Keskellä yötä konesalissa alkoi hälyttää.
Konesalitoimittajan ylläpitämällä palvelimella oli poikkeuksellista touhua. Elokuisen yön tunteina palvelimelta oli ladattu suuri määrä aineistoa, minkä lisäksi palvelimelle oli asennettu tiedostoja lukitseva haittaohjelma. Kansioihin ilmestyi myös tekstitiedosto, joka sisälsi linkin pimeän verkon verkkosivustolle sekä ohjeita, miten tietoja voisi saada palautettua – maksua vastaan.
Palvelimen ylläpitäjä sammutti palvelimen kokonaan, mutta vahinko oli jo tapahtunut.
Raisiolainen kuljetusyhtiö Westlog joutui hakkeroiduksi.
Laajuus paljastui vähitellen
Maailmalla yleistyneet kyberhyökkäykset ovat alkaneet viime vuosina saada myös suomalaisuhreja. Pörssiyhtiö Wärtsilään on hyökätty, ja Uponor joutui puolestaan antamaan tulosvaroituksen kyberhyökkäyksestä seuranneen kaaoksen vuoksi. Myös uutistoimisto STT:n palvelimelle murtauduttiin 2022. Verkkohyökkäyksiä tarkkailevalle Ransomlook-sivustolle tulee päivittäin tietoja uusista verkkohyökkäyksistä, joissa monessa uhria kiristetään ja vaaditaan maksamaan rahaa.
Westlogiin elokuussa tehdyn tietomurron laajuus alkoi valjeta julkisuuteen syksyn mittaan pienissä erissä. Westlog on muun muassa Essity-yhtiön Tena-tuotteiden ja Roche Diagnostics -yhtiön diabeteshoitotuotteiden sopimuskuljettaja, ja murrossa altistui Westlogin asiakasyhtiöiden tietoja. Materiaalin joukossa oli tilaustietoja, osoitteita ja myös henkilötunnuksia ihmisiltä, joille Westlog toimitti tavaraa.
Kaikki Suomen 21 hyvinvointialuetta ja myös Helsingin kaupunki ovat puolestaan STT:n keräämien tietojen mukaan olleet sopimussuhteessa Tena-valmistaja Essityyn, jonka kuljetuksia Westlog hoiti. Murto koski siis hyvinvointialueiden tietoja.
Yli 116 000 uhria
Westlog hoitaa kotiinkuljetuksia ihmisille, jotka saavat hyvinvointialueilta Tena-inkontinenssisuojia, siis virtsankarkailun hoitotuotteita.
Hyvinvointialueet saivat murrosta tietoa Westlogilta ja Essityltä elo–syyskuussa. Hyvinvointialueet puolestaan hoitivat viestintäänsä kukin omaan tyyliinsä.
Hajanainen tiedottaminen johti siihen, ettei murron laajuudesta saanut julkisuudessa kokonaiskuvaa.
Keskenään erilaisten ilmoitusten vuoksi myös Tietosuojavaltuutetun toimisto halusi hyvinvointialueilta vielä tarkempaa selkoa vuodon vaikutuksista ja teki siitä oman selvityspyyntönsä.
Kun laskee yhteen julkisen terveydenhoidon toimijoiden ilmoittamia määriä altistuneista, on marraskuun loppuun mennessä tiedossa yhteensä yli 116 600 ihmistä, joiden henkilötiedot vaarantuivat Westlogin murrossa. Joukossa on asiakkaiden lisäksi myös terveydenhuollon työntekijöiden tietoja.
Harvinainen vaan ei tavaton
Yli 116 000 ihmisen tietoja koskeva vuoto on Suomessa harvinaisen laaja. Tietoturva-asiantuntija Antti Louko Traficomin Kyberturvallisuuskeskuksesta arvioi yleisellä tasolla, että suuri altistuneiden määrä ei suoraan tarkoita, että vuoto olisi poikkeuksellisen vakava.
– Tietovuodon vakavuus riippuu siitä, millä tavalla vuodettuja tietoja voidaan hyväksikäyttää, Louko sanoo.
Hän kertaa, että Facebookilta vuoti vuonna 2019 noin 500 miljoonan käyttäjän tietoja, ja joukossa oli noin 1,2 miljoonaa suomalaista. 2010-luvun alussa Älypää-pelisivuston murrossa vuoti puolestaan tiedot 127 000:lta ihmiseltä.
Joissakin murroissa voi paljastua pelkkä käyttäjätunnus ja salasana. Vaara piilee tällöin Loukon mukaan siinä, jos käyttää samaa salasanaa monessa palvelussa. Henkilötunnuksen paljastuminen on Loukon mukaan jo vakavaa, koska henkilötunnusta voi hyödyntää esimerkiksi identiteettivarkauksiin.
Kuljetusyhtiö Westlogilta vuotaneessa aineistossa on ollut henkilötunnuksia, mutta tarkkaa määrää ei ole kukaan kertonut julkisesti. Toisaalta jo tieto siitä, että tilaa inkontinenssituotteita tai diabeteksen hoitovälineitä, paljastaa todennäköisesti terveystiedon eli sen, että sairastaa diabetesta tai kärsii virtsankarkailusta.
Laajuus moninkertainen Vastaamoon nähden
Viime vuosien tapauksista Westlogia voi verrata murtoon Psykoterapiakeskus Vastaamon palvelimelle, jolla oli yli 33 000 ihmisen potilastietoja.
