän sanoo vain, että toistaiseksi virusten takia ei ole hävinnyt yhtään tiedostoa, vaan kaikki on pystytty palauttamaan varmuuskopioista.

Eivätkö varmuuskopiot ole jo itsestäänselvyys – onko mahdollista, että jollakin ei olisi varmuuskopioita ollenkaan? Hyvin hoidettu tietohallinto on pitänyt huolta varmuuskopioista, Viestintäviraston Tretjakov vakuuttaa. Mikään ei silti takaa sitä, että kaikki olisivat hoitaneet tehtävänsä hyvin.

"Uskon, että ihmisten tiedot ovat turvassa"

Ovatko potilaiden henkilökohtaiset tiedot turvassa, kiristys- tai muista haittaohjelmatartunnoista huolimatta? Ovat, vastaa kyberturvallisuuden professori Martti Lehto Jyväskylän yliopistosta.

– Paras lääke niin yksittäisellä ihmisellä kuin organisaatiolla on se, että varmuuskopiot ovat kunnossa.

– Sairaaloiden tietojensäilytysvelvoitteet ovat ankaria. Uskon, että ihmisten tiedot ovat turvassa. Tällaisilla hyökkäyksillä ei pyritä ensisijaisesti varastamaan tietoja, vaan yritetään saada tietojärjestelmä nurin ja vaatia rahaa, Lehto selittää.

Juha Tretjakov on samoilla linjoilla:

– Uskon, että Suomessa asiat on hoidettu esimerkillisen hyvin.

Tässä jutussa mainitut Husin ja Hollywood Presbyterian Medical Centerin tapaukset ovat sattuneet helmikuussa. Myös Saksassa uutisoitiin (siirryt toiseen palveluun) noihin aikoihin, että sikäläisissä sairaaloissa oli havaittu kiristyshaittaohjelmatartuntoja.

Vastaus siihen, onko viruksia kohdistettu sairaaloihin varta vasten vai onko kyse sattumasta, riippuu siitä, keneltä asiasta kysyy.

– Suomen osalta tästä ei ole tarkkaa tietoa. Luultavasti niitä kohdennetaan sairaaloihin jonkin verran. Yhdysvalloissa on kohdennettukin. Sairaala voi olla kiristäjälle otollinen kohde, Tretjakov sanoo.

On ihan sattumaa, että Suomessa lunnastroijalaisia on osunut sairaaloihin.

Mikko Hyppönen

Suurinta osaa lunnastroijalaishyökkäyksistä ei kohdenneta millään lailla, huomauttaa puolestaan F-Securen tutkimusjohtaja Mikko Hyppönen. Uhreja ei haarukoida, päinvastoin, kiristyshaittaohjelmien levittäjät pyrkivät saamaan mahdollisimman paljon uhreja.

– On ihan sattumaa, että Suomessa lunnastroijalaisia on osunut sairaaloihin.

Suurimmat ryhmät ovat takoneet satoja miljoonia

Hyppösen mukaan kiristyshaittaohjelmat ovat iso bisnes eikä näytä siltä, että virusten määrä olisi vähenemässä. Suurimmat rikollisryhmät ovat takoneet kiristyshaittaohjelmilla satoja miljoonia, eräs moskovalaisryhmä on tienannut niillä yli 300 miljoonaa euroa kahden viime vuoden aikana, hän tietää.

Sairaalat saattoivat olla tässä vaiheessa hyvä kohde verkkorikollisille, Tretjakov arvioi. Viestintävirasto onkin kevään aikana tiedottanut sairaanhoitopiireille, miten kiristyshaittaohjelmia varten tulisi varautua.

– Toivottavasti tietoisuus asiasta auttaa ja terveydenhoitoalan kiristyshaittaohjelma-aalto alkaisi taittua. Seuraava kohde voi löytyä jostain muualta, Tretjakov sanoo. Hän ennakoi, että verkkorikollisten uusia, mahdollisia kohteita voivat olla esimerkiksi pienet organisaatiot, jotka eivät suhtaudu tietoturvaan vakavasti, vaan kokevat, että se hidastaa työntekoa.

Kiristyshaittaohjelma
Juha Rissanen

Hus ilmoitti poliisille, Varsinais-Suomen sairaanhoitopiiri ei

Päätös oli itsestään selvä. Helsingin ja Uudenmaan sairaanhoitopiiri teki jokaisesta neljästä kiristyshaittaohjelmatapauksesta rikosilmoituksen Helsingin poliisilaitokselle.

– Se kuuluu meidän tietoturvapolitiikkaamme. Jos meitä kohtaan hyökätään, me teemme rikosilmoituksen, Husin tietohallinnon johtaja Pertti Mäkelä sanoo.

Turun seudulla Varsinais-Suomen sairaanhoitopiiri tiedotti (siirryt toiseen palveluun) vuosi sitten, että sen tietoverkossa oli havaittu tietokonevirus, kiristyshaittaohjelma. Siellä päätös oli päinvastainen. Sairaanhoitopiirin tietohallintoylilääkäri Pirkko Kortekangas toteaa, ettei rikosilmoituksen tekoa pidetty tarpeellisena.

Keskusrikospoliisin kanta on, että ilmoitus on suotavaa tehdä. Niin poliisi pysyy kartalla siitä, mitä tapahtuu. Se myös pystyy omilla toimillaan ennalta estämään tartuntatapauksia – tiedottamaan, jos haittaohjelmia on liikkeellä erityisen paljon, ja varoittamaan eri tahoja, rikoskomisario Jyrki Kaipanen perustelee.

Lunnaita keskusrikospoliisi ei suosittele maksamaan.

– Kiristyshaittaohjelmat ovat rikollista toimintaa. Niillä kerätään rahaa. Rahalla rikolliset kehittävät uusia, parempia järjestelmiä.

Husin tapauksissa esitutkinta on vielä kesken, kertoo rikostarkastaja Jukkapekka Risu Helsingin poliisista. Hänen mukaansa kiristyshaittaohjelmat ovat yleistyneet poliisinkin näkökulmasta.

– Alkuun niitä tuli kuluttaja-asiakkaille. Nyt täysin uutena ilmiönä ovat instituutiot, esimerkiksi sairaalat, joihin haittaohjelmia kohdistetaan.

Mitä tekijöistä tiedetään?

Tartuntatapausten selvittäminen on vaativaa. Mahdolliset lunnaat maksetaan virtuaalivaluuttana eli bitcoineina, eikä bitcoinin liikkeitä voi seurata, Mikko Hyppönen sanoo. Se on yhtä vaikeaa kuin käteisen seuraaminen reaalimaailmassa.

Tekijöistä tiedetään hänen mukaansa se, että suurimmat lunnastroijalaisjengit toimivat Venäjältä ja Ukrainasta käsin. Rikollisryhmiä on yhteensä yli neljäkymmentä. Kyse ei ole pikkupoikien puuhasta, Hyppönen korostaa. Bisnes on ammattimaista, ja siinä on mukana vanhempia ja kokeneempia tekijöitä.

Husin Pertti Mäkelä ei usko, että Husin tapauksissa tekijöitä saadaan koskaan kiinni. Ongelma on sen verran yleinen.

– Me emme elä lintukodossa. Elämme muun maailman ympäröimänä, Mäkelä sanoo.