On helmikuinen aamu vuonna 2023 Pariisin länsipuolella sijaitsevassa vilkkaassa ja tiheään asutussa yrityskeskittymässä. Alue tunnetaan näyttävistä moderneista pilvenpiirtäjistään.

Airbnb-asunnosta on kuulunut riitelyä, ja paikalle on soitettu poliisit. Kyseessä on ensi alkuun aivan tavallinen poliisitehtävä.

Poliisi löytää asunnosta vaaleahiuksisen nuoren miehen, joka esittää bulgarialaisen henkilötodistuksen. Epäilykset heräävät, kun poliisi yrittää vahvistaa henkilöyden tietokannastaan.

Papereissa mainittu nimi ei ole miehen oma. Nimi oli lisätty poliisin tietokantaan ja liitetty miehen todelliseen henkilöprofiiliin ja Europolin kansainväliseen etsintäkuulutukseen.

Uhrien määrässä mitattuna Suomen suurimmasta rikoksesta epäilty mies on löytynyt oltuaan kuukausia kateissa viranomaisilta.

Jutussa HS käy läpi, miten Suomen mittakaavassa poikkeuksellinen Vastaamo-tutkinta eteni ja johti epäillyn vangitsemiseen. 26-vuotiaan miehen epäillään vieneen ja julkaisseen verkossa potilaskannan, josta käy ilmi henkilötietojen lisäksi potilaiden kaikkein arkaluontoisimpia asioita. Tiedot ovat pimeän verkon laajoissa kätköissä edelleen, ja niitä on jo käytetty uusiin rikoksiin. 

OSA 1: KIRISTYS 

Kiristäjä uskoo saavansa kymmenettuhannet ihmiset maksamaan arkaluontoisista tiedoista.

Lauantai-iltana 24. lokakuuta 2020 puoli kahdeksasta alkaen yli 33 000 suomalaisen sähköposteihin alkaa kilahdella viestejä. 

Viestin lähettäjä vaatii suomenkielisessä viestissä 200–500 euron arvosta bitcoineja lunnaina, jotta Vastaamon asiakkaiden henkilökohtaisia tietoja ei julkaistaisi verkossa.

Kuten todennäköisesti tiedätte jo uutisista, olemme murtautuneet Vastaamon potilastietokantaan, otamme Teihin yhteyttä koska olette käyttäneet vastaamon terapia - ja/tai psykiatriapalveluita. Koska tämän yrityksen johto on kieltäytynyt ottamasta vastuuta omista virheistään, joudumme ikävä kyllä pyytämään Teitä maksamaan pitääksenne henkilötietonne turvassa. 

Seuraa alla olevia ohjeita lähettääksesi Bitcoineja osoitteeseemme. Jos vastaanotamme 200 euron arvosta Bitcoineja 24 tunnin kuluessa, tietonne poistetaan pysyvästi palvelimiltamme. Jos emme vastaanota tätä maksua 24 tunnin sisällä, Teillä on vielä toiset 48 tuntia hankkia ja lähettää meille 500 euron arvosta bitcoineja, lukee HS:n saamassa kuvakaappauksessa kiristysviestistä.

Viestin saa tarkalleen ottaen 33 806 ihmistä. Poliisi kertoo nyt Helsingin Sanomille, että kiristysviestit lähetettiin kaikille uhreille samanaikaisesti – niin sanotusti yhdellä napin painalluksella.

Kiristysviestit eivät ole ensimmäisiä. Jo syyskuussa kiristäjä on lähestynyt Vastaamon toimitusjohtaja Ville Tapiota ja kahta yrityksen työntekijää. Vastaamolta kiristäjä vaatii 40:tä bitcoinia eli noin 450 000:ta euroa. 

Ennen uhreille viestimistä nimimerkki ransom_man on kirjoittanut Tor-verkon suomalaiselle Torilauta-keskustelualustalle englanniksi, että hän on hakkeroinut suomalaisen psykoterapiayrityksen tietokannan. Hän uhkaa julkaista tietoja sata kappaletta päivässä.

Julkaistuaan ensin sadan ja vielä kaksi kertaa sadan uuden potilaan tiedot kiristäjä toimii toisin kuin aiemmin kertoi. Hän julkaiseekin kaikki tiedot sisältävän tiedostopaketin Tor-verkkoon luomansa linkin taakse ladattuna.

Poliisille kiristäjän viestit ovat tärkeitä vihjeitä. Aluksi poliisi kiinnittää huomiota muun muassa siihen, että kiristäjän viesti Vastaamolle on englanninkielinen, mutta anastettu tieto suomenkielistä. Kiristäjällä täytyy olla jokin keino ymmärtää, mistä suomenkielisessä aineistossa on kyse, joko oman kielitaidon tai suomalaisen kontaktin kautta.

