Aleksanteri Kivimäen epäillään saaneen Vastaamo-kiristyksestä vain noin kymppitonnin – rikoksen hintalappu puolestaan kivunnee miljooniin: ”En tiedä kuinka paljon on tehnyt riskiarviointia”

Psykoterapiakeskus Vastaamon asiakkaat saivat syksyllä 2020 hätkähdyttävän viestin:

Kuten todennäköisesti tiedätte jo uutisista, olemme murtautuneet Vastaamon potilastietokantaan, otamme Teihin yhteyttä koska olette käyttäneet vastaamon terapia- ja/tai psykiatriapalveluita.

Koska tämän yrityksen johto on kieltäytynyt ottamasta vastuuta omista virheistään, joudumme ikävä kyllä pyytämään Teitä maksamaan pitääksenne henkilötietonne turvassa.

Seuraa alla olevia ohjeita lähettääksesi Bitcoineja osoitteeseemme. Jos vastaanotamme 200 euron arvosta Bitcoineja 24 tunnin kuluessa, tietonne poistetaan pysyvästi palvelimiltamme.

Jos emme vastaanota tätä maksua 24 tunnin sisällä, Teillä on vielä toiset 48 tuntia hankkia ja lähettää meille 500 euron arvosta Bitcoineja. Jos emme tämänkään jälkeen vastaanota rahojamme, tietonne julkaistaan kaikkien nähtäville, sisältäen nimenne, osoitteenne, puhelinnumeronne, henkilötunnuksenne, sekä tarkan potilaskertomuksenne joka sisältää mm. litterointeja keskusteluistanne Vastaamon terapeutin/psykiatrin kanssa.

Kiristysviestin perässä oli ohjeet bitcoinien hankkimiseen sekä henkilökohtainen osoite, jonne varat tuli lähettää.

Suurin osa vastaanottajista jätti maksamatta.

Silti noin 30 ihmistä noudatti ohjeita ja siirsi joko 200 tai 500 euron arvosta Bitcoin-virtuaalivaluuttaa kiristäjän ilmoittamaan osoitteeseen. 

Yhteensä kiristäjä keräsi siis noin 6 000–15 000 euroa, jos saalis lasketaan bitcoinin silloisella arvolla.

Lue myös: Poliisi kertoo MTV:lle, miten iso takavarikko Tuusulassa paljasti Vastaamo-jutun pääepäillyn – tietomurtajaa vastaan on vahvaa näyttöä

"On voinut olla erilaisia syitä jättää rikosilmoitus tekemättä"

On mahdollista, että summa on todellisuudessa suurempi. Niin voisi olla esimerkiksi siinä tapauksessa, että tiedettyä useampi maksoi lunnaat. 

KRP:n arvio 30:sta kiristyksen uhrista perustuu ihmisten itse tekemiin rikosilmoituksiin. Kaikki tietomurron uhrit eivät kuitenkaan ole tehneet tapahtuneesta rikosilmoitusta.

Vastaamolla oli yli 30 000 asiakasta. Rikosilmoituksen heistä on tehnyt noin 23 000.

Poliisi ei voi tietää, kuinka moni ilmoittamatta jättäneistä maksoi kiristäjälle.

– Ihmisillä on voinut olla erilaisia syitä jättää rikosilmoitus tekemättä. Osa varmasti tietämättömyyttään, eli ettei edes välttämättä tiedä joutuneensa rikoksen uhriksi, mutta osalla on varmasti omat henkilökohtaiset syyt, tietomurron tutkinnanjohtaja Marko Leponen sanoo.

– Voi olla esimerkiksi, että on maksanut lunnaat, hän jatkaa.

Voi myös olla, että joku on maksanut lunnaat, mutta jättänyt kertomatta asiasta poliisille.

Kiristyksen uhrien lopullinen lukumäärä voi siis jäädä hämärän peittoon.

– Varmaa vastausta (kiristyssumman maksaneista) en voi antaa, koska meiltä puuttuu noin 10 000 rikosilmoitusta, Leponen toteaa.

Bitcoinin arvo nousi merkittävästi

Toisaalta on myös mahdollista, ettei kiristäjä vaihtanut uhreista pusertamaansa virtuaalivaluutta heti euroiksi vaan jäi istumaan saaliinsa päälle. Se olisi voinut kasvattaa pottia merkittävästi.

Bitcoinin arvo nousi pian kiristyksen jälkeen parhaillaan jopa kuusinkertaiseksi. Myöhemmin arvo laski nykyiselle tasolleen, joka on noin kaksinkertainen syksyyn 2020 verrattuna.

Jos kiristäjä vaihtoi virtuaalivaluutan euroiksi juuri oikealla hetkellä, rikoshyödyn määrä voisi olla moninkertainen KRP:n arvioimaan summaan verrattuna, jopa useita kymmeniä tuhansia euroja.

Silti summa vaikuttaa jääneen suhteellisen pieneksi – ainakin siihen nähden, että asiantuntija-arvion mukaan kiristäjää voi odottaa myöhemmin jopa kymmenien miljoonien eurojen lasku.

Professori: "Siitä tulee valtava summa"

Rikosoikeuden professori Matti Tolvanen arvioi MTV Uutisille viime syksynä, että jos tekijä päätyy oikeuteen, edessä voi olla jopa useiden kymmenien miljoonien eurojen vahingonkorvausvaatimukset. Siinäkin tapauksessa, että vain osa Vastaamo-tietomurron uhreista vaatii tekijältä korvauksia.

– Jos 10 000 ihmistä vaatii korvausta, kukin vaikkapa muutamankin tuhat euroa, siitä tulee valtava summa, Tolvanen ynnäsi.

– Kyllä tämä mittakaava on niin valtava ja rikokset todellakin sellaisia, että niihin lähtökohtaisesti liittyy huomattavia korvausvastuita, hän jatkoi.

