Terapiapotilaisiin kohdistunut tietomurto on voinut vaarantaa tuhansien ihmisten tietosuojan, kyseessä on täysin ”poikkeuksellinen tapahtuma”

Keskusrikospoliisi tutkii tapausta epäiltynä törkeänä tietomurtona ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä. Tietosuoja-asiantuntijan mukaan toimialalla on peiliin katsomisen paikka.

Keskusrikospoliisi tutkii tapausta, jossa tuntematon hyökkääjä väittää vieneensä kymmenien tuhansien psykoterapia-asiakkaiden arkaluontoisia tietoja sisältäviä asiakirjoja. Tietomurto kohdistui yksityiseen psykoterapiapalveluita tarjoavaan Vastaamoon.

Yhtiö on verkkosivuillaan tiedottanut tietomurrosta, jossa on viety yhtiön asiakkaiden luottamuksellisia tietoja.

Poliisi tutkii tapausta epäiltynä törkeänä tietomurtona ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä.

”Esitutkinnan ollessa kesken poliisi ei voi avata tutkinnan sisältöä enempää. Pyydämme, että ne henkilöt, jotka huomaavat, että heidän yksityiselämäänsä loukkaavaa tietoa on levitetty, tekevät asiasta sähköisen rikosilmoituksen, sanoo tutkinnanjohtaja, rikoskomisario Marko Leponen tiedotteessa.

Vastaamon hallituksen puheenjohtajan Tuomas Kahrin mukaan tuntematon vihamielinen osapuoli on yrittänyt kiristää yritystä.

Kahrin mukaan Vastaamolla ei ole tarkkaa tietoa siitä, kuinka monen ihmisen tiedot ovat vuotaneet. Yhtiöllä on kuitenkin kymmeniätuhansia asiakkaita eri puolilla Suomea. Kahri ei halua kertoa, koskeeko tietovuoto kaikkia asiakkaita vai ainoastaan jonkin paikkakunnan asiakkaita.

Tuntematon kiristäjä vaati tiettävästi tietojen julkaisematta jättämisestä noin 450 000 euron lunnaita Vastaamolta. Kiristäjän internetiin kirjoittamien viestien mukaan se aikoo julkaista 100 asiakkaan tiedot päivittäin, mikäli lunnaita ei makseta.

Osa näistä tiedoista on jo julkaistu verkossa. HS on nähnyt listauksen, jossa on tällä hetkellä 200 ihmisen nimitiedot ja heihin liitettyjä tiedostoja. HS ei ole avannut listan takaa avautuvia tietoja.

Ylen mukaan tiedostot ovat potilaskertomuksia, joissa on erittäin arkaluontoista tietoa asiakkaiden yksityiselämästä. Tiedostoista käy Ylen mukaan ilmi myös ihmisten henkilötiedot osoitteineen sekä heidän henkilöturvatunnuksensa.

Tietoturvallisuusjohtaja Erka Koivunen F-Securelta kuvailee tapausta erityisen harmilliseksi juuri sivullisten ihmisten kärsimän haitan vuoksi.

”Toimialalla itsellään on peiliin katsomisen paikka”, Koivunen sanoo.

Koivusen mielestä olisi syytä kyseenalaistaa luottamuksellisten potilastietojen säilytys niin, että ne ovat saatavilla litteroituna tai skannattuna tietokannasta tai tiedostopalvelimelta. Kaikkien organisaatioiden tietohallinnot joutuvat painimaan saman asian kanssa.

” ”Siellä ei ole edes yritetty suojata. On luotettu siihen että sen tiedostojärjestelmän tai tietokannan ääreen pääsee vain valtuutetut tahot.”

”Käytännössä aika moni tietohallinto joutuu nostamaan kädet pystyyn. Jos tavoitteena on, että tiedot pitää olla aina ja välittömästi terapeutin saavutettavissa, niin se luotettavuuden suojaaminen on se, mikä väistyy ensimmäisenä.”

Koivusen mukaan yhtiön käyttämä järjestelmä ei varmasti ole ainut, missä on otettu tiedostettu riski. Vuodetuista tiedoista on Koivusen mukaan helposti nähtävillä, että tietojen käsittelyssä ja säilyttämisessä ei ole nähty suurta vaivaa niiden salaamiseksi.

”Siellä ei ole edes yritetty suojata. On luotettu siihen että sen tiedostojärjestelmän tai tietokannan ääreen pääsee vain valtuutetut tahot.”

