Teknologia 23 -tapahtuman TIVIA Stagen kolmannen päivän eli torstain 9.11.2023 neljännen esityksen piti Principal Consultant Jarno Yliluoma Nixu Oy:stä. Kolmannen päivän ohjelma oli kokonaan Tietoturva ry:n järjestämää ja päivän esityksillä oli 20–70 seuraajaa paikan päällä.
Yliluoma painotti esityksensä aluksi, että kaikki Case Vastaamoa koskeva materiaali on kotoisin julkisista lähteistä, ketään henkilöä ei mainita nimeltä, ketään ei syytetä ja joitakin teknisiä yksityiskohtia on poistettu tai muutettu.
Tietoturvassa puhutaan valkoisista ja mustista sekä punaisista ja sinisistä toimijoista tai tiimeistä. Punainen tiimi on hyökkäyksellinen (esimerkiksi murtotestaus), sininen tiimi on puolustuksellinen. Sininen tiimi pyrkii parantamaan tietoturvaa esimerkiksi laittamalla asetuksia kuntoon. Punaisen tiimin toiminta on tunnetumaa ja kiinnostavampaa mediassa, sininen puoli on jäänyt vähemmälle huomiolle. Siniseen tiimiin kuuluvat ne tieto- ja kyberturvan asiantuntijat, jotka pyrkivät turvaamaan organisaation infrastruktuurin ja järjestelmät, etsimään haavoittuvuudet ja paikkaamaan ne, sekä tukimaan, mitä verkossa tapahtuu, ja puuttumaan poikkeavuuksiin. Tavoite hyökkäysten estäminen tai ainakin niiden haittojen kompensoiminen sekä uhkien metsästys.
Kysymyksessä on siis Psykoterapiakeskus Vastaamo ja sen alusta, jossa asiakkaina ovat sekä terapeutit että potilaat. Alustan tietokanta oli pitkään avoimena nettiin. Tietokannan ”hakkerointeja” tapahtui ainakin vuosina 2017 ja 2019. Yliluoma puhuu hakkeroinnin sijaan ”hakkeroinnista”, koska toiminta on vaatinut teknisen osaamisen sijaan lähinnä röyhkeyttä. Lokakuussa 2019 murron tehnyt henkilö aktivoitui jostain syystä vuotta myöhemmin ja lähetti kiristysviestin ensin organisaatiolle ja sen jälkeen kaikille potilastietojärjestelmässä olleille. Tietomurtotutkinta aloitettiin syys–lokakuussa 2020 ja tietomurto tuli julkiseksi lokakuussa 2020.
Haavoittuvuuden julkiseksi tulemisen jälkeen Vastaamo alkoi parantaa tietoturvaansa. Tietomurtotutkinnassa oli löydetty käytetty murtautumisreitti ja se oli jo tukittu. Yliluoman tullessa tietoturvan parantamisprojektiin mukaan, oli Vastaamon toimitusjohtaja ja johto vaihdettu ja IT-henkilökunnalta poistettu työvelvoite ja pääsy järjestelmiin. Onneksi alihankkijoita oli vielä jäljellä, ja heiltä saatiin tietoa.
Tekniseltä kannalta tietoturvan hyväksi ei oltu murtautumisen jälkeen tehty juuri mitään, lukuun ottamatta mainittua murtautumisreitin tukkimista. Yliluoma esitti esitutkintamateriaaliin kuuluvan arkkitehtuurikuvan, jonka keskeisiä komponentteja ovat kytkin, jonka alla on parina kaksi palomuuria, joiden alla on kaksi virtualisointialustaa. Niistä toinen pyörittää julkisia palveluja ja operatiivisia järjestelmiä, toinen perus-IT:tä. esityksessä jälkimmäiseen ei keskitytä. ”Aika 2010-luvun mallinen konesaliratkaisu”, Yliluoma totesi. ”Pohjimmiltaan arkkitehtuuri ei ollut mikään pommi.”
Olemassa olevaa tilannetta kartoitettaessa hyvä uutinen oli, että infrastruktuurilla oli kyvykkyyksiä, joita kuitenkaan ei oltu käytetty. Positiivista oli myös uuden johdon energia, sillä he tekivät kaikkensa tukeakseen mahdollistaakseen tietoturvan ja IT:n kehityksen kriisin aikana. Politiikat ja määrittelyt kuitenkin puuttuivat joitakin muistiinpanoja lukuun ottamatta. Vastaamosta oli kuitenkin tullut julkinen kohde monille kiinnostuneille, joten tietoturvaa oli parannettava.
Nopeasti selvisi, että ohjelmistokehitysympäristössä, jolla potilastietojärjestelmä oli rakennettu, oli kriittinen RCE. ”Kuka tahansa, joka pääsi verkkotasolla kiinni siihen järjestelmään, olisi pystynyt ajamaan koodia tässä järjestelmässä”, Yliluoma totesi. Lokien mukaan sellaista ei ollut tapahtunut, koska haavoittuvuus oli uusi, mutta se muodosti uhan, johon oli reagoitava. Tietoturvapäivityksiä ei oltu tehty aikoihin, eikä ollut tietoa, toimisiko potilastietojärjestelmä uudemman version kanssa. ”Eli oltiin naimisissa vanhassa haavoittuvassa versiossa”. Testiympäristöäkään ei ollut. Ratkaisuna rajoitettiin pääsy potilastietojärjestelmään vain Vastaamon toimistoista, mikä esti etäterapian tekemisen.
