Identiteettivarkaus onnistui pelkillä henkilötiedoilla – "Aika iso luotto oli siihen, ettei tällaista voi tapahtua”

Psykoterapiakeskus Vastaamon palveluita useampi vuosi sitten käyttäneen Sanna Kärsämänojan identiteettivarkaus paljastui, kun jonkun muun tilaamat huonekalut saapuivat kotipihaan. Hän ei kuitenkaan ole yksin, sillä poliisin mukaan Vastaamon uhrien henkilötietoja on alettu käyttää rikosten tekemiseen. Identiteettivarkauden riski yllätti Kärsämänojan, ja tilanteen selvittely on vienyt paljon aikaa ja ollut kuormittavaa.

Psykoterapiakeskus Vastaamon tietomurto on jo valtaosalle suomalaisista tuttu mediasta, ellei jopa omakohtaisen kokemuksen kautta. Vastaamon asiakastietojärjestelmän suojauksessa olleen puutteen avulla Vastaamon asiakasrekisteriin tehtiin kaksi tietomurtoa vuosina 2018 ja 2019. Poliisin arvion mukaan jopa 30 000 suomalaisen henkilötietoja sekä arkaluontoisia potilaskertomuksia varastettiin. Uhrien tietoja on vuodettu verkkoon, ja uhrit ovat saaneet kiristysviestejä.

Sanna Kärsämänoja oli myös käyttänyt Vastaamon palveluita. Ensimmäinen tunne tietovuodon selvitessä oli paniikki. Tulevaisuus huoletti Kärsämänojaa – jos henkilökohtaiset tiedot ovat kaikkien nähtävillä, mitä esimerkiksi potentiaaliset työantajat ajattelisivat? Mielessä pyörivät useat kysymykset, kuten mitä asioita terapiassa onkaan puhuttu, ja mitä terapeutti on mahtanut kirjoittaa muistiin. Kärsämänoja ei myöskään saanut Vastaamolta itseään koskevia tietoja nähtäväksi pyynnöistä huolimatta.

”Jossain vaiheessa alkoi sitten tuntua siltä, että on parempi, että en tiedä. Kun en voi sille asialle enää mitään, ja jos joku niitä tietoja haluaa käyttää, niin saan vain lisää kierroksia siitä, jos selvitän, mitä siellä on”, Kärsämänoja kuvailee tietovuodon jälkeisiä tunteita.

Yllätyksenä tuli, kuinka paljon vahinkoa pelkillä henkilötiedoilla voi tehdä

Vastaamon tietomurron tultua julkisuuteen viranomaiset antoivat uhreille toimintaohjeita. Uhreja kehotettiin muun muassa olemaan reagoimatta kiristysviesteihin sekä tekemään rikosilmoitus tapahtuneesta. Kärsämänoja kertoo toimineensa muuten ohjeiden mukaisesti, mutta jättäneensä omaehtoisen luottokiellon ottamatta. Omaehtoinen luottokielto hankaloittaa ostosten tekemistä tai lainan ottamista toisen henkilön tiedoilla. Vastaamon tietomurron tultua julki Kärsämänojaa huoletti kuitenkin erityisesti henkilökohtaisten potilastietojen vuotaminen, ei niinkään identiteettivarkaus.

Kärsämänoja ei arvannut, että pelkkiä henkilötietoja voitaisiin hyödyntää petoksen tekemiseen. Kärsämänojaa mietitytti myös, hankaloittaako otettu luottokielto omaa elämää, eikä identiteettivarkauden uhriksi joutumisen mahdollisuus vaikuttanut kovin suurelta riskiltä. Aiemmin Kärsämänoja muistaa kuulleensa yksittäisestä tapauksesta vuosikymmenen takaa. Tuolloin Kärsämänojan tuttavan henkilötietoja oli käytetty tavaroiden tilaamiseen, kuitenkin niin, että laskut tulivat Kärsämänojan tuttavalle.

”Yllätyksenä tuli, että toisen pelkällä henkilötunnuksella, nimellä ja osoitteella voi toimia tuolla tavalla edelleen. Aika iso luotto oli siihen, ettei tällaista voi tapahtua. Oma huolimattomuus harmittaa – toisaalta tuntuu uskomattomalta, etteivät luotonantajat vaadi vahvaa tunnistautumista ostaessa. Periaatteessa jokainen, jolla ylipäätään on henkilötunnus, voi siis joutua uhriksi.”

Identiteettivarkaus paljastui, kun kotiin saapui vieraan tekemä tilaus

Joulukuussa 2021 Vastaamon tietomurron selviämisestä oli kulunut yli vuosi, ja Kärsämänojan huoli tilanteesta oli ehtinyt tasoittua. Hänen kohdalleen ei ollut osunut enempää harmia tietojen vuotamisesta. Joulukuisena päivänä Kärsämänojan pihaan kuitenkin saapui ilmoittamatta kuljetusliikkeen auto mukanaan huonekalutoimitus, jota Kärsämänoja puolisoineen ei ollut tilannut. Pakettien kuljettajan kertomus lisäsi hämmennystä – kuljettaja kertoi kyllä soittaneensa ennen saapumistaan, mutta arveli, ettei puhelimessa ollut ollut Kärsämänoja eikä tämän mies, vaan joku muu. Pian huomattiin, että vaikka paketeissa oli Kärsämänojan nimi ja osoite, puhelinnumero oli vieras.

