PSYKOTERAPIAKESKUS Vastaamon tietomurtoihin liittyvää tietoturvavastuuta koskeva käräjäkäsittely jatkui perjantaina Helsingin käräjäoikeudessa.
Oikeudessa kuultiin puolustuksen johdolla Vastaamon entistä toimitusjohtajaa Ville Tapiota, jolle syyttäjät vaativat vankeusrangaistusta tietosuojarikoksesta ajoittuen maaliskuun 2019 ja lokakuun 2020 välille.
Rikossyytteessä on kyse asiakkaiden henkilötietojen käsittelystä ja tietoturvasta liittyen siihen, että kymmenien tuhansien Vastaamon asiakkaiden arkaluonteiset tiedot vuotivat ulkopuolisiin käsiin.
Tapio kertoi oikeudessa saaneensa tietää Vastaamoon kohdistuneesta tietomurrosta ja kiristyksestä syykuussa 2020.
”Minulle tuli sähköposti. Se oli kahden aikaan päivällä tullut ja huomasin sen alkuillasta. Siinä oli liitteenä tekstitiedosto, jossa oli väitettyjä potilastietoja.”
Tapio sanoi soittaneensa kahdelle yrityksen it-työntekijälle, jotka kävivät tiedostoa läpi tahollaan samanaikaisesti.
”Vahvistui, että tiedot ovat meidän tietokannasta.”
Seuraavana päivänä keskusrikospoliisi, kyberturvallisuuskeskus ja tietoteknistä selvitystä tekemään pyydetty tietoturvayhtiö kokoontuivat yhteen asian vuoksi.
Potilastietojen tulisi olla tietokannassa, jotka on suljettu ulkopuolisilta yhteyksiltä. Vastaamon tietoliikenneportti oli kuitenkin avoinna verkkoon 26. marraskuuta 2017 ja 13. maaliskuuta 2019 välisen ajan.
Tapion mukaan oli it-työntekijöiden tietoteknisessä toimenpiteessä tapahtuneen virheen syytä, että tietoliikenneportti oli avoinna verkkoon vuosina 2017–2019.
”On tehty käsittämättömiä teknisiä toimenpiteitä. Todennäköisesti se on ollut vahinko, jolle on todella vaikea keksiä mitään järkevää selitystä”, Tapio sanoi oikeudessa.
Tapio esitti oikeudessa saaneensa tietää tietoturva-aukosta vasta tietoturvayhtiön tekemästä raportista syksyllä 2020.
15. maaliskuuta 2019 tapahtui tietomurto ja kiristys, joiden osalta viranomaisille ei tehty asianmukaisia ilmoituksia. Ulkopuolinen taho oli kirjautunut potilastietokantaan, tuhonnut sen ja jättänyt tilalle kiristysviestin.
Syyttäjien mukaan Tapio tiesi tietomurrosta mutta jätti toimimatta riittävällä tavalla. Tähän viittaavat myös it-työntekijöiden Tapiolle lähettämät Skype-viestit.
Tapion mukaan it-työntekijät olisivat huomanneet tunkeutumisen maaliskuussa 2019, mutta jättäneet kertomatta siitä hänelle peitelläkseen omia virheitään.
Tapio kiisti itse tienneensä maaliskuun 2019 tietomurrosta ja kiristyksestä sekä saaneensa työntekijöiltään murrosta viestejä. Hän kyseenalaisti oikeudessa myös viestien aitouden.
Tapion mukaan tapahtunut näytti hänen silmäänsä aluksi jopa sisäiseltä sabotaasilta.
Poliisin esitutkinnassa epäiltynä oli Tapion lisäksi myös kaksi Vastaamon it-osaston työntekijää. Syyttäjät nostivat kuitenkin syytteen vain Tapiota vastaan ja vapauttivat työntekijät rikosepäilyistä.
Ylityöllistetty it-osasto oli kertomansa mukaan viestittänyt johdolle tietoturvapuutteista ja erilaisista hankintatarpeista, mutta mitään ei ollut tapahtunut.
Työntekijä kertoi kuulustelussa, että tietoturvaan liittyvistä ongelmista oli aina ilmoitettu Ville Tapiolle. Työntekijän mukaan osa suojauksen parannusehdotuksista oli esimerkiksi torpattu, koska ne olisivat maksaneet.
Työntekijöitä on määrä kuulla myöhemmässä istunnossa.
Potilastietojen vaarantuminen tuli viranomaisten tietoon vasta 28. syyskuuta 2020 Vastaamoon kohdistuneen kiristyksen jälkeen. Samana syksynä tietomurto tuli myös julkisuuteen.
Tapio kuvaili oikeudessa tapahtumia kaiken kaikkiaan raskaiksi, sillä ne olivat vaikuttaneet hänen henkilökohtaiseen elämäänsä ja talouteensa.
Hän kertoi, että tapauksen noustua julkisuuteen hänelle on tullut jopa tappouhkauksia.
”Ammatillisesti on seurannut umpikuja. Julkisuuden kautta on tullut sosiaalinen paine, joka on konkretisoitunut tappouhkauksiksi”, Tapio vastasi asianajajansa kysymykseen siitä, miten tapahtunut on häneen vaikuttanut.
Tapion asianajaja kysyi Tapiolta oikeudessa muun muassa hänen omasta roolistaan Vastaamon sähköisen potilasjärjestelmän kehittämisessä.
Tapio kiisti koodanneensa Vastaamon potilastietojärjestelmän, kuten julkisuudessa on esitetty.
