Vastaamon kiristys kertoo yhteiskunnan toimien tarpeesta

Kaksi päivää sitten tuli julki psykoterapiapalveluita tarjoavan Vastaamon tietomurto. Tietomurrossa onnistunut hyökkääjä oli saanut haltuunsa Vastaamon asiakasrekisterin. Rekisteri sisälsi arkaluontoisia tietoja Vastaamon asiakkaista, kuten terapiamuistiinpanoja. Tämänhetkisen tiedon mukaan rekisteri on saatu haltuun marraskuussa 2018. Tiedoilla oli yritetty kiristää Vastaamolta noin 450 000 euron arvosta bitcoineja, ja kun Vastaamo ei suostunut lunnasvaatimuksiin, hyökkääjä alkoi julkaista tietoja verkossa kerran päivässä, sata tietoa kerrallaan. Aiheesta on käynnistetty poliisitutkinta, ja Vastaamo on tiennyt tietomurrosta jo ennen tämän viikon tapahtumia.

Toimintatapa ei metodeiltaan eroa muusta kyberrikollisuudesta. Tietojen arkaluontoisuus, terapian luottamussuhde ja uhrien asema kuitenkin tekevät tästä erityisen traagisen tapauksen, joka osui tällä kertaa Suomeen. Myös esimerkiksi TAYS on ostanut Vastaamolta lasten ja nuorten psykoterapian palveluja, ja näitä tietoja on saattanut päätyä hyökkääjälle.

Tämänpäiväisten tietojen mukaan hyökkääjän vuotosivusto on poistunut verkosta. Lisäksi liikkuu huhuja että lunnaat olisi maksettu, mutta Vastaamo ei kommentoi huhuja.

Merkittävä tapaus

On erittäin todennäköistä että asiaa tullaan puimaan oikeudessa. Se saadaanko tekijää kiinni ja oikeuteen jää nähtäväksi, mutta yritys saattaa myös joutua oikeudenkäynnin kohteeksi tietosuojaan liittyvistä syistä. Esimerkiksi GDPR-lainsäädännöstä ei juuri ole Suomessa oikeudessa läpikäytyjä ennakkotapauksia, ja jo tietovuodon kohteille tiedottamisessa tapahtunut viive saattaa johtaa oikeuskäsittelyyn. Siitä miten data oli suojattu ja päätyi hyökkääjälle ei ole varmaa tietoa.

Vielä tärkeämpää on kuitenkin se, miten suhtaudumme yhteiskuntana tähän hyökkäykseen. Erityisen tärkeää olisi sisäistää seuraavat asiat: sähköiset järjestelmät sisältävät yhä enemmän ja yhä arkaluontoisempaa tietoa meistä. Yhteiskuntamme toiminta perustuu yhä enemmän tietotekniikan varaan. Tämä lisää vastaavasti yhä enemmän rikollisten kannustimia tehdä rikoksia ja kiristää meitä saamalla järjestelmiämme ja dataamme haltuunsa.

Vastaamon tapaus tuokin meidät suuremman kysymyksen eteen: teemmekö tällä hetkellä oikeita asioita tämä kehitys huomioiden? Emme ainakaan voi vain jättäytyä rikollisten armoille siten että kansalaiset ovat organisaatioiden tietoturvaosaamisen varassa, jotka puolestaan ovat jokainen omillaan. Tarvitaan yhteistä tahtoa ja vastuunottoa.

Mitä yhteiskunnan pitäisi tehdä

Tällaisissa tapauksissa tietovuodon uhrin kantama yksilöllinen hinta on valtava. Rikollisuus aiheuttaa myös ongelmia yrityksille, julkiselle sektorille ja muille organisaatioille. Meillä ei kuitenkaan ole varaa luopua tietotekniikasta tai jäädä tuleen makaamaan. Pelkän asian taivastelun sijaan yhteiskunnan pitäisi pyrkiä seuraaviin asioihin:

  1. Organisaatioiden on otettava vakavasti tietoturva- ja tietosuojariskit. Järjestelmät on suojattava asianmukaisesti ja prosessit tulee hoitaa kuntoon. Mikäli oma osaaminen ei riitä, osaamista on hankittava ulkoa tai riskialtis toiminta on lopetettava. Viranomaisten ja alan ammattilaisten on kaikin keinoin tuettava organisaatioita tässä työssä auttaen, valistaen ja tukien. Tämä vähentää rikollisten onnistumisen edellytyksiä ja siten hyötyjä.
  1. Poliitikkojen ja viranomaisten täytyy pyrkiä tekemään hyökkäyksistä vähemmän houkuttelevia hyökkääjille. Mikäli kiinnijäämisen tai muun negatiivisen seurauksen riski ei ole riittävä, rikollisilla on kannustimet jatkaa. Rangaistuskäytännön pitää olla riittävä, tutkinnan pitää olla tehokasta ja viranomaisille olisi syytä luoda myös offensiivisia kyvykkyyksiä rikollisia vastaan. Esimerkiksi Yhdysvalloilla, Isolla-Britannialla ja Australialla on tällaisia kyvykkyyksiä. Mikä tahansa mikä nostaa hyökkäyksen kustannuksia ja vähentää siten rikollisten hyötyä.
  1. Meidän pitää olla vähemmän ehdottomia ja hakea ratkaisuja. On helppo sanoa että Vastaamo on syyllinen ja johdon pitäisi kärsiä tuomiot, mutta silloin täytyy ymmärtää että kovat rangaistukset lisäävät kannustimia maksaa lunnaat, salata tietovuodot ja näin rahoittaa rikollista toimintaa. On myös helppo sanoa että lunnaita ei pidä maksaa, mutta silloin pitää myös ymmärtää että tietojen julkistamisella on aina omat seurauksensa. 

Vain ottamalla yhdessä yhteiskuntana turvallisen toiminnan mahdollistamisen ja kyberrikollisuuden kitkemisen tavoitteeksemme, voimme päästä sitä kohti. Taivastelu ja muiden tahojen osoittaminen syyttävällä sormella ei johda mihinkään. Meillä on jo poliisi ja oikeuslaitos hoitavat mahdollisuuksiensa rajoissa vastuiden tutkinnan. Muille jää tehtäväksi pyrkiä omalta osaltaan tekemään yhteiskunnastamme kyberturvallisempi, sekä hoitaen oman tonttinsa että auttaen muita ja luoden muille mahdollisuuksia.

Lopuksi: mikäli henkilö on joutunut tietovuodon tai identiteettivarkauden uhriksi, linkissä hyvä kyberturvallisuuskeskuksen ohje siitä miten tilanteeseen tulee reagoida.

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Kategoria Blogi, Näkökulma