Helmikuun ensimmäisenä perjantaina muistot triggeröityivät jälleen. Muistot siitä, millaiseen kaaokseen tietomurtaja aikanaan ajoi Nora Lindgrenin työpaikan.
Muistoja siitä suunnattomasta huolesta ja pelosta, joka sai alkunsa kun joku murtautui psykoterapiakeskus Vastaamon potilastietokantaan ja levitti tietoja.
”Kyse ei ole vain hakkerista vaan koko prosessista. Tietojen levittäjistä, oman työnantajan toiminnasta ja petetyksi tulemisesta sekä omien henkilötietojen vuotamisesta nettiin”, Lindgren sanoo.
”Se oli hirveän traumaattinen kokemus myös meille työntekijöille. Koin, että minäkin olin hakkerin uhri.”
Lindgren on Espoossa toiminimellä vastaanottoa pitävä psykoterapeutti. Vuosina 2015–2020 hän työskenteli Vastaamon Espoon toimipisteessä terapeuttina ja henkilöstöpäällikkönä.
Lindgren sai tietää murrosta kuten suurin osa suomalaisista: uutisista.
”Sain kuulla asiasta niin, että asiakas istui edessäni. Hän kertoi minulle.”
””Mekin olimme uhreja hädässä ja sokissa, mutta jäimme yksin.”
Lindgren haki töihin Vastaamoon, koska kaipasi työyhteisöä, jakamista ja oppimista. Sitä Vastaamo myös vuosien ajan tarjosi.
Kollegiaalinen tuki oli tarpeen etenkin syksyllä 2020. Kun tietomurto ilmeni, ei työntekijöillä alkuun ollut muuta tukea kuin toisensa.
”Mekin olimme uhreja hädässä ja sokissa, mutta jäimme yksin. Työnantajamme petti meidät ja tunsin itseni huijatuksi ja hyväksikäytetyksi.”
Lindgren toivoo, että työnantaja olisi edes suunnitellut jonkinlaisen kriisiohjeistuksen. Johdossa kun oli tieto tietomurrosta kolme viikkoa ennen asian julkituloa. Koska ohjeistusta ei ollut ja yrityksen johto vetäytyi aluksi, jonkun piti vastata asiakkaiden hätään.
Hätä vyöryi lumivyöryn omaisesti tavallisten työntekijöiden niskaan. Entiset ja nykyiset asiakkaat soittelivat yötä päivää. He halusivat ymmärrettävästi nähdä tai kuulla potilaskertomuksensa. Lindgren oli tuolloin niin kuormittunut ja sokissa, ettei hän osaa arvioida kauanko kaaosta jatkui.
”Vastasimme puheluihin, vaikka se oli raskasta. Halusin vastata, mutta se oli myös työnantajan puolelta esitetty toive.”
Lindgrenillä oli valtava huoli asiakkaistaan. Yhä Lindgren kokee, että asiakkaat olisivat ansainneet enemmän tukea ja apua.
”Asiakkailla oli ehdottomasti oikeus soittaa. Mutta meidän ei olisi kuulunut olla niitä, jotka vastaavat hätään, sillä me olimme myös uhreja. Yritimme omassa hädässä parhaamme mukaan tehdä kaikkemme heitä auttaaksemme”, hän kertoo.
Samaan aikaan Lindgren jatkoi normaalia asiakastyötä.
Tietomurrosta ja Vastaamon toiminnasta on uutisoitu paljon ja monesta eri näkökulmasta. Työntekijöiden kokemuksia ei kuitenkaan ole juurikaan avattu.
”Tämä puoli on jäänyt julkisesta keskustelusta. Meitä oli kuitenkin eri rooleissa 300 työntekijää. Yksi palanen koko Vastaamon tarinasta on jäänyt puuttumaan.”
Lindgren korostaa sitä, ettei asiakkaan ja työntekijän kokemuksia voi verrata toisiinsa.
”On täysin eri asia menettää oma elämäntarinansa nettiin. Mutta ne olivat meidän käsialaa ja meidän nimellämme, ei sekään ole pikkujuttu.”
Tapahtunut aiheutti huolen siitä, kaatuuko yritys ja miten oman toimeentulon käy. Osa työntekijöistä pelkäsi, mitä aluehallintovirasto ja Valvira sanovat – mitä jos työntekijöiden sanotaan olevan vastuussa tapahtuneesta?
Pahinta oli se, että tapahtunut rikkoi terapeutin tärkeimmän työvälineen: ehdottoman salassapitovelvollisuuden.