Poliisi kiinnittää huomioita myös vaadittuihin summiin. Kiristäjän on osattava arvioida, että yritys voisi olla halukas maksamaan tiedosta suuren summan.

OSA 2: UHRIT

Suomen laajin uhrijoukko kohtaa elämänsä järkytyksen.

Tarkkaa lukua ihmisistä, joita tietomurto kosketti, ei tiedetä tai tultane varmuudella tietämään. Vastaamolla ei ole tietoa asiakastietokannan tarkasta koosta. 

Poliisin näkökulmasta asian selvittämistä hidastaa tutkinnan aikana se, että Vastaamon tietokannan sisältö määrätään korkeimman oikeuden päätöksellä lokakuussa 2021 hyödyntämiskieltoon. Syynä on tietojen arkaluonteisuus. Poliisi ei siis pysty näkemään tietokannan sisälle.

Ulkomaille tekemänsä oikeusapupyynnön avulla poliisi selvittää myöhemmin, että kiristysviestin saaneita henkilöitä on 33 806. Tämän tiedon saaminen kestää kaikkiaan noin kaksi vuotta, tämän vuoden huhtikuuhun saakka. Näin selviävät kaikkien uhrien henkilöydet. 

Koska Vastaamolla on ollut toimipisteitä 22:lla paikkakunnalla, uhreja on eri puolilta Suomea. Heidän joukossaan myös alaikäisiä. 

Tuoreeltaan tietovuodon jälkeen HS:n haastattelemat uhrit kertovat tuntevansa turvattomuuden, epäuskon ja suuttumuksen tunteita. Rikosilmoituksen tekemistä varten tarkoitettu sivusto tukkeutuu ilmoitusten suuresta määrästä. 

Psykiatrisen vankisairaalan Vantaan yksikön ylilääkäri Alo Jüriloo arvioi Helsingin Sanomille lokakuussa 2020, että Vastaamon tietomurto ja sitä seuranneet kiristysyritykset ovat poikkeuksellisen häikäilemättömiä. Jüriloon mukaan teko kertoo äärettömän pitkälle menevästä välinpitämättömyydestä, jossa jopa rikollistenkin kirjoittamattomia käyttäytymissääntöjä on rikottu.

Tapahtunut nakertaa Suomessa laajemminkin ihmisten perusturvallisuuden tunnetta. Uhreille suurta kärsimystä aiheuttaa tieto siitä, että käytännössä kerran Tor-verkossa julkaistuja tietoja ei saa koskaan pois verkosta. 

Tor on lyhenne englanninkielisistä sanoista The Onion Router, joka tarkoittaa sipulireititintä. Tämä viittaa pimeän verkon tekniikkaan, jossa liikenteen alkuperä salataan kerroksittain kuten sipulissa.

Poliisin arvion mukaan tietoaineistoa saattaa syksyyn 2023 mennessä olla levinnyt jopa sadoille tai tuhansille pimeän verkon sivuille.

On erittäin rajallista, mitä julkaistuille tiedoille pimeässä verkossa voi tehdä. Hajautetun rakenteensa vuoksi pimeää verkkoa on paljon vaikeampi valvoa ja sen sisältöä rajoittaa.

Henkilötietojen vuotaminen on jatkorikoksia ajatellen uhreille ikuinen riski: Tietoja voidaan yrittää käyttää hyväksi yhä uudelleen ja uudelleen erilaisiin rikoksiin.

OSA 3: TUTKINTA

Tekijä jättää itsestään pimeään verkkoon digitaalisia jälkiä ja johtolangat viittaavat yhteen epäiltyyn.

Vastaamo tekee kiristysviestin saatuaan rikosilmoituksen 29. syyskuuta 2020, ja poliisi alkaa tutkia tietomurtoa. Kiristäjän profilointi käynnistyy välittömästi.

Poliisi kiinnittää huomiota muun muassa siihen, että tekijän on täytynyt osata pystyttää oma pimeän verkon osoite, ylläpitää sitä, jakaa sieltä tietoja sekä osata käyttää anonymisointipalveluja. Tämä tarkoittaa muun muassa hankalasti jäljitettäviä sähköpostipalveluja sekä tietoliikenteen kierrättämistä niin, että alkuperä käyttäjästä häviää.

