Kotimaa|Tietoturva
Vastaamon potilasrekisteri on ollut erittäin helposti saatavilla, arvioivat HS:n haastattelemat asiantuntijat
Vastaamon tietomurto oli tehty tekijälle tai tekijöille helpoksi. Kahden HS:n haastatteleman asiantuntijan mukaan potilastietokantaan liittyvän palvelimen suojauksessa on todennäköisesti ollut puutteita. Näin selviää todennäköinen potilasrekisterin murtotapa.
Laura Halminen HS
28.10. 19:48
Psykoterapiapalveluita tarjoavan Vastaamon tietomurto oli tehty tekijälle tai tekijöille helpoksi. Yhtiön verkkojärjestelmät oli määritelty siten, että murto oli vain ajan kysymys, sanovat HS:n haastattelemat tietoturvaan ja palvelimiin perehtyneet asiantuntijat.
Vastaamon potilasrekisteri varastettiin tietomurron avulla vajaat kaksi vuotta sitten. Rekisteri sisältää jopa 40 000 ihmisen henkilö- ja potilastiedot. Vastaamoa ryhdyttiin kiristämään asialla nykytiedon mukaan syyskuun lopussa, ja asia tuli julki viime viikolla. Viikonloppuna kiristäjä siirtyi kiristämään Vastaamon asiakkaita.
”Haavoittuviin tietokantapalvelimiin kohdistetut murtoyritykset ovat internetin normaalia taustakohinaa. Jos tällaisen jättää suojaamatta, voi vain jäädä odottelemaan, milloin murto tapahtuu", sanoo yksi pitkän linjan asiantuntija.
Helsingin Sanomat ei julkaise asiantuntijoiden nimiä, sillä he ovat työsuhteessa yrityksiin eivätkä yritykset halua tulla yhdistetyksi tapaukseen. Nämä asiantuntijat eivät ole saaneet työantajiltaan toimeksiantoja Vastaamon tapauksen selvittämiseen vaan ovat tutustuneet asiaan omasta mielenkiinnostaan.
Käytännössä Vastaamon potilasrekisteri on ollut erittäin helposti saatavilla. Tähän on useita syitä.
Yksinkertaisin syy, joka ei vielä riitä murron toteuttamiseen, löytyy Googlella. Kun etsii lisätietoa Vastaamosta, voi tietyillä hakusanayhdistelmillä saada jopa sattumalta ensimmäiseksi hakutulokseksi linkin, joka osoittaa Vastaamon säilyttäneen julkisia asiakirjoja alasivulla nimeltä Potilasrekisteri. Googlella löytyy myös hakukoneeseen talteen jääneitä viittauksia esimerkiksi sähköiseen reseptiin, Kelan lomakkeisiin ja Vastaamon omiin ohjeisiin.
Tämä tarkoittaa, että potilasrekisteriin liittyvillä sivuilla on saattanut olla Google-hakutuloksiin nousemisen mahdollistava indeksointi käytössä.
HS on nähnyt nämä Googlen hakutulokset keskiviikkona iltapäivästä. Potilasrekisteriin viittaavat sisällöt eivät ole enää hakutulosten linkeistä saatavilla, mutta keskiviikkona Google ei ollut vielä päivittänyt hakutuloksiaan. Verkosta löytyvät hakukoneindeksoinnit paljastavat hakukoneet antoivat verkko-osoitteella ristiriitaisia tuloksia: osaan tieto verkko-osoitteen poistumisesta saatavilta ei ehkä ole päivittynyt vielä.
Googlettamalla rekisteriin ei tietenkään voi murtautua. Tällainen havainto on kuitenkin voinut olla omiaan herättämään ylimääräistä mielenkiintoa juuri Vastaamon potilasrekisteriä kohtaan.
Murron toteutustavaksi arvioidaan joko etäkirjautumisen tai tietokantapalvelimen tietoturvapuutteita. Kaksi HS:n haastateltavaa pitää näistä kahdesta todennäköisempänä murtotapana sitä, että potilasrekisteri on ollut tallennettuna puutteellisesti suojatulle tietokantapalvelimelle.
Verkosta avoimesti saatavilla olevista Vastaamon tietoverkkoihin liittyvistä historiatiedoista saa selville, että Vastaamon potilasrekisterillä on ollut oma verkko-osoite. Näyttää myös siltä, että potilasrekisteriin kytkettyyn tietokantaan on ollut pääsy julkisen internetin kautta. Yhteyden luominen tietokantaan vaatii yleensä tunnuksen ja salasanan, mutta mikäli hyökkääjä pystyy arvaamaan salasanan, on hänellä suora pääsy potilastietoihin.
Verkossa liikkuu jatkuvasti lukuisia automatisoituja skannauksia, jotka seuraavat internetissä saatavilla olevia palveluita ja niiden saatavuutta. Yhden tällaisen skannauspalvelun mukaan Vastaamon potilasrekisteriin liittyvä tietokantaportti on ollut auki 13. maaliskuuta 2019 saakka.
Vastaamo on kertonut, että yksi tietomurto tehtiin marraskuussa 2018 ja toinen maaliskuussa 2019. Tähän viittaa se, että tietokantaportin aukiolo on päättynyt maaliskuussa 2019.