”Ei pidä paikkaansa”, hän vastasi asianajajansa kysymykseen siitä, koodasiko hän Vastaamon käyttämän järjestelmän itse.
Vastaamo käytti ensin ulkopuolisia it-palveluja järjestelmänsä kehitystyöhön. Vuonna 2015 Vastaamo palkkasi it-asiantuntijoita, joiden avulla sähköistä potilasjärjestelmää oli tarkoitus kehittää ja viedä Kanta-palveluun. Tapion mukaan selvisi kuitenkin, ettei tuolloin vielä ollut THL:n määritelmää sille, miten terapiakirjaukset tuli Kantaan tehdä.
Vastaamolla oli niin sanottu B-luokan järjestelmä, eli sitä ei ollut liitetty Kanta-palveluun. Suoraan Kanta-palveluun liitetyt järjestelmät ovat A-luokassa, ja muut luokassa B. A-luokan järjestelmille esimerkiksi vaatimukset ovat paljon täsmällisempiä. B-luokan järjestelmillä lisäksi valvonta on vähäisempää.
Tapion mukaan kyseessä ei ollut Kantaan liittymisen välttely, ja Kantaan liittymättömyyden taustalla olisi hänen mukaansa ollut päin vastoin tietosuojahuoli.
”Ne kirjaukset, jotka laitetaan Kantaan, näkyvät työterveyslääkäreille ja ties kenelle.”
”Terapiakirjausten osalta päätettiin odottaa sen aikaa, että (THL:n) määritykset varmistuvat.”
Tapio kuvaili Vastaamon käyttämiä ohjelmistokehittäjiä koulutuksensa puolesta hyvin päteviksi. Vuonna 2015 palkatut it-työntekijät tekivät hänen mukaansa työtään itsenäisesti ja itseorganisoidusti ja jakoivat omat vastuunsa keskenään.
”Minun kanssani puhuttiin sen tyyppisistä asioista, että miltä järjestelmän pitää käyttäjälle päin näyttää.”
It-työntekijöiden sopimukseen tehtäväksi kirjattiin potilastietojärjestelmän kehittäminen ja sertifiointi. He olivat Tapion mukaan teknologiaihmisinä ”erittäin kovia”. Hänen mukaansa heillä oli kuitenkin ”sivuhösäämisprojekteja ja tekniikkaan liittyviä harrastuksia”, jotka osittain olisivat vieneet huomiota Vastaamon asioista.
Hän ei kertomansa mukaan tiennyt, että työntekijöillä olisi ollut liikaa töitä.
”Työsopimukseen oli kirjattu korkeintaan 40 tuntia viikossa ilman erityistä lupaa. Missään vaiheessa en ole rajoittanut (työntekoa).”
”Toivoin koko ajan, että he tekisivät enemmän. He eivät olleet ihan satasella mukana,” Tapio esitti.
Tapio sanoi antaneensa järjestelmälle määritelmäksi A-luokan vaatimukset ja kiisti antaneensa budjettirajoitetta. Työntekijöitä pyydettiin tekemään myös omavalvontasuunnitelma, jossa esiteltiin tietosuojatoimenpiteitä.
Vastaamoon kohdistui kaksi tietomurtoa, vuonna 2018 ja maaliskuussa 2019. Epäilynä on, että jo vuonna 2018 tehdyssä murrossa vietiin asiakkaiden potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Tuolloista tietomurtoa Vastaamo ei huomannut itse lainkaan.
Syyttäjien mukaan Tapio toimitusjohtajana tiesi tietomurrosta mutta jätti toimimatta riittävällä tavalla, toimien joko tahallisesti tai törkeän huolimattomasti.
Syyttäjien mukaan Tapion toiminnasta ja laiminlyönneistä johtuen Vastaamolla oli myös pidemmän aikaa puutteellinen tietototurva sekä sen organisoinnin että käytännön suojauksien tasolla.
Tapio kiistää syytteen tietosuojarikoksesta. Tapion puolustus vierittää vastuuta tietoturvaongelmista Vastaamon kahdelle tuolloiselle it-työntekijälle ja esittää, että järjestelmä olisi ollut oikein käytettynä turvallinen.
Tapion näkemyksen mukaan hänen toimenkuvaansa ei sisältynyt yhtiön tietoturvajärjestelmien suunnittelua ja ylläpitoa, sillä hän oli palkannut näihin tehtäviin it-työntekijät ja ulkopuolisia asiantuntijoita.
Krp totesi tapauksen esitutkintamateriaalissa, että suhteessa hallinnoitujen tietojen arkaluonteisuuteen Vastaamon tietoturva ei ollut vaaditulla tasolla.
”Käytännössä kaikki suojaamiseen tarvittavat keinot (kuten palomuuri, VPN, salasanat, tietokannan salaaminen, pseudonymisointi, tietoturvatestaus sekä lokitus ja dokumentointi) ovat olleet puutteellisia tai puuttuneet kokonaan”, esitutkintapöytäkirjassa luetellaan.
Tietoturvaa paranneltiin jonkin verran vuosien varrella, mutta tästä huolimatta lokakuussa 2020 tehdyssä selvityksessä tietoturvassa havaittiin useita puutteita.
Itse Vastaamoon kohdistunutta tietomurtorikosta ja asiakkaiden kiristystä koskeva esitutkinta on poliisilla kesken. Länsi-Uudenmaan käräjäoikeus vangitsi helmikuun lopulla Julius Kivimäkenä tunnetun Aleksanteri Kivimäen tietomurrosta epäiltynä. Hän on kiistänyt syyllistyneensä rikokseen.
