F-Securen tietoturvajohtaja Mikko Hyppönen kertoi juuri A-studiossa, että Vastaamon tietomurron tekijä on tehnyt todistetusti jo yhden suuren virheen.
Kiristäjän arvokkain omaisuus on nimittäin se tieto, joka hänellä on. Kiristäjä kuitenkin latasi epähuomiossa koko 10 gigan kokoisen Vastaamon potilastietokannan Tor-verkossa olevalle sivustolleen muutaman tunnin ajaksi perjantai-aamupäivällä. Siis kokonaan, ei vain osaa siitä.
Hyppönen arvelee, että yksikään ulkopuolinen ei ehtinyt ladata 10 gigan tiedostoa kokonaan itselleen Tor-verkon yli, mutta muutama henkilö on luultavasti aloittanut lataamisen ja todistetusti ainakin yksi on ehtinyt ladata ko. tiedostosta osan.
Tästäkään syystä ei kannata maksaa kiristäjälle rahaa, sillä kiristävä taho ei välttämättä ole alkuperäinen kiristäjä.
Hyppönen arvioi, että tekijä on suurella todennäköisyydellä suomalainen ja toimii yksin. Tekijä on mahdollisesti toteuttanut tietomurron jo 2018 ja odotellut jälkien jäähtymistä pari vuotta. Toinen vaihtoehto on, että alkuperäinen hakkeri on nyt myynyt varastamansa aineiston kiristäjälle.
No tiedoston laittamisessa tahallaan lyhyeksi hetkeksi kenen tahansa ladattavaksi ei kai ole mitään järkeä. Millä kiristäjä enää kiristää rahaa vaikkapa Vastaamolta, jos tieto on jo kaikilla? Miksi hän olisi laittanut sen saataville vain hetkeksi, jos kyseessä ei ollut moka? Koko kiristyksen ajatuksena on ollut uhata tietojen julkistamisella.
Juuri tämä antaa viitteitä siitä, ettei tekijä ole ammattilainen. Hyppönen myös arvelee, että tekijälle on voinut tulla yllätyksenä miten suuren huomion tapaus saa, kun jopa presidenttikin sitä kommentoi.
Paljonko tilaa mahtaa viedä 40000+ potilastietoa? Riittääkö 10gb? Mitää takuita siitä ei käsittääkseni ole, että siellä oli kaikki tiedot. Valtamedia tietenkin haluaa uskoa näin.
Hyppönen ei vissiin ole yhtään ajatellut sitä, että ehkä kiristäjä onkin nyt pelästynyt aiheuttamaansa hälyä ja yrittää hädissään sotkea jälkensä.
Kiristäminen ei näytä onnistuvan, vaan rikollinen on saanut vastaansa koko kansan yhdistetyt voimat. Kyllähän peli on sillä selvä, ei muuta kuin savuverhon suojassa vetäytymisyritys. Teki niin tai näin, kohta on tikun nenässä rangaistavana.
Minkähän takia ihmisten tiedot on yleisesti ottaen aina oletuksena saatavilla? Miksi asia ei ole toisin päin ja jokaiseen asiaan voisi antaa halutessaan erikseen luvan. Tuntuu hullulta että jokaisen täytyisi käydä hirveä lista asioita läpi että elämä olisi “turvallista”.
Lähtökohtaisesti olen samaa mieltä, että on liian iso ollakseen pelkkää tekstiä. Toki potilaskertomukset voivat olla pitkiäkin, mutta silti.
Tuossa kun pikaisesti katsoin niin isoin tällä hetkellä itse käyttämäni tietokanta on 17GB ja tuo on koko Suomen tiestö erittäin isolla määrällä dataa per tienpätkä, joita on karkeasti 3.5 miljoonaa.
Jotenkin, mulla on tunne, että kiristäjä on laittanut jotain aivan randomia siihen ja vie näitä 6-0, vaikka mediassa kerrotaan hänen tehneen ison virheen. Mielenkiintoista nähdä miten tässä käy.
Itse näen kaksi mahdollista tavoitetta: Hämärtää lähtöpiste eli kuka alkuperäinen murtaja on. Toisaalta sotkemalla tarpeeksi voi ainakin yrittää voittaa aikaa kun tutkittavaa on paljon.
Kyllähän kiristäjä on nyt kuitenkin ajautunut pahaan rakoon, hän on oman Waterloonsa tai Stalingradinsa kohdannut. Ei varmaan nuku öitään hyvin, jollei ole kylmähermoisin ihminen maailmassa.
Juu, eli ainoat motiivit liittyvät enää siihen miten selvitä jäämättä kiinni. Rahallisen hyötymisen kannalta tuo tempaus ei taida mitenkään hyödyttää.
Se tässä kummastuttaakin, kun yksityishenkilöiden kiristäminen oli vasta alkanut ja järjen mukaan olisi kannattanut odottaa ainakin päivä tai pari että voi edes teoriassa saada kerättyä niitä parinsadan euron maksuja, ennenkun tekee tuollaisen hämäyksen.
Käsittääkseni tiedostoissa saattaa olla hyvin vanhojakin (15v +) potilastekstejä ja/tai muualta terveyspalveluista tilattua potilastekstiä, jotka eivät ole aikanaan olleet sähköisiä ja näin ollen ne löytynevät skannattuina kuvatiedostoina tuolta Vastaamon arkistoista. Ne voivat tietysti tuota datan määrää lisätä.
Tämä on olettama ja perustuu siihen tietokantaan, jota potilastyössä itse käytän.
Mahdollinen skenaario, mutta en itse jaksa uskoa, että olisi laittanut kaikki potilastiedot VAHINGOSSA julkiseksi. Joku muu tuossa on pakko olla takana.
Hämmentävä tapaus kyllä. En ole alan ammattilainen, mutta oletan että kuka tahansa ei pysty toteuttamaan tämän luokan rikosta ja pysymään näinkään kauaa kiinni jäämättä, kun tapaus on saanut näin paljon huomiota. Toisaalta siinä vaikuttaa olevan outoa tohelointia.
Ransom man" on ollut hiljaa viime lauantaista lähtien. Silloin hän vielä pyöritti omaa sivustoaan Tor-verkossa, lähetti kiristysviestejä Vastaamon potilaille ja kirjoitti aiheesta keskustelufoorumeille.
– Sen jälkeen ei ole tapahtunut mitään. Tällä hetkellä emme tiedä, mikä seuraava liike on, vai onko “Ransom man” hävinnyt ja tuhoaa todistusaineistoa.
– Kiristäjä vaikuttaa oikukkaalta. Siitä kertoo se, että alussa hänellä oli kohteena yritys eli Vastaamo. Kun se ei tepsinyt, hän vaihtoi taktiikkaa ja alkoi kiristää asiakkaita. Eli ehkä taustalla ei ole mikään rutinoitunut kansainvälinen rikollisjengi, miltä “Ransom man” yritti aluksi vaikuttaa. Todennäköisesti kyseessä on yksittäinen kotimainen tekijä, Hyppönen sanoo.