Sattumalta samana päivänä Kärsämänojan postilaatikkoon oli tipahtanut useampi ilmoitus kirjatuista kirjeistä. Kun Kärsämänoja syötti kirjeiden tiedot Postin palveluun, kirjeet näyttivät kuitenkin olevan jo noudettu.

”Siinä vaiheessa alkoi tuntua, että tässä on nyt jotain erikoista”, Kärsämänoja kertoo.

Soitto Postiin paljasti, että tilauksia Kärsämänojan nimellä, mutta samalla, vieraalla puhelinnumerolla oli kulkenut lähiaikoina useita. Huonekalutilaus oli tullut ilmeisesti rikollisen erehdyksestä Kärsämänojan oikeaan osoitteeseen. Postista kuitenkin luvattiin, etteivät vastaavat lähetykset pääse enää kulkemaan, ja Kärsämänojan asian selvittely verkkokauppojen ja luotonantajien sekä poliisin kanssa alkoi. Petoksen tultua esiin Kärsämänoja otti myös omaehtoisen luottokiellon lisävahingon välttämiseksi. Kärsämänojan nimissä tehdyt tilaukset sisälsivät kaikenlaista tavaraa ainakin 3 500 euron edestä: huonekaluja, hiuslisäkkeitä ja merkkifarkkuja.

Kärsämänoja kertoo, että eri tahoilta saatu palvelu on ollut tasoltaan vaihtelevaa. Erityisesti luotonantajien toiminta, joka mahdollistaa ostosten tekemisen pelkillä henkilötiedoilla ja henkilötunnuksella, ihmetyttää. Asioiden selvittelyyn kuluu myös paljon aikaa, ja se on raskasta.

”Tilanteessa, jossa olen itse syytön, yritän tavoitella luotonmyöntäjää, joka on itse vastuussa siitä, että on antanut luottoa ilman huolellista tunnistautumista. Tuntuu epäoikeudenmukaiselta, että joudun käyttämään omaa aikaani siihen”, Kärsämänoja kuvailee tämänhetkistä tilannettaan.

Osa luotonantajista on kuitenkin ottanut asian hoitaakseen tehokkaasti, ja Kärsämänojan nimissä tehdyt ostot on saatu pysäytettyä. Toisaalla suhtautuminen on ollut ikävämpää.

”Tuli sellainen olo, että minua epäillään jostakin, vaikka rikosilmoitus oli tehty ja kaikki faktat olivat puolellani. Se tuntui tosi epäreilulta”, Kärsämänoja kertoo erään luotonantajan kanssa asioinnista.

Vastaamon uhrien henkilötietojen väärinkäyttö ikävä ilmiö

Poliisi kertoi helmikuussa 2022, että Vastaamon tietomurron uhrien henkilötietoja on alettu käyttää rikosten, kuten tilauspetosten tekemiseen. Noin sadan henkilön vuodettuja tietoja on käytetty hyväksi. Tapauksia voi kuitenkin todellisuudessa olla enemmän. Vastaamon tietomurron tutkinnanjohtaja Marko Leponen kuvailee blogissaan tietojen väärinkäyttöä erityisen vastenmieliseksi ilmiöksi, sillä jo valmiiksi kuormittavassa tilanteessa olleiden uhrien tietoja käytetään hyväksi.

Leponen kertoo blogissaan, että valtaosa tietojen hyväksikäytöstä on havaittu palveluissa, joissa tunnistautumiseen riittää esimerkiksi henkilötunnus. Leponen kuitenkin kirjoittaa, ettei poliisilla ole keinoja vuodettujen tietojen väärinkäytön täydelliseen pysäyttämiseen, mutta että asianomistaja voi omalla toiminnallaan pienentää tietojen väärinkäytön riskiä.

Maaliskuussa 2022 Kärsämänoja kertoo tavaravirran olevan vähitellen tyrehtymässä. Asian selvittely eri tahojen kanssa jatkuu, vaikka Kärsämänoja uskoo poliisille tehdyn rikosilmoituksen ja aloitetun tutkinnan suojaavan häntä. Monille toimijoille Kärsämänoja on toistuvasti joutunut ilmoittamaan samoja asioita. Postilaatikolle meno huolestuttaa – mitähän sieltä tällä kertaa tulee, odottaako postilaatikossa uusi nippu laskuja jonkun toisen tekemistä tilauksista?

Identiteettivarkauden kohteeksi joutuminen on siis aiheuttanut paljon harmia sekä vienyt voimia ja resursseja. Kärsämänoja kuitenkin haluaa puhua asiasta avoimesti ja lisätä sillä tavalla tietoisuutta identiteettivarkauksista. Kärsämänoja on myös iloinen siitä, että on jaksanut selvittää identiteettivarkauteen liittyviä asioita oma-aloitteisesti, vaikka tilanne on ollut hankala. ”Minulla riittää tällä hetkellä virtaa ratkoa näitä asioita ja puhua asiasta julkisesti. Ehkä kokemukseni voivat auttaa niitä, joilla asiat ovat huonommin.”