Psykoterapiakeskus Vastaamo on vakavan kiristyksen kohteena. Kiristäjä julkaisi aluksi sadan asiakkaan potilastiedot. Talouselämä kertoo, että kiristäjä on yöllä julkaissut Tor-verkossa lisää Vastaamon asiakkaiden nimiä.

Kiristäjällä on hallussaan omien sanojensa mukaan kymmeniä tuhansia potilastietoja, joita hän voi yhä julkaista.

Kiristäjä on uhannut julkaista sadan potilaan tiedot joka päivä, mikäli hänelle ei makseta lunnaita.

Tiedot ovat todella arkaluontoisia. Niistä ilmenee esimerkiksi potilaiden terapeuteilleen kertomia asioita. Lisäksi tiedoista selviää asiakkaiden nimiä, osoitteita, puhelinnumeroita ja henkilötunnuksia.

Tiedot vuotanut hakkeri julkaisi alun perin Ylilauta-verkkosivulla linkin vuodettuihin tietoihin. Viesti on nyt poistunut sivustolta.

Hakkeri kertoi englanninkielisissä viesteissään, että oli kiristänyt yrityksen toimitusjohtajalta 40:tä virtuaalivaluutta bitcoinia. Ne vastaavat yli 400 000 euroa. Bitcoineja ja niiden liikkeitä ei voida jäljittää helposti. Siksi hakkerit suosivat tätä kryptovaluuttaa. Toimitusjohtaja kieltäytyi hakkerin mukaan maksamasta.

Keskusrikospoliisin rikoskomisario Marko Leponen kertoo, että kuvauksen mukainen tapaus on keskusrikospoliisin tutkinnassa, mutta Poliisi ei vahvista uhrin nimeä vielä.

"Arkaluontoisen tiedon päätyminen vääriin käsiin on aina vakavaa. Ja tietysti yhden henkilön kohdalla se on aina inhimillinen tragedia, kun näin pääsee käymään", hän sanoo.

Hakkeri: Tietomurto onnistui varsin yksinkertaisesti

Hakkeri itse kertoi Ylilauta-sivustolla tietomurron Vastaamon tietokantaan onnistuneen varsin helposti tiettyjä oletusasetuksia hyödyntämällä.

"Minulla ei ole tarkkoja tietoja tästä tapauksesta, mutta jos tietokantapalvelin on ollut auki internetin suuntaan, kuulostaa uskottavalta murtautumistavalta", Kyberturvallisuuskeskuksen erityisasiantuntija Perttu Halonen sanoo.

Vastaamon hallituksen puheenjohtajan Tuomas Kahrin mukaan asiasta on käynnissä rikostutkinta, ja siksi hän ei voi ottaa murtautumistapaan tarkemmin kantaa.

”Vastaamon tietojärjestelmiä on tarkistettu, ne ovat vahvasti suojattu ja niiden käyttöä valvotaan tehostetusti tietoturva-ammattilaisten toimesta. Teemme kaikkemme selvittääksemme tapahtunutta ja pyrimme yhteistyössä viranomaisten kanssa estämään luottamuksellisten tietojen leviämistä”, hän sanoo.

Tietoturva-asiat ovat tuskin olleet täysin tuntemattomia yrityksessä, sillä Vastaamon toimitusjohtajalla Ville Tapiolla oli 15 vuoden kokemus ohjelmistoalalta ennen kuin hän siirtyi Vastaamon toimitusjohtajaksi vuonna 2013.

Tor-verkko vaikeuttaa tutkintaa

Tietojen saaminen pois internetistä on vaikeaa, sillä ne ovat tiukasti suojatun Tor-verkon puolella. Hakkeri on jakanut "tavallisen" internetin puolelle linkkejä Tor-verkon osoitteeseen.

"Tietojen pois saaminen on vaikeaa, koska verkko on rakennettu siten, että rikollisen käyttämän palvelimen sijaintia tai omistajaa on vaikea saada selville. Poliisilla on pakkokeinoja, mutta eivät ne tältä istumalta vaikuta. Palvelin ei todennäköisesti ole Suomessa", Halonen sanoo.

"Kaikkien, joita tietovuoto koskee, kannattaa tehdä asiasta rikosilmoitus."

”Tiedoilla voi olla hyvin merkittäviä vaikutuksia henkilön tilanteeseen”

Vastaamolla on käytännössä ollut potilasrekisteri potilaistaan. Kyberturvallisuuskeskuksen Halosen mukaan Suomen laissa on erityissääntelyä juuri terveyspalveluiden asiakastietoja koskien.

"Yleisessä tietosuoja-asetuksessa on tunnistettu erityissuojattavat henkilötiedot, joita esimerkiksi terveyttä koskevat tiedot ovat", hän kertoo.

Apulaistietosuojavaltuutettu Jari Råman puolestaan kertoo, että potilastiedot ovat arkaluontoisia tietoja, joilla voi olla hyvin merkittäviä vaikutuksia henkilön tilanteeseen, jos ne joutuvat vääriin käsiin.

”Tietojen arkaluonteisuuden suhteen terveystiedot ovat ihan kärjessä. Ne menevät syvälle henkilöön. Varisinkin tämän tapauksen kaltaiset tiedot. Myös pelkkä tieto siitä, että potilastiedot ovat vuotaneet aiheuttaa merkittävää henkistä kärsimystä”, hän sanoo.

”Seurauksena voi olla mainehaittaa. Voi myös joutua kiusaamisen tai kiristyksen kohteeksi. Muitakin haittoja voi olla”.

Yritys voi joutua vastuuseen – rangaistuksen koko skaala voi olla käytössä

Råmanin mukaan potilasrekisteriä ylläpitävällä yrityksellä on vastuu suojata tiedot suhteessa riskitasoon, joka tietojen käsittelyssä syntyy. Yrityksen pitää siis investoida ja toimia sen mukaan, että tiedot ovat riittävästi suojattu.

”Heillä on täysi vastuu, jos suojaustoimenpiteet eivät ole olleet riittävät. Tässä tapauksessa ne tulevat myöhemmin arvioitavaksi”, hän sanoo.

Seuraukset voivat olla Råmanin mukaan vakavat, mutta kuitenkin aina tapauskohtaiset.

”Tietosuojaviranomaisen toimesta voidaan mennä aina hallinnollisiin seuraamuksiin ja maksuihin saakka. Skaala on sinällään kokonaan käytössä, riippuen siitä, onko tietoturvassa ollut puutteita”, hän sanoo

Ensisijaisesti tietosuojavaltuutetun virasto pyrkii käsittelemään asiaa sen suhteen, miten asiasta ilmoitetaan rekisteröidyille. Asia selviää lähipäivinä.

”Seuraavaksi rekisterinpitoa selvitetään laajemmin, mutta poliisi tutkii asiaa ensin esitutkinnassa. Teemme heidän kanssaan yhteistyötä. Rekisterin pitäjällä on myös velvollisuus informoida rekisteriin kuuluvia tietoturvaloukkauksesta muutenkin kuin vain nettisivullaan”, hän sanoo.