KRP:n esitutkintamateriaalin perusteella psykoterapiakeskus Vastaamon tietoturva oli niin hunningolla, että yrityksen palvelinta onnistuttiin käyttämään osana kyberhyökkäystä Venäjältä käsin. Toisella palvelimella virus louhi salaa kryptovaluuttaa yrityksen tietämättä.
Esitutkinnan mukaan Vastaamon vakavat tietoturvaongelmat eivät rajoittuneet syksyllä 2020 tapahtuneeseen suureen tietovuotoon tai aiemmin vuosina 2018 ja 2019 tapahtuneisiin tietomurtoihin, joista on julkisuudessa kerrottu.
Entisen toimitusjohtajan Ville Tapion oikeudenkäynnin myötä julkiseksi tullut esitutkintamateriaali paljastaa, että yrityksen palvelimille tunkeuduttiin luvatta todennäköisesti myös useilla muilla kerroilla.
Lue myös: Vastaamon ex-toimitusjohtaja kiistää kaiken: Väittää, että katastrofaaliset tietoturvaongelmat johtuivat työntekijöistä – MTV paikalla oikeudenkäynnissä
Kaikki pielessä
KRP:n selvityksen mukaan Vastaamon tietoturva-asiat olivat kaikkiaan katastrofaalisen surkealla tolalla.
Käytännössä kaikki yrityksen tietoturvaan ja potilastietojen suojaamiseen käyttämät keinot olivat puutteellisia tai olemattomia. Kriittisiä ongelmia oli esimerkiksi palomuureissa, VPN-yhteyksissä, salasanakäytännöissä sekä potilastietokantojen hallinnoinnissa.
Kaiken summana oli, että käytännössä kellä hyvänsä oli mahdollisuus kirjautua psykoterapiakeskuksen potilastietokantaan internetin välityksellä.
Luvaton sisäänpääsy oli vieläpä poikkeuksellisen helppoa.
Palvelimen ylläpitäjän käyttäjätunnuksille, niin sanotuille root-tunnuksille, ei ollut määritelty minkäänlaista salasanaa, ja yhteydenotto oli mahdollista mistä hyvänsä. Myös ilman turvattua VPN-yhteyttä.
Näin siitä huolimatta, että palvelimella oli potilaiden kaikkein arkaluontoisimpia ja henkilökohtaisimpia salaisuuksia sisältäviä terapiakertomuksia.
Tietoturvan tasoa kuvaa hyvin se, että palvelimen suojaksi viritetty palomuurikin päästi läpi kaiken liikenteen – myös esimerkiksi IP-osoitteista, joita tiedettiin käytetyn kyberhyökkäyksissä. Syynä oli, ettei palomuuria ollut osattu asentaa oikein.
Lue myös: KRP:n esitutkintamateriaali: Vastaamon potilastietokannan salasana oli 7 merkkiä pitkä, selkokielinen ja käytössä vuodesta 2012
Ulkopuolinen asiantuntija: Amatöörimäisiä virheitä
KRP:n lisäksi yrityksen tietoturvaa on kauhistellut ulkopuolinen asiantuntijayritys Nixu Corporation.
Yritys palkattiin selvittämään tietoturva-asioita syksyllä 2020, kun yritys joutui potilastietoja varastaneen tietomurtajan kiristyksen kohteeksi.
Nixun edustaja arvioi KRP:n kuulusteluissa, että Vastaamon tietoturva oli kaiken kaikkiaan "alkeellisella" tasolla ja että yrityksessä tehtiin amatöörimäisiä virheitä.
Asiantuntija kertoi, että psykoterapiakeskuksen tietokantaan oli tehty vuosien aikana satoja luvattomia ja ulkopuolisia verkkoyhteyksiä, joista osa oli "varmasti" johtanut kirjautumiseen.
Tietoturvaselvitystä johtanut asiantuntija arveli, että kyberrikolliset olivat oletettavasti päässeet nuuskimaan potilastietokantaa ja katsomaan, löytyisikö sieltä luottokorttinumeroita tai muuta helposti rahaksi muutettavaa tietoa.
Potilastiedot siis kaikesta päätellen vaarantuivat useaan otteeseen jo ennen syksyä 2020.
Harjoittelijalla pääsy potilaiden tietoihin
Huonot turvakäytännöt eivät esitutkintamateriaalin perusteella rajoittuneet vain digitaaliseen maailmaan. Erikoisuuksia oli myös esimerkiksi siinä, kenellä oli pääsy yrityksen järjestelmiin ja tiloihin.
Esitutkintamateriaalista selviää, että Vastaamossa kävi vuosien aikana useita työharjoittelijoita.
Ainakin yhdelle annettiin työntekijöiden kertoman mukaan ylläpitäjän oikeudet yrityksen työasemille ja web-palvelimelle. Lisäksi henkilöllä oli avaimet yrityksen tiloihin sekä tietoturvan kannalta kriittiseen kytkinkaappiin.
