Psykoterapiakeskus Vastaamon tietomurtoihin liittyvää tietoturvavastuuta koskeva oikeudenkäynti alkoi torstaina Helsingin käräjäoikeudessa. Syyttäjät vaativat Vastaamon entiselle toimitusjohtajalle Ville Tapiolle vankeusrangaistusta tietosuojarikoksesta.
Rikosepäily koskee henkilötietojen käsittelyä ja tietoturvaa liittyen siihen, että Vastaamosta pääsi vuotamaan ulkopuolisille kymmenien tuhansien asiakkaiden arkaluonteisia tietoja.
Syyttäjien mukaan Tapio jätti ilmoittamatta tietosuojavaltuutetun toimistolle aiemmasta tietomurrosta ja ei huolehtinut riittävästi siitä, että tietoturva-asiat olivat kunnossa. Hän toimi syyttäjien mukaan joko tahallisesti tai törkeän huolimattomasti.
Tapio kiistää syytteen tietosuojarikoksesta.
VASTAAMOON oli kohdistunut vuosien saatossa useampia tietomurtoja ja tietoturvapoikkeamia. Syyttäjien mukaan Ville Tapio olisi tiennyt niistä mutta jättänyt toimimatta riittävällä tavalla.
Potilastietojen tulisi olla tietokannassa, jotka on suljettu ulkopuolisilta yhteyksiltä. Vastaamon tietoliikenneportti oli kuitenkin ollut avoinna nettiin 26. marraskuuta 2017 ja 13. maaliskuuta 2019 välisen ajan.
Torstaina julkiseksi tulleessa keskusrikospoliisin esitutkintamateriaalissa todetaan, että suhteessa hallinnoitujen tietojen arkaluonteisuuteen Vastaamon tietoturva ei vaikuttanut olleen vaaditulla tasolla.
”Käytännössä kaikki suojaamiseen tarvittavat keinot (kuten palomuuri, VPN, salasanat, tietokannan salaaminen, pseudonymisointi, tietoturvatestaus sekä lokitus ja dokumentointi) ovat olleet puutteellisia tai puuttuneet kokonaan”, kuvaillaan esitutkintapöytäkirjan tiivistelmässä.
Krp toteaa esitutkinnassa, että Vastaamolla oli esimerkiksi ollut käytössä heikkoja salasanoja. Potilastietokannan käyttäjätunnuksen salasana oli vain seitsemän merkkiä pitkä, eikä sisältänyt isoja kirjaimia tai erikoismerkkejä. Potilastietokannan sama käyttäjätunnus ja salasana olivat olleet käytössä vuodesta 2012 saakka.
Käyttäjätunnusta ja salasanaa oli myös jaettu suojaamattomana. Salasana oli ainakin jossain vaiheessa ollut käytössä lisäksi hälytysjärjestelmässä ja koodisanana vartiointiliikkeellä.
Kuulusteluissa poliisi kysyi it-osaston työntekijältä, mietittiinkö tietoturvaa Vastaamossa ennaltaehkäisyn näkökulmasta.
”Se oli aika reaktiivista. Virustorjunnalla sitä olisi pystytty esimerkiksi ehkäisemään, sitä ei kuitenkaan ollut.”
Poliisi: ”Toitteko näitä huolia johdon tietoon?”
”Ville Tapiolle näistä ongelmista on aina ilmoitettu. Esimerkiksi VPN-asia, Wifi:n verkkosalasanat, antivirusasia. Monitoimilaitteiden turvatulostusta ei toteutettu, koska se maksaa. Osa asioista on torpattu, koska ne on maksaneet, tai sitten hän ei ole vastannut”, työntekijä vastasi.
Esitutkinnan mukaan Tapio ei esimerkiksi olisi antanut asentaa pyydettyä tietoturvaohjelmistoa, vaikka kaksi it-työntekijää perusteli hankintaa sillä, että tuolloin käytössä olleen suojan läpi joku oli jo päässyt.
Jo 15. maaliskuuta 2019 oli tapahtunut tietomurto ja kiristys, joiden osalta viranomaisille ei tehty asianmukaisia ilmoituksia. Lokakuussa 2020 tehdyn tietoturvayhtiön tutkinnan mukaan ulkopuolinen taho oli luvattomasti kirjautunut potilastietokantaan, tuhonnut sen ja jättänyt tietokannan tilalle kiristysviestin.
