Psykoterapiakeskus Vastaamo Oy joutui tietomurron kohteeksi

Tietomurtaja varasti Psykoterapiakeskus Vastaamo Oy:n potilastiedot joitakin viikkoja sitten. Varkaus koskee vähintään tuhansia asiakkaita ja he ovat saaneet Vastaamolta GDPR:n mukaisen tiedotteen asiasta. Asiakkaille tiedottamista lykättiin käynnissä olevan poliisitutkinnan vuoksi.

Tietomurron tehneen rikollisryhmän edustaja on kertonut murrosta Tor-verkossa ja sen jälkeen media on ollut yhteydessä häneen. Nimellä ransom_man esiintynyt taho on kertonut Vastaamon potilastietojärjestelmän tietoturvan olleen luokattoman huono. Vahvistamattomien tietojen mukaan osa asiakastiedoista oli palvelimella, jossa oli käytetty järjestelmän oletuskäyttäjätunnusta ja salasanaa. Näin ollen tuntemattomalla tavalla Vastaamon verkkoon päässeen murtautujan oli helppo päästä käsiksi asiakastietohin vuoteen 2018 asti.

Tietomurtajat ovat kertoneet kopioineensa koko Vastaamon asiakastietokannan ja pyytävät sen tietojen julkaisematta jättämisestä 40 bitcoinin eli noin € 450 000 lunnaita. He ovat myös julkaisseet kolmena perättäisenä vuorokautena sadan satunnaisen asiakkaan tiedot Tor-verkossa. 

Miksi näin tapahtui?

Tuntematta tarkemmin tietomurron yksityiskohtia voimme esittää vain arvailuja. Jos ransom_manin antamat tiedot pitävät paikkaansa, saattaa suurin yksittäinen ongelma olla yrityksen tietoturvakulttuurin puute.

Kaikkien yrityksessä ei tarvitse olla tietoturvaeksperttejä, mutta tietoturvasta vastaavien tahojen täytyy olla. Järjestelmät on suunniteltava niin, että ainakin kaikkein tärkeimmät tiedot on turvallisesti talletettu salattuna ja että niihin pääse käsiksi vain riittävän tunnistautumisen kautta, esimerkiksi käyttäen 2-vaiheista autentikointia.

Tietoturvasta vastaavilla pitää olla selkeä käsitys siitä mitkä ovat tällä hetkellä vakavimmat uhkat yritykselle. Yrityksen verkon tietoturvaa kannattaa arvioida MITRE ATT&CK viitekehystä vasten ja pohtia sen pohjalta ovatko käytetyt ratkaisut riittävän vahvoja torjumaan ajateltavissa olevaa uhkaa. Huomaako kukaan yrityksen verkkoon päässyt hyökkääjä ennen kuin tilanne on todella huono?

Näiden asioiden hallitseminen edellyttää rahaa ja resursseja. Järjestelmien valvominen itse 24x365 ei ole taloudellisesti järkevää kuin erittäin suurille yrityksille ja tiedustelutiedot uhkatilanteesta pitää joka tapauksessa ostaa muilta. Usein helpompi ja kustannustehokkaampi ratkaisu onkin ostaa nämä kaikki palveluna alan ammattilaisilta.