Tietomurtoon ja kiristykseen tarvitaan teknistä osaamista, muttei kuitenkaan poikkeuksellisia tai ylivertaisia taitoja – etenkään, kun teosta sittemmin tiedetään jääneen digitaalisia jälkiä ja Vastaamon tietosuojan olleen heikko. Tekijä osaa kuitenkin hyödyntää aukkoja tietokannan suojauksessa. 

Täydellistä nimettömyyttä ei Tor-verkkokaan takaa. Myös sinne ladattuihin tietoihin voi jäädä yksilöivää tietoa.

Tekijä ei hyvästä yrityksestä huolimatta onnistu peittämään jälkiään. Digitaalisia jalanjälkiä jää muun muassa Tor-verkkoon ladatusta tiedostosta ja sähköpostipalvelusta, jonka kautta hän ottaa kiristettäviin yhteyttä.

Ratkaisevan vihjeen poliisi saa tavasta, jolla kiristäjä jakaa pimeässä verkossa ison, noin 10 gigatavun suuruisen tiedoston. Kun epäilty jakaa kaikkien asiakkaiden tiedot kerralla Tor-verkkoon, hän jakaa samalla ylimääräistä ja yksilöivää tietoa. Tämän avulla pystytään myöhemmin osin tunnistamaan, missä sijaitsevalta palvelimelta kyseistä Tor-sivustoa on ylläpidetty.

Poliisi ei edelleenkään osaa sanoa, onko näiden digitaalisten jalanjälkien jättäminen virhe, osaamattomuutta vai jotain muuta. Tarkoituksellista se tuskin on ollut.

Ollaan syksyssä 2022, kun poliisilla alkaa olla paljon teknisiä yksityiskohtia, joiden takana toistuu yhden epäillyn nimi: Julius Kivimäki.

Hänet kirjataan epäillyksi jo vuoden 2021 puolessavälissä. Sitä ennen tutkinnan aikana on noussut esiin paljon mahdollisia nimiä. Vuoden 2022 loka–marraskuussa Kivimäestä tulee ainoa epäilty. 

Useat yksityiskohdat täsmäävät samaan henkilöön. Yksilöivät tiedot ovat esimerkiksi ip-osoitteita tai sähköpostiosoitteita, joihin epäilty voidaan liittää. Kyseessä on hämähäkinseitti, jossa kymmenittäin haaroja lähtee yhdestä henkilöstä ja poliisin mukaan yhdistyy sekä tietomurtoon että kiristykseen.

Poliisi ei vahvista missään vaiheessa epäillyn nimeä, mutta lukuisista verkkorikoksista tuomitun Kivimäen nimi selviää medialle lokakuussa 2022 käräjäoikeudesta. Tuolloin Kivimäki vangitaan poissaolevana epäiltynä törkeän kiristyksen yrityksestä, törkeästä tietomurrosta ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.

Poliisi paljastaa nyt HS:lle, että yksi merkittävä etappi esitutkinnassa on, kun poliisi saa jäljitettyä ja takavarikoitua epäillyn ostopalveluna itselleen hankkimaa palvelinympäristöä. 

Marraskuussa 2020 poliisi takavarikoi epäillyn hallitsemaa infraa lähes tuhat teratavua Etelä-Suomessa toimivasta kansainvälisestä palvelinkeskuksesta. Takavarikoidusta aineistosta löytyy tietoja, jotka liittyvät epäiltyyn. Infralla tarkoitetaan palvelimia eli tietokoneita, joita tekijä on käyttänyt, ja jotka on liitetty toisiinsa.

Palvelin on käytännössä etäkäytettävä tietokone, joka sijaitsee jonkun muun tiloissa. Palveluntarjoajalta epäilty on voinut siis hankkia kuukausimaksua vastaan tyhjän palvelimen, asentaa haluamansa käyttöjärjestelmän ja tehdä sillä mitä haluaa. 

Näiden etäohjattavien Etelä-Suomessa sijaitsevien palvelinten kautta Kivimäen epäillään julkaisseen Vastaamo-materiaalia. Tähän on tarvittu vain verkkoyhteys.

Epäillyn uskotaan tehneen Vastaamo-tietomurron ja anastaneen henkilötietokannan jo marraskuussa 2018. Se esitutkinnan aikana ei varmuudella selviä, miksi hän odotti kaksi vuotta ennen kuin epäilyjen mukaan alkoi hyväksikäyttää anastamiaan tietoja.

Poliisin mukaan on mahdollista, että epäilty on käyttänyt automatisoituja työkaluja tietomurron tekemiseen, eikä ole ensin tullut tietoiseksi siitä, mitä tietoja hän on saanut. Kenties hän on käynyt aikanaan hankittua materiaalia läpi vasta myöhemmin.