Sinisen tiimin ensimmäinen oppi oli se, että pääsynhallinta on todella helppo ja nopea tapa suojella haavoittuvia komponentteja, mutta se estää myös kaikki käyttötapaukset, jotka ovat lähellä alkuperäistä murtautumista. Tässä vaiheessa sininen tiimi koostui Yliluomasta, jolle kaatuivat myös perus-IT:n tehtäviä. Nopeasti Yliluoma sai taisteluparin, joka hoiti kontaktit, jolloin Yliluoma saattoi keskittyä tekniikkaan. Myös alihankkijaverkostosta saatiin toimittajia tekemään osia teknisestä työstä. Näin saatiin sinisen tiimin toimintaa tehostetuksi ja ketterämmäksi nopeasti.
Etäterapiaongelman ratkaisemiseksi yhdeltä alihankkijalta löytyi videoneuvotteluratkaisu, joka saatiin integroitumaan potilastietojärjestelmän kanssa. ”Se saatiin tehtyä noin viikossa, jolloin oppi tästä on, että joskus pienin mahdollinen on riittävän hyvä”. Sillä mahdollistettiin etätyö terapeuteille.
Pari vesiperääkin (epäonnistumista) koettiin. Eräs palvelutalo kävi skannaamassa luvatta Vastaamon palveluja ja jäi kiinni. Se toimitti kuitenkin raportin löytämistään haavoittuvuuksista, jotka suuren kooditestaustyön jälkeen osoittautui hyödyttömäksi. Toinen tällainen vesiperä koettiin, kun eräästä toimipisteestä raportoitiin Vastaamon verkkosivuilla olevan vääränlaisia tekstejä liittyen potilastietojärjestelmään, mikä pelästytti sinisen tiimin. Suuresta työmäärästä huolimatta mitään ei löytynyt. Yliluoman oppi onkin, että joskus kannattaa rönsyt leikata nopeasti pois, ja kohdistaa vähäiset resurssit varsinaisiin ongelmiin.
Suomessa on Yliluoman mukaan vaatimuksia potilasdatan käsittelylle ja Vastaamon tapauksen yhteydessä moni taho heräsi. Valvira ilmoitti, että toiminnan jatkamiseksi pitää todistaa, että Vastaamon IT-arkkitehtuuri ja sen toteutus ovat riittävän hyvät. Toimenpiteille jäi aikaa viikko. Reikäisiä järjestelmiä oli mahdotonta kehittää, joten oli keksittävä muuta. Lisäksi terapeuttien piti ajaa toimistoihin tekemään potilaskirjaukset, sillä vain videoneuvottelu toimi etänä. Selvitettiin, mitä kaikkea on käytettävissä, ja segmentoitiin ympäristö osiin. Luotiin VPN:n eteisverkko, levitettiin VPN kaikille terapeuteille, millä mahdollistettiin terapeuteille tietoturvallinen pääsy potilastietojärjestelmään. ”Tässä vaiheessa oli upotettu ne kruununjalokivet niin syvälle useiden kerrosten alle, että jopa Valvira hyväksyi, että tämä toimi siirtymäkauden ratkaisuna”, Yliluoma kertoi.
Tässä vaiheessa varsinainen kriisi oli ohi. Siirtymävaiheen ratkaisut antoivat tilaa tehdä pitkäaikaisempia ratkaisuja ja rakentamaan parempia järjestelmiä. Aloitettiin nykytilan dokumentointi ja suunnittelemaan arkkitehtuuria parhaiden käytäntöjen mukaisesti sekä suunnittelemaan myös, millä haavoittuvat järjestelmät voidaan korvata. Vastaamolta loppuivat rahat tässä vaiheessa ja yritys haettiin konkurssiin helmikuussa 2021.
TIVIAn jäsenenä olet osaavassa seurassa
Henkilöjäsenenä pidät oman ammattitaitosi ajan tasalla, luot kontakteja ja kehität alaa sekä hyödyt eduista.
Vastaamon sinisen tiimin neljän kuukauden toiminnan opit olivat: 1. Jos ei ole mitään muuta, osaavat asiantuntijat ja motivoitunut johto ovat eteenpäin vieviä asioita. Oikeat ihmiset ovat tärkeitä. 2. Pääsynvalvonta on tehokas tapa kompensoida haavoittuvia järjestelmiä. 3. Joskus MVP (minimum viable product) on riittävä. Videoneuvottelujärjestelmä ja VPN-ratkaisu Vastaamon tapauksessa olivat sellaisia.4. Rönsyt kannattaa leikata nopeasti pois. 5. Reaktiivisen vaiheen eli kriisin jälkeen on siirryttävä proaktiiviseen vaiheeseen, mikä saattaa kaaokseen tottuneille ihmisille olla vaikeata.
Teksti: Reino Myllymäki
Kuva: TIVIA ry