”Rikollisen kannalta on parasta kiristää sillä, mikä sattuu eniten” – Terveystietojen hakkerointi yleistyy, kun henkilökohtaisen tiedon arvo nousee
Kiristyshaittaohjelmien avulla tehdyt verkkohyökkäykset terveydenhuoltoon ovat yleistyneet maailmalla. Henkilökohtaisten tietojen avulla rikolliset pyrkivät kiristämään organisaatioilta rahaa. Suomessa tilanne on tältä osin toistaiseksi rauhallinen.
Venäjällä toimii aggressiivisia kiristyshaittaohjelmia käyttäviä jengejä.
Verkkohyökkäykset terveydenhuollon tietojärjestelmiin ovat lisääntyneet maailmalla, kertoo F-Securen tietoturva-asiantuntija Laura Kankaala. Usein rikollisilla on käytössään kiristyshaittaohjelma. Motiivina on kiristää uhriorganisaatioilta rahaa.
Esimerkiksi amerikkalaisiin sairaaloihin on tehty useita iskuja kolmen viime vuoden aikana.
Lokakuussa verkkorikolliset iskivät Yhdysvaltojen Louisianan Lake Charlesissa sijaitsevaan sairaalaan. Rikolliset saivat käsiinsä lähes 270 000 potilaan henkilökohtaisia tietoja ja vuotivat ne pimeään verkkoon. Tietojen vuotaminen on yleensä merkki siitä, että uhriorganisaatio on kieltäytynyt maksamasta lunnaita.
Niin ikään lokakuussa verkkorikolliset varastivat liki 500 000 ihmisen tietoja australialaisesta sairausvakuutusyhtiö Medibankista. Osa tiedoista oli arkaluontoisia ja liittyi mielenterveyteen.
”Henkilökohtaisen tiedon arvo on noussut rikollisten silmissä”, Laura Kankaala sanoo.
”Rikollisen kannalta on parasta kiristää sillä, mikä sattuu eniten.”
Kiristyshaittaohjelma on vaarallinen
Verkkorikollisten kiinnostus terveystietoja kohtaan on ilmiönä suhteellisen tuore.
Euroopan kyberturvallisuusviraston (ENISA) mukaan kiristyshaittaohjelmilla tehtävät hyökkäykset yrityksiin ovat yleistyneet vuodesta 2018 lähtien. Kiristyshaittaohjelmat alkoivat tuolloin kehittyä aiempaa tehokkaimmiksi.
Aluksi verkkorikolliset käyttivät kiristyshaittaohjelmia niin, että he saivat lukittua organisaatioiden tietojärjestelmät eivätkä työntekijät päässeet käyttämään niitä. Rikolliset vaativat lunnaita avatakseen järjestelmät.
Yritykset ja organisaatiot oppivat nopeasti suojautumaan: ne alkoivat tehdä järjestelmistään varmuuskopioita. Rikollisten piti keksiä uusia kiristyskeinoja, joten he alkoivat varastaa uhriorganisaatioista myös tietoja.
Nyt siitä on tullut uusi keino, jonka avulla lisätä painetta kiristämiseen.
Muitakin yrityksiä hyökkäysten kohteena
Laura Kankaalan mukaan lisääntyneet verkkohyökkäykset terveydenhuoltoa kohtaan saattavat näkyä tilastoissa myös sen takia, että useissa maissa organisaatioilla on julkinen ilmoitusvelvollisuus, mikäli terveystietoja on vuodettu.
Jos kyse on isoista uhriluvuista, tietovuodoista myös uutisoidaan
Terveystiedot voivat toki olla kriittisiä muillekin kuin terveydenhuollon yrityksille.
WithSecuren tutkimusjohtaja Mikko Hyppönen kertoo Katleena Kortesuon Rikospaikkana Vastaamo -äänikirjassa, että ulkomailla on yrityksiä, jotka ovat maksaneet kiristäjille jopa miljoonalunnaita.
Kriittinen tekijä ei ole ollut yrityssalaisuuksien päätyminen rikollisille, vaan se, että rikolliset ovat saaneet käsiinsä yrityksen sähköpostit, mukaan lukien työntekijöiden sähköpostikirjeenvaihtoa työterveyshuollon kanssa.
Tietoturva-asiantuntijat eivät suosittele lunnaiden maksamista rikollisille.
”Henkilökohtaisen tiedon arvo on noussut rikollisten silmissä”, Laura Kankaala sanoo. © iStock
Venäjällä on aggressiivisia hakkereita
Kiristyshaittaohjelmia käyttävät verkkorikolliset ovat nykyisin melko järjestäytyneitä. Esimerkiksi Medibankin tietovuodosta epäillään ryhmää, jolla on siteitä venäläiseen kyberrikollisjengi REviliin.
”Erityisesti Venäjällä toimii aggressiivisia kiristyshaittaohjelmia käyttäviä jengejä, jotka pyörittävät isoa bisnestä”, Laura Kankaala sanoo.
Miten hyökkäykset sitten tapahtuvat?
Yksi taho, esimerkiksi rikollinen hakkeri, pääsee sisälle organisaation tietojärjestelmään ja myy ”pääsyn” rikollisjengille.
”Rikolliset saattavat liikkua järjestelmän sisällä pidempäänkin ja miettiä, mitä tekevät tiedoilla. Usein kyse voi olla päivistä, viikoista, jopa kuukausista ennen kuin kiristys alkaa.”
Kiristyshaittaohjelmajengiin kuuluu yleensä useita toimijoita, jotka hoitavat eri tehtäviä.
Jos uhriorganisaatio ei suostu maksamaan lunnaita, varastetut tiedot kelpaavat aina jollekin rikolliselle taholle.
”Henkilötietojen avulla voidaan esimerkiksi tehtailla talouspetoksia”, Kankaala sanoo.
Suomen tilanne on rauhallinen
Suomessa psykoterapiakeskus Vastaamon tietomurto oli poikkeuksellisen törkeä maailmankin mittakaavassa. Vuonna 2020 pimeään verkkoon vuodettiin yli 30 000 ihmisen arkaluontoisia terapiatietoja.
Suomessa kiristys kohdistui yrityksen lisäksi myös asiakkaisiin.
Kyberturvallisuuden uhkataso kohosi yleisesti loppuvuonna Suomessa.
Terveydenhuolto ei ole poikkeus, kertoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Samuli Könönen.
Joulukuussa Kelan Kanta-palveluihin kohdistui palvelunestohyökkäyksiä. Asiakkaiden tiedot pysyivät kuitenkin turvassa, ja palvelut saatiin nopeasti takaisin käyttöön.
THL:n tietoturvapäällikkö Janne Rintamaa kertoo, että sote-alan organisaatioihin on kohdistunut palvelunestohyökkäysten lisäksi tietojenkalastelukampanjoita, joissa rikolliset pyrkivät saamaan haltuunsa käyttäjätunnuksia ja salasanoja.
Suomessa ei ole raportoitu kiristyshaittaohjelmilla tehtävistä hyökkäyksistä terveydenhuoltoon.
Juttua muokattu 6.1.2023 klo 11.52. Täsmennetty virkettä, jossa puhutaan rikollisjengin toimijoista.