Aiemmin Julius Kivimäkenä tunnettu epäilty Aleksanteri Kivimäki pakoilee Suomen viranomaisilta tämän vuoden helmikuuhun saakka. Tuolloin hänet otetaan kiinni Ranskan Courbevoiesta. Kivimäki tuodaan Suomeen, jossa hänet vangitaan Länsi-Uudenmaan käräjäoikeudessa helmikuun lopulla.

OSA 4: RIKOKSET JATKUVAT

Kuinka Vastaamo-murto saa jatkoa sadoista rikosilmoituksista

Vastaamosta varastettuja henkilötietoja on käytetty ja käytetään yhä rikosten tekemiseen. Esimerkiksi kesäkuussa tietoon tuli suomi.fi -verkkopalvelun nimissä tehty kalastelukampanja, jossa uhreilta yritettiin saada huijattua rahaa asumistuen nimissä. Kyseisistä kalastelutapauksista valtaosassa käytettiin Vastaamon asiakkaiden tietoja.

Kun Vastaamon asiakastietoja on hyväksikäytetty jatkorikoksiin, yleisimmät rikosnimikkeet ovat olleet esimerkiksi petos, maksuvälinepetos ja identiteettivarkaus.

Tilastosta näkyy, että viime vuosina petosten määrä on Suomessa yleisesti kasvanut. Valtaosa petoksista tapahtuu nykyään verkossa. Myös tietomurtojen määrä on kasvanut Suomessa jo usean vuoden ajan.

Kattavia tilastoja verkossa tapahtuvien eri rikosten kehityksestä ei kuitenkaan ole, sillä poliisi on tilastoinut internetissä tapahtuvat rikokset erikseen vasta vuodesta 2021 alkaen.

Uhreille on aiheutunut kuluja ja vaivaa tietojensa suojaamisesta. Koska tietoja ei saa koskaan pois verkosta, mahdollisuus tietojen putkahtamisesta esiin myöhemmässä vaiheessa aiheuttaa pelkoa, haittaa ja henkistä kärsimystä pahimmillaan loppuelämäksi. 

Pelko uudesta tietomurrosta voi heikentää ihmisten luottamusta terveydenhuollon palveluita ja tietosuojaa kohtaan. Vakavimmillaan tämä voi vaikuttaa jopa siihen, miten ihmiset uskaltavat hakeutua hoitoon.

Poliisille Vastaamon esitutkinta on ollut ennennäkemättömän vaativa ja pitkä. Syksyyn 2023 mennessä vyyhdin kustannukset ovat olleet 2,2 miljoonaa euroa. Summassa on mukana pääosin työtunnit, joita on Vastaamo-kokonaisuuteen liittyen kirjattu 33 henkilötyövuotta.

Luvut ovat todennäköisesti todellisuudessa suurempia, sillä tapaus on vaikuttanut kaikkien poliisiyksiköiden rikostorjunnan toimintaan suoraan ja välillisesti.

Nyt poliisin tietomurtoa ja kiristyksen yrityksiä koskeva massiivinen esitutkinta on valmistumassa ja siirtymässä syyttäjälle syyteharkintaan. Epäilty Kivimäki on kiistänyt teon kokonaisuudessaan. 

Jos syyttäjä nostaa asiassa syytteet ja vyyhti etenee oikeuteen, kyseessä on poikkeuksellisen laaja ja erikoisjärjestelyjä vaativa käsittely. Uhrien on vielä päätettävä, aikovatko he osallistua mahdolliseen oikeudenkäyntiin.

Vastaamon entinen toimitusjohtaja Ville Tapio tuomittiin jo aiemmin käräjillä erillisessä oikeudenkäynnissä tietosuoja­rikoksesta yrityksen puutteellisen tietoturvan vuoksi. 

Mitä epäilty kiristäjä tästä kaikesta sitten hyötyi? Vastaamo ei lunnasvaatimukseen suostunut. Yksityishenkilöiltä vaadittu bitcoin-summa oli satoja euroja. Loppujen lopuksi vain noin muutama kymmenen uhreista maksoi nämä lunnaat.

Tekijälle jäi tästä kaikesta rikoshyötynä siis käteen joitain tuhansia euroja. Paljon vahinkoa vain tuhansien eurojen tähden.

Juttua varten haastateltiin tapauksen tutkinnanjohtaja Marko Leponen keskusrikospoliisista. Lisäksi lähteenä on käytetty HS:n aiempia juttuja aiheesta sekä poliisihallituksen tietoja Vastaamo-esitutkinnan kustannuksista.