Tietoturvayhtiö F-Securen tietoturvajohtaja Erka Koivunen olisi valmis sääntelemään kryptovaluuttoja nykyistä tiukemmin, jotta Psykoterapiakeskus Vastaamon tietomurron tyyppistä rikollisuutta saataisiin kitkettyä.
– Kryptovaluutoille on huomattavan vähän järkevää, yhteiskuntaa rakentavaa käyttöä, jos ne säilyvät tällaisina huonosti identiteetteihin liitettävinä, joista ei veroja makseta tai rikollisseuraamuksia synny, Koivunen sanoo.
Kryptovaluuttajärjestelmien valvomattomuus mahdollistaa Koivusen mukaan kiristämisen, jota Vastaamon tapauksessakin tietomurron tekijä on harjoittanut.
Koivunen uskoo kiristäjän varovan liikkeitään
F-Securen tutkimusjohtaja Mikko Hyppönen pyysi keskiviikkona Twitterissä Vastaamo-kiristäjälle lunnaita maksaneita ihmisiä ottamaan häneen yhteyttä. Hyppönen kertoi perjantaina, että hänen tiedossaan on 14 ihmistä, jotka ovat maksaneet vaaditun summan.
Lisäksi 40 ihmistä oli yrittänyt maksaa, mutta maksu ei ollut onnistunut. Hyppösen mukaan ison osan lunnasmaksuista oli pysäyttänyt Bittiraha-palvelu, jota kiristäjä ohjeisti uhreja käyttämään.
Koivunen ymmärtää, että lunnaita maksaneet eivät välttämättä siitä muille halua kertoa.
– Jos lunnaita on maksanut, toivon, että kuitenkin poliisille on siitä rikosilmoitus tehty.
Koivunen ei usko, että kiristäjä enää tässä vaiheessa ilmoittaa itsestään.
– Kuvittelisin, että hän on erittäin peloissaan ja varoo tekemästä enää mitään peliliikettä tämän kanssa. Kaikesta päätellen vaikutti, että hän on tottunut organisaatioita kiristämään. Sellainen rutiini hänellä siihen oli. Hän jatkaa nyt luultavasti tällaista rikollista rahantekoa, Koivunen arvelee.
Kiristäjä saattanut joutua jopa tappiolle
Edellisen kerran kiristäjästä on F-Securen tietojen mukaan kuultu viime lauantaina, kun hän lähetti lunnasviestejä tietovuodon uhreille sekä viestejä Ylilaudalle.
Keskiviikon ja torstain välisenä yönä tyhjennettiin kryptolompakot, joihin jotkut kiristyksen uhrit olivat maksaneet 200:n tai 500 euron arvoisia lunnaita.
F-Securella ei ole kattavaa tietoa, kuinka paljon bitcoinlompakoita on perustettu, tai kuinka moni lunnaita on maksanut. Tiedossa olevien maksujen perusteella Erka Koivunen arvioi kuitenkin rikollisen saamien voittojen jääneen pieniksi.
– Väittäisin, että jos hän 450 000:ta euroa tavoitteli alun perin, hän on kyllä merkittävän tappiokirjauksen tehnyt, Koivunen arvelee.
– Ja kun siinä on omaa aikaa joutunut käyttämään ja olisiko omaa rahaakin, olisiko jopa ottanut persnettoa tästä operaatiosta, niin kuin oikein onkin.
"Kuin pankkiryöstön tekisi ja väripanos laukeaisi"
Silloin, kun bitcoineja vaihdetaan fyysiseksi rahaksi, on Koivusen mukaan paras sauma, jossa rikollisen voi mahdollisesti pystyä narauttamaan.
Kryptovaluutan kiristäminen uhreilta ja sen säilyttäminen sellaisena ei kiristäjän identiteettiä paljasta.
– Siinä vaiheessa kun rahoja siirretään lompakolta toiselle ja otetaan järjestelmästä ulos, siellä syntyy uusia linkityksiä ensin niin sanottujen pseudoidentiteettien välillä, Koivunen selittää.
Kun raha lopulta muunnetaan perinteiseen muotoon eli pankkitilille tai seteleiksi tai sillä ostetaan jotain, rahan käsittelijästä tulee tietoa viranomaisten saataville.
– Se on toksista rahaa. Voisi ajatella vähän kuin pankkiryöstön tekisi ja väripanos laukeaisi, Koivunen kuvailee.
– Kyllähän sillä rahalla voi käydä kahvikupin ostamassa, mutta se on aivan varma, että myyjä soittaa poliisille.