15. maaliskuuta 2019 havaittiin, että potilastietojärjestelmään ei saatu yhteyttä. Asiaa pidettiin ensin tavanomaisena käyttökatkona, kunnes selvisi, että tietoja oli kadonnut. Tiedot saatiin palautettua varmuuskopioista, osa kuitenkin vasta myöhemmin.
Esitutkinnan mukaan Valviralle tehtiin vasta 12. huhtikuuta 2019 poikkeamailmoitus huollon aiheuttamasta katkoksesta potilastietojärjestelmässä. Ilmoituksessa ei kuitenkaan mainittu mitään potilastietojen mahdollisesta vaarantumisesta.
Tietoturvayhtiön tutkimuksen mukaan selkeitä todisteita siitä, että tietokanta olisi tämän yhteydessä varastettu, ei ollut saatavilla, mutta mahdollisuus tähän oli ollut olemassa.
Asiakastietojen vuotaminen poissuljettiin jo alustavassa vaarailmoituksessa, vaikka ilmoituksen tekovaiheessa ei ollut tietoa siitä, mihin potilastiedot olivat hävinneet ja mistä tietojen häviäminen johtui, esitutkinnassa mainitaan.
Tapio kiisti esitutkinnassa tienneensä maaliskuun 2019 tietomurrosta ja kiristyksestä. Hänen mukaansa hänelle oli annettu tapahtuneesta kuva, että palvelin oli kaatunut teknisen tietokantavirheen takia. Syyttäjien mukaan hän olisi tullut jo tällöin tietoiseksi tietoturvaongelmista.
Potilastietojen vaarantuminen tuli viranomaisten tietoon vasta 28. syyskuuta 2020 Vastaamoon kohdistuneen kiristyksen jälkeen. Syksyllä 2020 tietomurto tuli myös julkisuuteen.
Syyttäjien mukaan kiristäjän epäillään saaneen potilastiedot haltuunsa kuitenkin jo aiemmassa tietomurrossa, joka oli tehty marraskuussa 2018. Tuolloista tietomurtoa Vastaamo ei huomannut itse lainkaan.
Tapio kertoi poliisikuulustelussa kuulleensa tietokannan vuotamisesta ensimmäisen kerran vasta 28.9.2020. Tuolloin hän oli saanut sähköpostiinsa viestin, jossa oli pieni otos tietokannasta. It-työntekijä vahvisti, että kyse oli Vastaamon tietokannasta.
Tapion mukaan tietoturvasta huolehdittiin Vastaamossa muun muassa omavalvontasuunnitelman, tietosuojatoimikunnan ja ulkopuolisten asiantuntijoiden avulla.
”Teknisesti tietoturva oli kunnossa”, Tapio sanoi kuulustelussa helmikuussa 2021.
Tapion puolustus vieritti torstaina oikeussalissa vastuuta tietoturvaongelmista Vastaamon kahdelle it-työntekijälle.
”Järjestelmä olisi ollut oikein käytettynä turvallinen”, Tapion asianajaja Liina Kokko sanoi.
Tapion puolustuksen mukaan olisi ollut työntekijöiden virheen syytä, että tietoliikenneportti oli avoinna nettiin vuosina 2017–2019.
Esitutkinnassa oli epäiltynä Ville Tapion lisäksi myös kaksi Vastaamon it-osaston työntekijää. Syyttäjät päättivät kuitenkin nostaa syytteen vain Tapiota vastaan. Ylityöllistetty it-osasto oli viestittänyt johdolle tietoturvapuutteista ja erilaisista hankintatarpeista, mutta mitään ei ollut tapahtunut.
Poliisi toteaa esitutkinnassa, että tietoturvaa paranneltiin yrityksessä jonkin verran vuosien varrella, mutta tästä huolimatta lokakuussa 2020 tehdyssä teknisessä selvityksessä Vastaamon tietoturvassa havaittiin useita puutteita.
Vastaamoon kohdistunutta tietomurtorikosta ja asiakkaiden kiristystä koskeva esitutkinta on krp:llä vielä kesken. Länsi-Uudenmaan käräjäoikeus vangitsi tiistaina aiemmin Julius Kivimäkenä tunnetun Aleksanteri Kivimäen tietomurtotapauksessa epäiltynä. Hän on kiistänyt syyllistyneensä rikokseen.
