torstai 21. lokakuuta 2021

Vuosi Vastaamo-tapauksesta

Tänään 21.10. tulee kuluneeksi vuosi Vastaamon tietomurron paljastumisesta mediassa. Ensimmäinen juttu tapahtuneesta oli Henrik Kärkkäisen uutinen  Psykoterapiakeskus joutui tietomurron kohteeksi - potilastiedot varastettiin. Seuraavan vuoden keväällä Kärkkäinen palkittiin suurella journalistipalkinnolla Vastaamo-uutisoinnistaan.

Ja uutisoitavaa totisesti riitti! Kärkkäinen oli yhteydessä kiristäjään, joka alkoi julkaista tietoja pimeässä verkossa sadan henkilön erissä. Verkkoon lipsahti suurikokoinen tiedosto, jota kukaan ei ehtinyt ladata kokonaisena. Koska Vastaamo oli kieltäytynyt maksamasta, kiristäjä alkoi vaatia rahaa uhreilta. Lauantai-iltana heidän sähköposteihinsa ilmestyi lunnasvaatimus Bitcoineina.

Vastaamo on säilynyt otsikoissa näihin päiviin asti. Tammikuussa tietoja levitettiin tavallisen verkon puolella, helmikuussa yhtiö ajautui konkurssiin ja elokuussa netissä toimi hetken vastaamohaku.com, jolla kuka tahansa pystyi hakemaan tietoja. Se saatiin kuitenkin suljettua nopeasti. 

Vielä viikko sitten Vastaamo oli uutisissa, kun Asiakastieto lähetti epäselvän tiedotteen luottotietovahdin muutoksista. 

Miten Vastaamon tietomurto todella tapahtui ja kuka siitä tiesi, on vieläkin epäselvää. Ehkä asioihin saadaan valaistusta sitten, kun poliisitutkinta valmistuu ja asiaa aletaan käsitellä oikeudenkäynnissä. Rikosnimikkeet tulevat olemaan yksi mielenkiinnon kohde.

Uhreille kulunut vuosi on ollut yhtä kärsimystä. Potilaskertomusten vuotamisen lisäksi nettiin on päätynyt myös henkilötietoja, joita on saatettu käyttää identiteettivarkauksiin. Uhrit ovat joutuneet ottamaan maksullisia luottokieltoja, jotta heidän tietojaan ei käytettäisi väärin. Tiettävästi mitään laajaa väärinkäytösaaltoa ei ole tapahtunut. Suhtautuminen verkkotilauksiin on kiristynyt aiemmasta, eikä identiteettivarkaus enää onnistu yhtä helposti kuin aiemmin.

Ylen arvion mukaan uhrit voisivat saada Vastaamon konkurssipesältä enintään 2500 euron korvaukset. Se tuskin kattaa henkisiä kärsimyksiä. Yli 25 000 uhria on tehnyt rikosilmoituksen. Tuntuu kohtuuttomalta, että tällaisessa jutussa jokainen joutuu hoitamaan asiansa itsenäisesti, vaikka kaikkien rikostapaus on samanlainen. Korvausten hakeminen ei sekään ole yksinkertaista.

Saadaanko tekijää koskaan selville ja vastuuseen? Mikko Hyppönen uskoo, että tekijä jää kiinni. Itse en usko. Poliisi on viran puolesta optimistinen. Kesäkuussa tutkinnanjohtaja Marko Leponen KRP:stä kertoi tutkinnan etenevän hyvin. 

Digitaaliset jäljet ehtivät kuitenkin kylmetä jo ennen kuin poliisitutkinta alkoi. Tekijän selvittäminen, tuomiosta puhumattakaan, voisi toteutua vain, mikäli kiristäjä tulee katumapäälle ja tunnustaa tekonsa. Se ei ole todennäköistä.

Vastaamosta on opittu paljon, kantapään kautta. Suomen pahin it-rikos havahdutti huomaamaan, miten heikkoa kriittisten henkilötietojen valvonta on, ja miten nettisivulla annetut hurskaat vakuuttelut turvallisesta käsittelystä ovat pelkkää sanahelinää, jos niin ei todellisuudessa toimita.

Vastaamon tietomurto elää myyjien, konsulttien ja it-ammattilaisten puheissa ja Powerpointeissa vielä vuosia. Tapaus osoitti, miten tietoturvamokat voivat kaataa koko yrityksen. Kukaan ei halua uudeksi vastaamoksi.

Myös rangaistuksia pitäisi miettiä uudelleen. Vakavakin tietomurto voi jäädä ilmoittamatta, koska työntekijää ei voi rangaista siitä. Julkishallinnossa tilanne on virkavastuun vuoksi toinen. Maksimirangaistus tietosuojarikoksesta (tahallaan tai törkeästä huolimattomuudesta rikkoo henkilötietojen käsittelyn turvallisuutta) on mitätön yksi vuosi, joten syyteoikeus vanhenee kahdessa vuodessa. Saa nähdä, ehditäänkö Vastaamossa syytteitä edes nostaa siinä ajassa.

Toivottavasti Vastaamo jää alan suurimmaksi rikokseksi, eikä suurempaa ruumista Suomen oloissa enää tule. Silloin tapahtuneesta olisi edes jotain hyötyä.

2 kommenttia:

Anonyymi kirjoitti...

Mitkä muuten mahtavat olla vanhenemisajat näissä tapaukseen liittyvissä rikoksissa?

K: Miksikö mietin sitä?

V: Viime aikoina rikosten tekijöillä on ollut taipumuksena yhä useammmin yrittää iltalypsää* teoillaan myöhemmin, joko tuomion lopulta alkaen tai viimeistään syyteoikeuden vanhennuttua.

*) ks. truecrime

IMHO, häpeämätön rikoksilla retostelu pitäisi säätää rikokseksi samoin kun siihen tietoisesti osallistuminen. Mutta siihen asti kun se ei sitä ole selkärangaton media kyllä tulee auttamaan rahan kiilto silmissä tässäkin tapauksessa surkimusta joka sen teki.

Anonyymi kirjoitti...

Vastaamossa riittääkin selvitettävää moneksi vuodeksi. Lähinnä viranomaisten toiminnassa. Alan tietojärjestelmiä valvova viranomainen oli hyväksynyt omaan luokitteluunsa perustuvan alemman tason tietoturvan, jota ei oltu mitenkään auditoitu.

Ennen tietomurtoa vakavarainen yritys ajettiin pikavauhtia konkurssiin vahingonkorvausvastuun välttelemiseksi ja liiketoiminta myytiin ulos pilkkahinnalla.

Yrityksen perustajia on mielestäni syyllistetty kohtuuttomasti julkisuudessa. Tietomurron tekivät kuitenkin rikolliset hyötymistarkoituksessa. Murtoja tietojärjestelmiin tapahtuu kuitenkin koko ajan. Jopa viranomaisten järjestelmiin, kuten vaikkapa ulkoministeriöön ja isoon yritykseen nimeltä Nokia.