Historiallisissa skannaustiedoissa marraskuussa 2018 kyseinen tietokantaportin on havaittu olevan auki.
Kun tämä tietokantaan liittyvä liikenneportti on auki, se tarkoittaa, että palvelin ottaa sen kautta vastaan tietoliikenneyhteyksiä. Sekään ei riitä yksinään tietomurtoon, sillä palvelimet ovat salasanasuojattuja.
Kiristäjäksi esittäytynyt nimimerkki kirjoitti viime viikolla pimeän verkon keskustelupalstalla, että Vastaamon potilasrekisteri olisi saatu haltuun käyttämällä oletuskäyttäjätunnusta ja salasanaa.
Vastauksen tietävät varmuudella vain tietomurtaja ja Vastaamo, mutta toteutus on mahdollinen. HS:n haastattelemien asiantuntijoiden mukaan yhdistelmä on ollut sellainen, jolla pääsee kaikkiin palvelimella sijaitseviin tietokantoihin – tässä tapauksessa siis myös potilasrekisteriin.
Kun hyökkääjä pääsee sisään palvelimelle, tarvitaan vielä joitakin komentoja ja palvelin ojentaa tietokannan sisältöineen, kertoo yksi HS:n haastattelema palvelimiin perehtynyt asiantuntija.
Toinen HS:n haastattelema tietoturvaan erikoistunut asiantuntija sanoo, että Vastaamon potilasrekisterin verkko-osoitteeseen liittyvien palvelinten ohjelmistoissa on ollut parikymmentä haavoittuvuutta.
Asiaan ovat kiinnittäneet huomiota myös muut palvelinten toimintaan perehtyneet ihmiset sosiaalisessa mediassa.
Asiantuntija huomauttaa, että tällä tavoin ei kuitenkaan saa tietoa siitä, onko Vastaamon potilasrekisterissä kahtakymmentä haavoittuvuutta. Mutta se tiedetään, että niitä on ollut. Asiantuntijan mukaan jokin näistä haavoittuvuuksista tai useamman haavoittuvuuden yhdistelmä on myös voinut vaikuttaa tietomurtoon.
Palvelimiin perehtynyt asiantuntija sanoo, ettei muitakaan vaihtoehtoja pysty sulkemaan pois kuin todellisen tietoturvatutkinnan Vastaamon tilanteeseen tehnyt tietoturvayritys tai poliisi esitutkinnassaan.
”Esimerkiksi työntekijät, työntekijöiden saastuneet päätelaitteet, vuotaneet tai muuten heikot käyttäjätunnukset, päivitysten laiminlyönti, väärin toteutetut yrityksen sisäiset järjestelmät, puutteellinen tunkeutumisten valvonta, muut avoimet palvelut kuten www-palvelimet ja SQL-palvelimet tai joidenkin edellä kuvailtujen yhdistelmä”, asiantuntija listaa erilaisia vaihtoehtoja.
Vastaamon maanantaina irtisanotun toimitusjohtaja Ville Tapion on väitetty tienneen tietomurrosta tai -murroista hyvissä ajoin ennen kuin Vastaamon osake-enemmistö myytiin pääomasijoittaja Intera Partnersille toukokuussa 2019. Tapio on kiistänyt väitteen, mutta ei ole vastannut HS:n yhteydenottopyyntöihin.
Ville Tapio kertoi Helsingin Sanomissa vuonna 2017 rakentaneensa Vastaamon tietojärjestelmät itse ja olevansa koodarina itseoppinut.
Vuoden 2018 toimintakertomuksessaan Vastaamo kertoi, että ”palvelinympäristöt on auditoitu”, suomeksi tietoturvatarkastettu. Vuoden 2020 hallituksen kokouksessa asetettiin tavoitteeksi Iltalehden mukaan että ”it-kotipesä” pitää ”saada kuntoon”.
HS:n haastattelema tietoturva-asiantuntija huomauttaa, että auditointien tuloksista tulee pitkälti sen mukaisia kuin millaiset ehdot tilaaja asettaa. Tuloksiin vaikuttavat esimerkiksi käytettävissä oleva aika ja se, montako työntekijää auditointiin osallistuu. Viime kädessä kyse on rahasta. Jos auditoinnista ollaan valmiita maksamaan vain kahden päivän palkka kahdelle työntekijälle, tulokset eivät voi olla yhtä perusteellisia kuin mitä viisi työntekijää saisi aikaan kahdessa viikossa.
Kiristys alkoi syyskuun lopulla ja tuli julki viime viikolla. Miksi tietomurtojen ja kiristysten välillä kului aikaa yli puolitoista vuotta, ei ole tiedossa.
Ville Tapion ja hänen vanhempiensa omaisuutta asetettiin tiistaina takavarikkoon vajaan kymmenen miljoonan euron arvosta.
Artikkelin tiedot on koostettu ainoastaan avoimista, julkisista lähteistä. Niihin ei tarvita salasanaa eikä tietomurtoon käytettäviä työkaluja. HS:n päätoimittajat ovat julkaisseet sunnuntaina kirjeen, jossa vedottiin yleisöön ettei kukaan katselisi yksityisyyden suojan alaisia tietoja. HS:n toimittajat eivät katsele arkaluontoisia tietoja.