Tolvasen arvion mukaan vaaditut korvaukset voivat nousta historiallisen suuriksi. 

– Voi olettaa, että korvausvaatimukset ovat niin suuria, ettei tämä oletettu tekijä kyllä pysty niitä koskaan maksamaan, hän totesi.

Miksi riski?

Herää siis kysymys, miksi kiristäjä otti valtaisan taloudellisen riskin jos rikoshyötyä kertyi lopulta vain joitain tuhansia tai kymmeniä tuhansia euroja?

– En tiedä kuinka paljon tekijä on tehnyt riskiarviointia tähän ryhtyessään, aloittaa tutkinnanjohtaja Leponen.

Hän huomauttaa, että alun perin Vastaamon palvelimille murtautunut taho yritti kiristää Vastaamoa itseään.

Ensin yritykseltä vaadittiin noin 400 000 euron suuruista lunnasrahaa Bitcoineina. Yritys ei maksanut.

– Jos mietitään tekijän toimintamallia, niin tämä on varmaankin ollut tavoitteena. Kun siinä ei ole onnistuttu, on käännytty yksittäisten Vastaamon asiakkaiden puoleen. Ehkä on laskettu sen varaan, että he olisivat valmiita maksamaan, Leponen sanoo.

Asiakkaat näyttävät kuitenkin olleen haluttomia.

– Tässä on se rikoksen tekemisen problemaattisuus. Sen lopputulosta voi harvoin ennustaa. Rikoksen tekemiselle ei voi tehdä samanlaista kannattavuuslaskentaa kuin yritystoiminnalle, Leponen toteaa.

Lue myös: Vastaamo-epäilty Aleksanteri Kivimäki vangittiin useista raskaista rikoksista epäiltynä

Parikymppistä miestä epäillään

Tällä hetkellä KRP uskoo vahvasti, että Vastaamon tietomurron sekä yrityksen ja asiakkaiden kiristyksen yritysten taustalla oli parikymppinen Aleksanteri Kivimäki, joka määrättiin useista rikoksista epäiltynä tutkintavankeuteen viime tiistaina. Asiasta päätti Länsi-Uudenmaan käräjäoikeus.

Ennen vangitsemistaan Kivimäki pakoili viranomaisia ulkomailla kuukausien ajan. Mies oli jo aiemmin vangittu poissaolevana ja hänestä oli annettu eurooppalainen pidätysmääräys, joka johti lopulta kiinniottoon Ranskassa Pariisin liepeillä helmikuun alussa.

Tiistaisen vangitsemisen jälkeen KRP on ennättänyt kuulustella Kivimäkeä.

Leposen mukaan nuorukainen kiistää kaiken.

– Hän kiistää teon, mutta kuulustelut ovat vasta hyvin alussa. Näistä tulee varmaankin hyvin laajat. Katsotaan, miten ne lähtevät tästä, Leponen sanoo.

Leposen mukaan KRP:llä on vahvaa näyttöä Kivimäkeä vastaan.

Keskiviikon Rikospaikka-ohjelmassa Leponen avasi muun muassa, miten Tuusulassa tehty palvelintakavarikko on vienyt poliisia eteenpäin jutun tutkinnassa.

KRP:n käsityksen mukaan Kivimäki pyöritti palvelinsalista vuokraamallaan tietokoneella Tor-verkkoon kytkettyä palvelinta, jonka kautta kiristys- ja tietomurtorikoksia tehtiin.  

KRP uskoo, että Kivimäki pääsi käsiksi Vastaamon potilastietokantaan jo marraskuussa 2018. Noihin aikoihin yrityksen tietoturva-asiat olivat viranomaisten käsityksen mukaan pahasti retuperällä.

Sitä KRP ei toistaiseksi kommentoi, miksi Kivimäki olisi ryhtynyt kiristysoperaatioon vasta pari vuotta alkuperäistä tietomurtoa myöhemmin.

Lue myös: Vastaamon ex-toimitusjohtaja kiistää kaiken: Väittää, että katastrofaaliset tietoturvaongelmat johtuivat työntekijöistä 

Vastaamon ex-toimitusjohtaja syytteessä

Tiedossa on myös, että Vastaamon järjestelmiin murtauduttiin uudestaan maaliskuussa 2019. Tuolloin potilastietokanta sotkettiin ja tuhottiin kokonaan.

Viranomaiset eivät usko Kivimäen olleen osallinen tähän. 

Torstaina Helsingin käräjäoikeudessa alkaneessa oikeudenkäynnissä Vastaamon entistä toimitusjohtajaa Ville Tapiota syytetään tietosuojarikoksesta.

Syyttäjien mukaan Tapio tiesi vuoden 2019 tietomurrosta, mutta ei raportoinut asiasta viranomaisille, vaan sen sijaan antoi tapahtuneesta Valviralle vääriä tietoja. Syyttäjien mukaan Tapio kirjoitti raporttiin, että yrityksen palvelimilla olisi tehty huoltotoimenpiteitä, jotka olisivat johtaneet käyttökatkoon.

Vuoden 2018 tietomurrosta Vastaamossa ei viranomaistenkaan käsityksen mukaan edes tietty.

Yrityksen tietoturvaongelmat tulivat julkisuuteen syksyllä 2020, kun Vastaamo-kiristäjä julkaisi yrityksen asiakkaiden terapiakertomuksia pimeässä verkossa ja alkoi vaatia lunnasrahoja.

Vastaamon entinen toimitusjohtaja Ville Tapio on syyttänyt kaikesta tapahtuneesta entisiä työntekijöitään. Hän itse kiistää olleensa tietoinen yrityksensä tietoturvaongelmista tai salanneensa niitä.