Vastaamon tietoturva-asiat olivat täydessä kaaoksessa: Yli­työllistetty it-henkilöstö yritti viestiä puutteista, mutta turhaan

Vastaamon tietomurrosta on nostettu ensimmäinen syyte. Toimitusjohtaja Ville Tapio saa syytteen henkilötietojen käsittelystä niin huolimattomasti, että asiakkaiden tiedot pääsivät vuotamaan.

Psykoterapiakeskus Vastaamon entinen toimitusjohtaja saa syytteen tietosuojarikoksesta. Tuhansien asiakkaiden arkaluonteisia tietoja pääsi vuotamaan ulkopuolisille.

27.9. 11:21 | Päivitetty 27.9. 15:59

Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio saa syytteen tietosuojarikoksesta. Syyte liittyy henkilötietojen käsittelemiseen niin huolimattomasti, että kymmenien tuhansien asiakkaiden arkaluonteisia tietoja pääsi vuotamaan ulkopuolisille.

Sen sijaan kahden muun epäillyn osalta syyttäjät päättivät, ettei heitä vastaan nosteta syytetä.

Heidän syyttämättäjättämispäätöksistään ilmenee, että Tapio ja kaksi it-osaston työntekijää saivat 28. syyskuuta 2020 kiristyssähköpostin. Sen mukaan kiristäjä oli saanut haltuunsa koko Vastaamon potilasrekisterin.

Kiristäjä uhkasi julkaista tiedot internetissä, ellei Vastaamo suostuisi kiristäjän vaatimuksiin. Kolmessa sähköpostissaan kiristäjä toimitti näytteitä hallussaan olevasta tietokannasta vuosilta 2012–2017.

Viimeisessä viestissään kiristäjä ilmoitti ladanneensa tiedot muutama kuukausi sitten suoraan Vastaamon potilastiedot sisältävästä tietokannasta.

Vastaamo teki seuraavana päivänä rikosilmoituksen törkeän kiristyksen ja epäillyn törkeän tietomurron takia.

Vastaamo myös palkkasi kyberturvayhtiön Nixun selvittämään yrityksen tietoturvaa. Siinä ilmeni, että Vastaamon tietoturvassa oli merkittäviä puutteita.

Esitutkinnan aikana vahvistui, että jokin ulkopuolinen taho oli käyttänyt tietoturvapuutteita hyväkseen ja saanut haltuunsa arkaluonteisia potilastietoja.

Syyttäjät totesivat, että esitutkinnan perusteella ”Vastaamon tietoturva-asiat ovat olleet suorastaan kaaoksessa mitä tulee käytettävissä olleisiin resursseihin, budjettiin, riittävän ammattitaidon käyttämiseen ja hyödyntämiseen, koulutukseen ja osaamiseen”.

IT-osasto on ollut ylityöllistetty ja viestittänyt johdolle tietoturvassa olleista puutteista ja erilaisista hankintatarpeista, mutta mitään ei ole tapahtunut.

Tämän takia kahta alaista vastaan ei nosteta syytettä. He eivät ole olleet sellaisessa asemassa, että he olisivat kyenneet noudattamaan yleisen tietosuoja-asetuksen vaatimuksia tietoturvan käytännön järjestämisestä.

Esitutkinnassa selvisi, ettei kyse ollut ainutlaatuisesta tapahtumasta, vaan tietomurtoja oli vuosien kuluessa tapahtunut useita. Vastaamon toimitusjohtajan ja it -henkilöstön epäiltiin tienneen murroista.

Viranomaisten tietoon asia tuli vasta, kun Vastaamo teki rikosilmoituksen kiristyksestä.

Nixun selvityksen mukaan olennaisimmat ja vakavimmat tietoturvapoikkeamat ajoittuivat vuosille 2017–2019. Nixun havaintoja tukee keskusrikospoliisin tietotekninen raportti.

Potilastietojen pitäisi olla tietokannassa, jotka on suljettu ulkopuolisilta yhteyksiltä. Vastaamon tietoliikenneportti on kuitenkin ollut avoinna internetiin 26. marraskuuta 2017 ja 13. maaliskuussa 2019 välisen ajan.

