Mitä Vastaamon tietoturvaloukkauksesta on opittavaa?

Psykoterapiakeskus Vastaamon jouduttua tietoturvaloukkauksen kohteeksi, heidän tietokannastaan varastettiin kymmeniä tuhansia potilastietoja. Tiedot sisälsivät asiakkaiden yhteystietoja ja terapeuttien tekemiä muistiinpanoja asiakaskohtaamisista.

Pahantekijä oli vaatinut Vastaamolta 40 Bitcoinin suuruista summaa (n. 450 000 €), jonka saatuaan hän poistaisi varastetut tiedot. Vastaamo ei suostunut vaatimukseen, jolloin pahantekijä alkoi aluksi vuotaa 100 käyttäjätietoa vuorokaudessa. Lopulta pahantekijä ilmeisesti vahingossa vuoti koko tietokannan hetkeksi Tor-verkkoon 10 Gt paketissa, joka on sisältänyt myös muuta dataa.

Mediassa kerrotun perusteella on selvää, että Vastaamon tapauksessa heikko tietoturva osoittautui kompastuskiveksi.

Nostamme esille kolme olennaista syytä, miksi loukkaus muuttui kriisiksi ja mitä Vastaamon olisi pitänyt tehdä toisin. Näistä on tarpeen muistutella säännöllisesti muutenkin!

1 Heikko salasana kielii laiskuudesta

Ylilauta- ja Torilauta-sivustoilla nimimerkillä ’ransom_man’ esiintyvä pahantekijä on kertonut, että Vastaamon tietokannan salasana olisi ollut root:root eli vakiosalasana. Tätä nimenomaista tietoa ei ole virallisen tahon toimesta vahvistettu, mutta fakta on, että maailmalla on edelleen monia järjestelmiä suojattuna vakiosalasanoilla – jos edes niilläkään.

Heikkoja salasanoja käytetään puhtaasti laiskuudesta: järjestelmän rakentaja haluaa saada palvelun toimimaan mahdollisimman nopeasti, jolloin vahvojen salasanojen asettamiseen ja dokumentointiin ei jää aikaa. Moni IT-ammattilainen voi myös yhtyä näkemykseen, että vaikka ympäristöä rakentaessa pitkien salasanojen uudelleentäyttö on työlästä, sen täytyy olla pakollista. Helpon salasanan käyttö on vielä hyväksyttävää siinä vaiheessa, kun ympäristö ei ole tuotannossa ja sille pääsy on rajattua. Mutta kun ympäristö siirtyy tuotantokäyttöön, vahva tunnistautuminen on asetettava järjestelmän toimivuuden mukaan.

2 Ovet auki salaamattomalle palvelimelle

Toinen huolestuttava asia Vastaamon tapauksessa on se, että arkaluonteisia tietoja on säilytetty salaamattomana palvelimella. Jos tiedot olisi salattu oikeilla menetelmillä, tiedon hyväksikäyttö olisi ollut huomattavasti vaikeampaa – ellei jopa mahdotonta – ilman salatun materiaalin avainta. Pelkästään GDPR vaatii henkilötietoihin liittyvän datan salausta. Muuta arkaluontoista tietoa ovat niin salasanat kuin muu liiketoiminnan kannalta kriittinen tieto.

Kaikkea kriittistä dataa ei voida aina käytännön syistä salata. Tällöin dataan pääsy tulee hoitaa siten, että vain tietyt henkilöt pääsevät siihen käsiksi, ja silloinkin vahvan tunnistautumisen kautta.

3 Tilannetiedon pimittäminen ei poista ongelmaa

Nixu Oy:n selvityksen mukaan Vastaamon tietojärjestelmiin oli murtauduttu kaksi kertaa ennen pahantekijän yhteydenottoa. Ensimmäinen tietomurto on tapahtunut marraskuussa 2018,  jolloin palvelimelta on siirretty ulos merkittävä määrä dataa – eli todennäköisesti tietokanta on varastettu jo tuolloin. Toinen tietomurto on tapahtunut maaliskuussa 2019, jonka havaitsemisen jälkeen tietoturvaa on tiettävästi parannettu yrityksessä.

Tietoturvaloukkauksessa tai sen epäilyssä on ensiarvoisen tärkeää selvittää ensin, mitä on tapahtunut ja keitä loukkaus koskee. Vastaamon tapauksessa jopa kymmenien tuhansien yrityksessä asioineiden yksityishenkilöiden tietoja on vuodettu julkiseksi, jolloin he altistuvat henkilötietojen väärinkäytöksille. Tilannearvion jälkeen seuraavana on viivytyksettä informoitava henkilöitä, joita kriisitilanne välittömästi koskee. Viestinnässä mennyt jotain pahasti pieleen, jos tietoturvaloukkauksesta kuulee ensimmäisenä netin uutispalstalta. Silloin on myös kulunut hukkaan arvokasta aikaa, joka olisi voitu käyttää seurausten minimointiin.

Hyödynnä asiantuntemus

Olemme pahoillamme tietoturvaloukkauksen uhreiksi joutuneiden puolesta ja voimme vain toivoa, että vahingot jäävät mahdollisimman vähäisiksi. Jos jotain positiivista julkisuuteen nousevista kriisitilanteista tahtoo löytää, se on  ehdottomasti mahdollisuus oppia varautumaan vastaavien tapausten varalta.

Vastaamon tapaus nostattaa varmasti kysymyksiä eri organisaatioissa, kun tietoturvan tilaa on nyt herätelty näin tarkastelemaan.

  • Onko yrityksen tietoturvaa missään vaiheessa arvioitu objektiivisesti ulkopuolisen asiantuntijan toimesta?
  • Täyttyvätkö GDPR:n asettamat vaatimukset, vähintään minimit?
  • Miten mahdollisessa kriisitilanteessa on tarpeen toimia?

Jos nämä asiat jäävät enemmän kysymysmerkeiksi eikä vastauksia löydy, on aika nostaa asia akuuttien tehtävien listalle viimeistään nyt.


Pekka Sivusuo
pekka.sivusuo@isoweli.fi

Kirjoittaja on tietoturva-asiantuntija G30-ketjuun kuuluvassa Isoweli Oy:ssa.