Poliisilla ei ole lupaa kaivella Vastaamon uhrien tietoja
Poliisilla ei lain mukaan ole oikeutta tutustua Psykoterapiakeskus Vastaamon tietomurrossa vuotaneiden potilastietojen sisältöön.
Luottamuksellista tietoa suojaavat laissa takavarikkokielto ja myöhemmin oikeudenkäyntiprosessissa todistamiskielto, kertoo asianajaja Markku Fredman. Lain mukaan esimerkiksi lääkärit, psykiatrit tai asianajajat eivät siis voi todistaa oikeudessa salassa pidettävistä tiedoista, eikä viranomainen saa tällaista tietoa takavarikoida.
– Esimerkiksi tässä tapauksessa takavarikko on sinänsä mahdollinen, mutta se osa aineistoa joka sisältää potilastietoja, pitää sinetöidä fyysisesti tai suojata muulla tavalla, Fredman sanoo STT:lle.
Fredmanin käsityksen mukaan käräjäoikeus on nimittänyt tapauksessa etsintävaltuutetun, jonka tehtävänä on varmistaa, että esitutkinta ei kohdistu takavarikkokiellossa oleviin potilastietoihin.
Fredman pitää selvänä, että poliisi pyrkii selvittämään, millainen tieto on ollut tietovuodon kohteena. Silloin poliisia kiinnostaa Vastaamon hallussa edelleen oleva potilastietokanta.
Keskusrikospoliisi ei kerro STT:lle, mitä aineistoa sillä on hallussaan. Kiristäjä julkaisi tiettävästi koko potilastietokannan lyhyeksi hetkeksi Tor-verkossa viime viikon perjantaina.
Jos tapaus syystä tai toisesta etenee oikeudenkäyntiin, poliisi voisi Fredmanin mukaan saada luvan osittain käyttää vuotaneita tietoja. Tietokannasta poliisi voisi käytännössä saada selville, ketkä ovat jutun asianomistajia, jotta heihin voi ottaa yhteyttä.
Potilas voi itse sallia tietojen käytön
Potilas itse voi kuitenkin halutessaan sallia potilastietojen käyttämisen, Fredman kertoo.
Jos uhri haluaa korvauksia esimerkiksi törkeästä yksityiselämää koskevan tiedon levittämisestä, hänen täytyy oikeudessa osoittaa, kuinka vahingollista tieto on ollut. Vahingon toteennäyttäminen voi edellyttää sitä, että oikeussalissa käydään läpi, millaisia intiimejä tietoja ihmisestä on vuodettu.
– Jos asia etenee oikeuteen, moni joutuu miettimään, kannattaako lähteä hakemaan rangaistusta ja korvauksia, Fredman sanoo.
Henkilökohtaiset tiedot tulisivat tässä tapauksessa oikeussalissa olijoiden tietoon. Oikeudenkäynti voitaisiin kuitenkin käydä suljetuin ovin ja tiedot salata.
KRP keskittyy nyt tietomurron tekijään
Rikostarkastaja Pentti Kangasniemi keskusrikospoliisista (KRP) ei ota suoraan kantaa siihen, tavoitteleeko poliisi pääsyä potilastietokantaan.
– Tottakai se on asia, mitä pitää miettiä ja selvitellä, Kangasniemi sanoo.
Tällä hetkellä resurssit keskitetään kuitenkin Kangasniemen mukaan siihen, että tietomurron tekijä saataisiin selville.
Ihmisiä on kehotettu tekemään rikosilmoituksia aktiivisesti itse juuri siksi, että poliisi ei muuten saa asianomistajien nimiä tietoonsa, Kangasniemi sanoo.
Tapauksessa tehdään Kangasniemen mukaan yhteistyötä mahdollisimman laajalla rintamalla kansallisesti ja kansainvälisesti. Hän ei tarkenna, onko varsinaisia virka-apupyyntöjä tehty.
Entä jos tappaja kävisi psykiatrilla?
Teoriassa voisi olla mahdollista, että esimerkiksi poliisin ennestään henkirikoksesta epäilemä ihminen olisi käynyt psykiatrilla, ja asia tulisi poliisin tietoon. Tuomioistuin voisi silloin tehdä ratkaisun siitä, pitääkö psykiatrin todistaa asiassa.
– En usko, että potilasasiakirjat ovat silloin ensisijainen tapa, vaan psykiatria itseään haluttaisiin kuulla, Fredman sanoo.