Tämä menettely yhdessä huonojen salasanakäytäntöjen kanssa on tarkoittanut sitä, että tietomurron todennäköisyys on ollut suuri.

Tutkinnassa selvisikin, että marraskuussa 2018 oli tapahtunut tietomurto, jossa oli päästy käsiksi koko potilasrekisteriin.

”Vielä merkittävimmistä tietoturvapoikkeamista tutkinnassa on nostettu esille tapahtumat 15.3.2019, jolloin ulkopuolinen taho on luvattomasti kirjautunut potilastietokantaan, tuhonnut sen ja jättänyt tilalle kiristysviestin, jolla tietokannan palauttamisesta vaadittiin Bitcoineja. Selkeitä todisteita tietokannan varastamisesta tämän yhteydessä ei ollut saatavilla, mutta mahdollisuus tähän on ollut olemassa”, syyttämättäjättämispäätöksessä kerrotaan.

Kaikki kolme epäiltyä tulivat tietoisiksi tästä tietomurron mahdollisuudesta. Siitä ei kuitenkaan kerrottu viranomaisille, vaan epäillyt keskittyivät palauttamaan kiireellisesti hävinneet tiedot.

Tietoturvaloukkauksesta olisi pitänyt ilmoittaa Tietosuojavaltuutetun toimistoon ja sosiaali- ja terveysalan lupa- ja valvontaviranomaiselle Valviralle.

It-henkilöt kertoivat, että Ville Tapio käski heitä hävittämään kaikki tiedot tietomurrosta ja uhkaili heidän olevan ensimmäisenä tulilinjalla, jos asia paljastuu. Tapio puolestaan sanoi, että alaiset salasivat häneltä tietomurron.

Esitutkinnassa tuli esiin lukuisia tietoturvapoikkeamia. Oli esimerkiksi viitteitä siitä, että Vastaamolle kuuluva verkko-osoite olisi päätynyt rikollisten etähallintaan eli osaksi niin sanottua bottiverkkoa.

Kun Vastaamo alkoi hieroa kauppoja sijoitusyhtiön kanssa, tietoturvassa todettiin puutteita. Asiaan liittyvään raporttiin kirjattiin merkittävä määrä keltaisen tason riskejä. Pahin taso olisi ollut punainen taso.

Esimerkkeinä mainittiin, että tietosuojasta on vastannut henkilö, jolla ei ollut pätevyyttä. Tietoturvakontrollit ovat olleet yhden henkilön takana.

Merkittäviä parannuksia alettiin toteuttaa vasta lokakuussa 2020, eli uuden omistajan aikana ja julkisuuteen paljastuneen tietomurron jälkeen.

Toinen rikoksesta epäillyistä alaisista kertoi esitutkinnassa, ettei toimenpiteitä olisi koskaan tehty silloin, kun Ville Tapio oli päätäntävallassa. Hän kertoi halunneensa tehdä toimenpiteitä, mutta hänen ehdotuksensa oli torpattu.

”Kuulusteluissa ilmeni, ettei resursseihin ja IT:hen oltu juurikaan panostettu rahallisesti, sen sijaan pääpaino oli yrityksen laajenemisessa ja uusien toimipisteiden perustamisessa”, syyttäjät toteavat syyttämättäjättämispäätöksessä.

Todistaja toisensa jälkeen kertoi, että rahaa säästettiin eikä tietoturvaan panostettu millään tavalla.

Tietomurto paljastui syksyllä 2020, kun asiakkaiden arkaluonteisia tietoja alkoi ilmestyä pimeään verkkoon pala palalta. Verkkoon päätyi tuhansien asiakkaiden tietoja.

Varsinaisen tietomurron tutkinta jatkuu edelleen, ja poliisi on luottavainen siihen, että se saadaan selvitettyä.

Keskusrikospoliisi on kertonut, että sillä on ”kiinnostava Euroopan ulkopuolelle suuntautuva tutkintalinja”.

Vastaamo asetettiin konkurssiin helmikuussa 2021.

Osaston uusimmat

Osaston luetuimmat