Siitä huolimatta asiakkaat olivat äärettömän ymmärtäväisiä, osa liiankin ymmärtäväisiä.
”En missään vaiheessa pelännyt, että asiakkaat jättävät minut.”
Fakta
Vastaamon tietomurto
Vastaamoon kohdistunut tietomurto paljastui syksyllä 2020, kun asiakkaiden arkaluonteisia tietoja alkoi ilmestyä pimeään verkkoon pala palalta. Asiakasrekisteriin kohdistui kaksi tietomurtoa vuosina 2018 ja 2019.
Tietomurrosta epäillään Julius Kivimäkeä. Poliisin tiedoissa hänen nimekseen mainitaan Aleksanteri Tomminpoika Kivimäki.
Kivimäki vangittiin poissaolevana Helsingin käräjäoikeudessa lokakuussa todennäköisin syin epäiltynä törkeän kiristyksen yrityksestä, törkeästä tietomurrosta ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.
Kivimäki otettiin kiinni helmikuun ensimmäisenä perjantaina Ranskan Courbevoiessa, Pariisin lähellä.
Alle kuukaudessa Lindgren vaihtoi kuitenkin oman jaksamisensa vuoksi työpaikkaa. Ennen lähtöään hän ehti vielä todistaa kriisipuhelimen perustamisen. Asiakkaille tarkoitettuun puhelimeen vastasivat työntekijät, Lindgren itsekin.
Työntekijöille tarjottiin mahdollisuus muutamaan keskustelukertaan ammattiauttajan kanssa.
”Muistan, kun hän kysyi, miten kehottaisin omaa asiakastani vastaavassa tilanteessa toimimaan. Olin niin sekava, että vastasin etten tiedä. Halusin vain heittäytyä autettavaksi.”
Myöhemmin tarjottiin myös ryhmäpurkuja.
Ennen kaikkea työntekijät kuitenkin tukivat Espoon-yksikössä toinen toisiaan. Ilman sitä tukea ei Lindgren olisi selvinnyt.
”Purimme tapahtunutta paljon keskenämme ja koetimme selvitä sen ahdistuksen kanssa. Lisäksi selvitimme konkreettisia asioita yhdessä. Se oli aikalailla selviytymistä tunnista toiseen.”
Lindgren huomauttaa, että tapauksessa myös osa johdosta petettiin. Intera Partners osti Vastaamon kesällä 2019. Yhtiön mukaan kauppoja ei olisi tehty, jos tietomurrot olisivat olleet tiedossa. Vastaamon perustaja ja toimitusjohtaja Ville Tapio irtisanottiin lokakuussa 2020. Tämä kerrottiin työntekijöille vasta viikkoa myöhemmin, silloin kun asia tuli muutenkin julki.
Lindgren kokee, että johto jätti työntekijät pärjäämään yksin liian vähien resurssien kanssa.
Lisäksi hän kokee loukkaavaksi sen, että ilmeisesti ainakin Tapio tiesi tietoturvaongelmista, mutta hän antoi asian olla. Tämä yksityiskohta ei tullut ilmi heti murron yhteydessä, mutta selvisi myöhemmin uutisista.
”Vastaamon tietoturva ei nykytiedon valossa ilmeisesti ollut sillä tasolla, mitä olisi pitänyt. Toimitusjohtaja viesti vahvasti sen olevan kunnossa, enkä minä ole tietotekniikan osaaja. Luotin hänen sanoihinsa, mutta luottamukseni petettiin.”
Jotta alalla on voinut jatkaa, on tapahtunut täytynyt työstää. Tietoturvaa Lindgren miettii nykyään päivittäin, samoin asiakkaiden luottamusta.
Aiheen mielessä pitää myös toistuvat aiheeseen liittyvät uutiset. Tänä syksynä epäilty hakkeri sai vihdoin kasvot. Helsingin käräjäoikeus vangitsi Julius Kivimäen lokakuussa todennäköisin syin epäiltynä tietomurrosta. Helmikuun ensimmäisenä perjantaina Ranskan poliisi otti hänet kiinni Courbevoiessa, Pariisin lähellä.
Epäilty ei herätä Lindgrenissä erityisiä tunteita. Kun kiinniotosta uutisoitiin, mieleen nousi silti filosofisia kysymyksiä.
”Ymmärtääkö hän, mitä hän on tehnyt. Pystyykö hän koskaan pyytämään kaikilta anteeksi. Onko hänessä inhimillisyyttä”, Lindgren luettelee.