Apulaistietosuojavaltuutettu Jari Råmanin mukaan yhtiö on tehnyt ilmoituksen tietomurrosta tietosuojavaltuutetulle 30. syyskuuta. Råmanin mukaan heillä ei vielä ole tarkkaa tietoa siitä, kuinka monen ihmisin tiedot ovat päätyneet hyökkääjän haltuun.

Suomessa on Råmanin mukaan ollut mittakaavaltaan suurempia tietovuotoja. Tapaus on hänen mukaansa kuitenkin harvinainen nimenomaan siksi, että siihen liittyy ihmisten sensitiivisiä terveystietoja.

”Tiedossani ei ole näin laajaa terveystietoja koskevaa tietomurtoa Suomessa. Kyse on poikkeuksellisesta tapahtumasta.”

Tietosuojavaltuutetun toimenkuvaan kuuluu myös valvoa sitä, onko rekisterinpitäjä eli esimerkiksi psykoterapiakeskus arvioinut rekisteröityihin eli asiakkaisiin kohdistuvan riskin oikean suurukseksi tietovuodon tapahduttua. Rekisteröidylle kuuluu ilmoittaa tapahtuneesta, mikäli asiasta aiheutuu korkeaa riskiä.

Råmanin mukaan poliisi asetti tutkinnan alkaessa ilmaisukiellon, joka on päättynyt eilen. Tästä syystä tapahtuneesta tietomurrosta ei ole ilmeisesti kerrottu aikaisemmin julkisuuteen eikä myöskään asiakkaille.

Vastaamo on hankkinut ulkopuolisia tietoturva-asiantuntijoita tutkimaan tietomurtoa. Hallituksen puheenjohtajan Kahrin mukaan tämänhetkinen käsitys on se, ettei marraskuun 2018 jälkeen kirjattuja asiakastietoja ole vaarantunut.

Kahrin mukaan asiakkaille on annettu asiasta tietoa yhtiön verkkosivuilla ja myöhemmin heille annetaan tarkempia ohjeistuksia.

Vastaamon asiakkailleen laatimassa sähköpostiviestissä pahoitellaan tapahtunutta ja muun muassa neuvotaan ihmisiä tekemään poliisille rikosilmoituksen.

”Jos havaitset tietojesi väärinkäyttöä tai epäilet sellaista, jos tietojasi leviää verkossa tai jos sinuun otetaan yhteyttä tietomurrossa vuotaneiden tietojen osalta, kehotamme sinua asianomistajana ilmoittamaan tästä kotipaikkasi poliisille ja tarvittaessa tekemään asiasta rikosilmoituksen. Voit tarvittaessa pyytää neuvoa myös tietosuojavaltuutetun toimistosta. ”

Råmanin mukaan tässä tapauksessa yksittäisillä ihmisillä on hyvin vähän keinoja lieventää heihin kohdistuvia haittavaikutuksia.

Tietomurto voi koskea myös Pirkanmaan sairaanhoitopiirin asiakkaita, sairaanhoitopiiri tiedotti torstaina.

Pirkanmaan sairaanhoitopiirillä on ollut Vastaamon kanssa sopimus perhepsykoterapiapalvelujen ja muiden psykoterapiapalvelujen hankinnasta vuosina 2016–2018. Sopimus on koskenut Taysin lasten ja nuorten psykoterapiapalveluita.

”Kyseessä on erittäin ikävä ja merkittävä teko”, sanoo Taysin johtajaylilääkäri Juhani Sand.

”Tiedossani ei ole, että nimenomaan Taysin potilaiden tietoja olisi käytetty väärin”, Sand kertoo.

Taysin mukaan kaikille sopimuksen piirissä palvelua sopimusaikana käyttäneille asiakkaille ilmoitetaan Vastaamon tietosuojapoikkeamasta henkilökohtaisesti.

Sandin mukaan Taysilla on tällä hetkellä noin 20 sopimustoimittaja psykoterapiapalveluiden osalta. Palveluntuottajien kanssa tehdään tietosuojasopimukset, Sand kertoo. Hänen mukaansa potilaat voivat jatkossakin mennä terapiaan luottavaisesti.

”Kaikessa toiminnassa on joitain riskejä, mutta sopimuksiin liittyviä terapiapalveluja voi yleisesti ottaen käyttää turvallisin mielin”, hän sanoo.

Jos epäilee, että tiedot on vuodettu, sairaanhoitopiiri ohjeistaa varmistamaan osoitetietojen oikeellisuus Väestörekisterikeskukselta, maistraatilta ja Postilta sekä tekemään tarvittaessa luottokiellon.