Westlog-murron laajuus on henkilömäärässä yli kolminkertainen Vastaamon murtoon nähden. Kuitenkin Vastaamon murrossa hyökkääjä sai haltuunsa yhtiön potilastietokannan ja käytti sen tietoja kiristääkseen yhtiötä ja sen asiakkaita. Hyökkääjä myös julkaisi arkoja potilastietoja pimeässä verkossa.
Westlog-murron takana on tiettävästi kiristyshaittaohjelmaa käyttävä hyökkäysryhmä nimeltä Akira. Poliisin, STT:n tai Westlog-yhtiön tiedossa ei kuitenkaan ole, että Akira olisi julkaissut, levittänyt tai yrittänyt hyödyntää tietoja.
Akira ei ole myöskään julkaissut uhkaviestiä Westlogille kiristyssivustolla.
Joskus vuosien jälkeenkin
Kyberturvallisuuskeskuksen Loukon mukaan yleensä kaapattuja tietoja yritetään käyttää hyväksi melko pian hyökkäyksen jälkeen.
– Kauhean yleistä ei ainakaan meidän tiedossamme ole se, että tietoja jotenkin sitten tosi takaperoisesti kaiveltaisiin, Louko sanoo yleisellä tasolla.
Joitain tapauksia on. Esimerkiksi Vastaamon murto tapahtui 2018, mutta asiakkaiden kiristys alkoi pari vuotta myöhemmin. Vuonna 2011 Ylilaudalle puolestaan ladattiin Ylen mukaan Hetudump-niminen tiedosto, joka sisälsi noin 16 000 ihmisen henkilötietoja. Kuusi vuotta myöhemmin Hetudumpin tietoja käytettiin yhä petosrikoksissa, kertoi Yle tuolloin.
Toisaalta vanhoja vuodettuja tietoja on voitu Loukon mukaan yhdistellä muhin vuotoihin, jolloin vanhat tiedot ovat taas pulpahtaneet jostain esiin.
Vaikka tietovuoto voi aiheuttaa sen uhriksi joutuneelle epävarmuutta siitä, mihin henkilötiedot ovat päätyneet, on Westlogiin tehty hyökkäys tämän hetken tietojen valossa jäänyt vahingoiltaan toistaiseksi vähäiseksi.
Poliisille vaikeita selvittää
Lounais-Suomen polisi sai Westlogin murrosta tiedon pian, koska yhtiö teki siitä nopeasti rikosilmoituksen. Tutkinnassa rikosnimike on tietomurto, muttei Lounais-Suomen poliisin tutkinnanjohtajalla ole ollut tapauksesta lisää kerrottavaa syksyn mittaan.
Poliisin rikostilastojen valossa on todennäköistä, että tietomurrot jäävät selvittämättä. Verkkorikollisuus on usein kansainvälistä, ja ammattimaiset ryhmät myös pyrkivät peittämään jälkiään.
Poliisihallituksen tilastojen mukaan tietomurtoja, törkeitä tietomurtoja tai sellaisten yrityksiä ilmoitettiin poliisille vuosina 2018–2022 yhteensä yli 6 080. Näistä poliisi on selvittänyt 380 eli noin kuusi prosenttia.
Vastaamo-kokonaisuus muodostaa poikkeuksen, koska se on Suomen suurista tietomurroista niitä harvoja, joita on päädytty setvimään oikeussaliin asti.
Yhtiö: Hyökkääjien kanssa ei neuvoteltu
Hyökkääjät pääsivät murtautumaan Westlogin tietoihin hyödyntämällä haavoittuvuutta Ciscon palomuurissa.
Westlogille vuoto on aiheuttanut kahtalaisen aseman. Samalla, kun yhtiö on itse joutunut rikoksen kohteeksi, on se joutunut parrasvaloon ihmisten henkilötietojen vaarantumisen takia.
Westlogin toimitusjohtaja Ossi Ojanen kertoo marraskuussa, että murto oli erittäin ikävä kokemus.
Yhtiö ei lähtenyt hänen mukaansa keskustelemaan Akira-ryhmän kanssa eikä mitään vaadittuja lunnaita myöskään maksettu.
– Tämä oli myös kaikkien asiantuntijoiden neuvo, hän sanoo.
Ojanen kertoo, että hyökkäys halvaannutti yhtiön liiketoiminnan muutamaksi päiväksi, mutta menetetty työ saatiin kurottua lähipäivinä umpeen. Sittemmin yhtiön liikenevät resurssit ovat Ojasen mukaan menneet yhtiön tietosuojan parantamiseen.
– Tietoturvan ja sen kehittämisen kanssa ollaan työskennelty oikeastaan täysipäiväisesti sen murron jälkeen, hän sanoo.
Asiakasyritykset, joiden kanssa murtoa on setvitty, ovat olleet Ojasen mukaan ymmärtäväisiä ja yhteistyökykyisiä työmäärästä huolimatta.
Toisaalta, kun uhreja on todennäköisesti ollut reilusti yli 110 000, on yhtiö saanut toimitusjohtajan sanoin "monenlaista yhteydenottoa".
– Tuottamamme palvelun piirissä on paljon ihmisiä. On valitettavaa, että niin monen henkilön tiedot ovat tässä yhteydessä vaarantuneet, sanoo Ojanen.
Pahimmalta on Westlogin murrossa toistaiseksi vältytty, mutta viedyt henkilötiedot ovat yhä tuolla jossain.