Syyttäjät lyttäsivät Vastaamon tietoturvan oikeudessa – Ex-toimitusjohtaja vieritti vastuuta työntekijöille

Ensimmäinen Psykoterapiakeskus Vastaamon tietomurtoihin liittyvä rikosoikeudenkäynti alkoi torstaiaamuna Helsingin käräjäoikeudessa. Syyttäjät vaativat Vastaamon entiselle toimitusjohtajalle Ville Tapiolle vankeusrangaistusta tietosuojarikoksesta.

Ville Tapio kiistää syytteen.

Syyte koskee henkilötietojen käsittelyä, koska Vastaamosta pääsi vuotamaan kymmenien tuhansien asiakkaiden arkaluonteisia tietoja ulkopuolisille.

Syyttäjien mukaan Tapio jätti muun muassa ilmoittamatta tietosuojavaltuutetun toimistolle tietomurrosta eikä huolehtinut riittävästi, että tietoturva-asiat ovat kunnossa. Hän toimi syyttäjien mukaan tahallisesti tai törkeän huolimattomasti.

”Tietoturva on ollut erittäin heikolla tasolla”, aluesyyttäjä Pasi Vainio totesi asiaesittelyssään.

Vastaamoon oli kohdistunut vuosien saatossa useita tietomurtoja. Ville Tapio tiesi niistä mutta jätti toimimatta riittävällä tavalla, syyttäjät totesivat.

Syyttäjien mukaan kiristäjä sai potilastiedot haltuunsa tietomurrossa marraskuussa 2018. Vastaamo itse ei huomannut tuolloista tietomurtoa lainkaan.

Ulkopuolinen toimija tunkeutui Vastaamon potilasjärjestelmään, sotki järjestelmän ja jätti kiristysviestin myös 15. maaliskuuta 2019.

Syyttäjien mukaan Ville Tapio tuli tällöin tietoiseksi tietoturvaongelmista. Hän ei kuitenkaan ryhtynyt vielä tuolloin riittäviin toimiin tietoturvan parantamiseksi eikä ilmoittanut viranomaisille tunkeutujasta.

Tapio ja kaksi it-osaston työntekijää saivat puolitoista vuotta myöhemmin 28. syyskuuta 2020 kiristyssähköpostin. Sen mukaan kiristäjä oli saanut haltuunsa koko Vastaamon potilasrekisterin.

Kiristäjä uhkasi julkaista tiedot internetissä, ellei Vastaamo suostuisi kiristäjän vaatimuksiin. Kolmessa sähköpostissaan kiristäjä toimitti näytteitä hallussaan olevasta tietokannasta vuosilta 2012–2017.

Viimeisessä viestissään kiristäjä ilmoitti ladanneensa tiedot muutama kuukausi sitten suoraan Vastaamon potilastiedot sisältävästä tietokannasta.

Vastaamo teki seuraavana päivänä rikosilmoituksen törkeän kiristyksen ja epäillyn törkeän tietomurron takia. Viranomaiset saivat vasta tuolloin tietää Vastaamon tietoturvaongelmista.

Syyttäjien mukaan potilastietokannan tiedot oli eriytetty eri tietokantoihin, mutta tiedot olivat yhdistettävissä toisiinsa. Jos tietojen yhdistäminen olisi estetty asianmukaisesti, tietomurtojen vahingot olisivat syyttäjien mukaan jääneet vähäisemmiksi.

Potilastietojen pitäisi olla tietokannassa, jotka on suljettu ulkopuolisilta yhteyksiltä. Vastaamon tietoliikenneportti on kuitenkin ollut avoinna internetiin marraskuun 2017 ja maaliskuun puolivälin 2019 välisen ajan.

Järjestelmä oli alun perin Ville Tapion itsensä kehittämä, joten hän tunsi sen syyttäjien mukaan hyvin. Sen kehittämistyöhön kuitenkin käytettiin vain vähän rahaa.

Syyttäjien mukaan Vastaamossa keskityttiin kasvattamaan yritystä, ja it-asiat jäivät sivuosaan.

”Tapio on vastannut ja johtanut it-toimintoja”, aluesyyttäjä Vainio sanoi.

Ville Tapion puolustus vieritti oikeussalissa vastuuta tietoturvapuutteista Vastaamon kahdelle it-työntekijälle.

”Järjestelmä olisi ollut oikein käytettynä turvallinen”, Tapion asianajaja Liina Kokko sanoi asiaesittelyssään.

Tapion puolustuksen mukaan oli näiden työntekijöiden virheen syytä, että tietoliikenneportti oli avoinna internetiin vuosina 2017–2019.

It-yöntekijät huomasivat Tapion puolustuksen mukaan tunkeutumisen maaliskuussa 2019, mutta he eivät kertoneet siitä Tapiolle peitelläkseen omia virheitään. Tapio kiistää saaneensa tuolloin työntekijöiltään viestejä tietomurrosta.

Siten hän ei puolustuksen mukaan myöskään pimittänyt tietoja tietomurrosta viranomaisilta.

Puolustuksen mukaan Ville Tapiota ei pitäisi syyttää tietosuojarikoksesta myöskään siksi, että epäilty rikos on jo vanhentunut.

Puolustuksen mukaan väitetty laiminlyönti on tapahtunut viimeistään maaliskuussa 2019, minkä seurauksena syyteoikeus olisi vanhentunut viimeistään kaksi vuotta myöhemmin keväällä 2021. Syyte häntä vastaan nostettiin vasta puolitoista vuotta tuota myöhemmin.

”Vanhentuminen on niin ilmiselvää, ettei syytettä olisi tullut lainkaan ajaa”, asianajaja Kokko sanoi.

Asianajaja Kokko sanoi oikeustalon käytävällä viestimille, että Ville Tapio on pahoillaan Vastaamon tapahtumista ja pyytää kaikilta asiakkailta anteeksi.

Myös Tapio itse oli paikalla oikeussalissa, mutta hän kieltäytyi vastaamasta viestinten kysymyksiin.

Käräjäoikeus on varannut asian käsittelyyn 13 istuntopäivää. Ville Tapiota on määrä kuulla oikeussalissa ensi viikon perjantaina.

Viimeinen käsittelypäivä on maaliskuun lopussa.

Tietosuojarikoksesta voidaan tuomita sakkoja tai enintään vuosi vankeutta.

Esitutkinnassa oli epäiltynä Ville Tapion lisäksi myös kaksi Vastaamon it-osaston työntekijää. Syyttäjät päättivät kuitenkin nostaa syytteen vain Tapiota vastaan.

Ylityöllistetty it-osasto oli viestittänyt johdolle tietoturvapuutteista ja erilaisista hankintatarpeista, mutta mitään ei tapahtunut.

Tämän takia kahta alaista vastaan ei nostettu syytettä. He eivät olleet sellaisessa asemassa, että he olisivat kyenneet noudattamaan yleisen tietosuoja-asetuksen vaatimuksia tietoturvan käytännön järjestämisestä.

Vastaamon tietomurtoa ja sen asiakkaiden kiristystä koskeva esitutkinta on edelleen kesken. Länsi-Uudenmaan käräjäoikeus vangitsi tiistaina aiemmin Julius Kivimäkenä tunnetun Aleksanteri Kivimäen tietomurtotapauksesta epäiltynä.

Kivimäki vangittiin todennäköisin syin epäiltynä muun muassa törkeästä tietomurrosta, törkeästä yksityiselämää loukkaavan tiedon levittämisestä, kiristysrikoksista.

Jos Kivimäen rikosepäilyt johtavat syytteisiin, ne käsitellään aikanaan erillisessä oikeudenkäynnissä.