Pääkäyttäjätunnuksilla opiskelija pääsi yrityksen työntekijöiden sähköposteihin sekä ajanvarausjärjestelmään, joka sisälsi asiakkaiden nimiä, henkilötunnuksia ja mahdollisesti myös syyt vastaanottokäynneille.
Erään Vastaamon työntekijän väittämän mukaan harjoittelija puuhaili yrityksen toimipisteessä öisin tai iltaisin, kirjautui satunnaisille työpisteille sekä työntekijän väittämän mukaan jopa kävi läpi yhden yrityksen työntekijän sähköpostia.
Palvelinta ohjattiin Venäjältä
Työntekijän kertoman mukaan harjoittelijan haltuun myös luovutettiin yksi yrityksen testipalvelimista. Harjoittelija sai tunnukset, eivätkä yrityksen IT-vastaavat sen jälkeen tienneet, mitä palvelimella tapahtui.
Myöhemmin selvisi, että palvelinta oli käytetty osana kyberhyökkäystä.
Asiaa puitiin IT-työntekijöiden välisissä Skype-keskusteluissa, jotka ovat osa KRP:n esitutkintamateriaalia.
Viesteissä eräs työntekijä kertoo toiselle, että palvelimen kaikki tietoliikenneportit ovat olleet avoinna internetiin, ja että palvelin on vastaanottanut noin 12 gigabitin edestä tietoliikennettä päivittäin.
Palvelinta oli käytetty aktiivisesti etäyhteyksin Venäjältä käsin. Kyse oli palvelunestohyökkäyksestä. Palvelin oli ilmeisesti ollut osana laajempaa kyberrikollisten kaappaamaa bottiverkkoa.
Harjoittelija ei tiennyt tästä KRP:n kuulusteluissa mitään.
Harjoittelijan mukaan hänestä ei huolehdittu, ja hän joutui itse keksimään omat työtehtävänsä harjoittelutodistukseen.
Henkilöä kuultiin todistajana, eikä häntä epäilty rikoksesta.
"Ihme jos joku ei oo koko kantaa jo imassu"
Vastaamon työntekijöiden välisistä Skype-viesteistä käy myös ilmi, että yrityksen sisällä oli huolta tietoturva-asioista jo hyvissä ajoin ennen kuin asiaa puitiin julkisuudessa.
Helmikuussa 2019 IT-työntekijöiden välisessä keskustelussa enteiltiin pahaa:
– Ihme, jos joku ei oo koko firman (tieto)kantaa jo imassu, se siis todella suuri ihme, jos ei ole.
– Koko sivusto vittu tietomurto, viestittely jatkoi.
Avautuminen jatkui:
– Meijän tietoturva on ihan retuperällä, ollaa iha vitun kusessa, tää tietoturpa juttu menee salee meijä syyks sitku kosahtaa, pakko jotenki dokumentoida et budjetti ei anna myöten, vaikka on ehdotettu.
Huoli liittyi muun muassa projektiin, jossa Vastaamo oli järjestänyt Parkanon kaupungille verkkosivuston, jolla kartoitettiin asukkaiden elämänlaatua ja pohjustettiin mahdollisia terapiajaksoja.
Tämänkin palvelun tietoturva oli karmaisevan huono.
Virus louhi kryptovaluuttaa
Työntekijät olivat panneet jo varhaisessa vaiheessa merkille, että kaikilla nettipalvelun käyttäjillä oli pääsy muiden käyttäjien antamiin tietoihin, eli henkilötietoihin sekä palveluun kirjoitettuihin vastauksiin.
Maaliskuussa 2019 palvelimelta puolestaan löydettiin virus, joka louhi kryptovaluutta Moneroa salaa.
Virusta ei ollut hoksattu aiemmin, koska käytössä ei ollut minkäänlaista viruksentorjuntaa.
Samassa kuussa Vastaamon varsinaiseen potilastietokantaan iskettiin, ja tietokanta tuhottiin täysin. Syksyllä 2020 yritystä puolestaan alettiin kiristää asiakkaiden potilastietojen julkaisun uhalla. Tiedot vuodettiin lopulta pimeään Tor-verkkoon.
Entistä toimitusjohtajaa Ville Tapiota syytetäänkin nyt oikeudessa muun muassa siitä, ettei hän pitänyt toimitusjohtajana tarpeeksi hyvää huolta yrityksen tietoturva-asioista. Syyttäjien mukaan Tapio tiesi muun ohella maaliskuun 2019 tietomurrosta, mutta ei raportoinut siitä viranomaisille.
Tapio itse kiistää rikoksen ja sen, että olisi ollut tietoinen tietoturvaongelmista. Hän on vierittänyt vastuuta yrityksen entisten IT-työntekijöiden harteille. Heitä ei syytetä oikeudessa rikoksesta. Oikeudenkäynti jatkuu perjantaina.
Syyskuun 2020 tietovuodon osalta asian esitutkinta on edelleen kesken. Rikoksista epäillään parikymppistä tietoverkkorikollista Aleksanteri Kivimäkeä.