Kommentti: Tietomurrossa psykoterapia­keskukseen on kolme isoa kysymystä – jokainen on todella ruma - Tietoturva - Ilta-Sanomat

Kommentti: Tietomurrossa psykoterapia­keskukseen on kolme isoa kysymystä – jokainen on todella ruma

Niin kiristäjän, uhriksi joutuneen Vastaamon kuin poliisin toiminnassa on avoimia kysymyksiä. Kärsijöitä ovat ennen kaikkea haavoittuvaisessa asemassa olevat terapia-asiakkaat, kirjoittaa Ilta-Sanomien digitoimittaja Henrik Kärkkäinen.

Psykoterapiakeskus Vastaamon tietomurrossa on monta avointa kysymystä. Kaikkein vaikein tilanne on terapia-asiakkaille.­

21.10. 21:19

Tänään tuli ilmi, että Psykoterapiakeskus Vastaamoon on tehty tietomurto, jossa on viety mitä todennäköisimmin kymmenien tuhansien ihmisten hyvin sensitiiviset psykoterapiaistuntotiedot sekä henkilötiedot osoitteineen ja henkilötietoineen.

Tuntematon kiristäjä vaati tietojen julkaisematta jättämisestä noin 450 000 euron lunnaita. Kun niitä ei kuulunut, tämä uhkaa alkavansa julkaista asiakastietoja 100 päivässä.

Vyyhti on ruma. Ja siihen liittyy myös kolme rumaa kysymystä.

Ensimmäinen on: kuka tekee tällaista?

Kiristystä on tehty kautta aikain. Harvoin tietoverkkokiristys kuitenkaan johtaa kuolemiin. Nyt se on mahdollista. Julkaistuissa tiedoissa on äärimmäisen sensitiivistä tietoa ihmisistä, jotka ovat erittäin herkässä tilassa ja kertoneet asioita, jotka eivät muulle maailmalle kuulu.

Julkaistujen tietojen joukossa on myös alaikäisten terapiakertomuksia. Uhreina on siis lapsia.

Vuotaneet tiedot saattavat tulla vastaan mitä moninaisimmilla tavoilla ja viiveellä. Niitä voidaan käyttää petosten tekemiseen tai pahimmissa tapauksissa uusiin kiristyksiin. Mahdollisesti vuosien viiveellä. Olisikin syytä miettiä, pitäisikö henkilötunnuksen muuttamista helpottaa.

Kun Ashley Madison -pettämispalvelu murrettiin ja sen käyttäjien tiedot vuosivat vuonna 2015, alkoi uhreille tulla yhteydenottoja satunnaisilta kiristäjiltä, jotka tarttuivat tilaisuuteen. Niin voi käydä myös nyt.

IS on ollut yhteydessä kiristäjäksi esittäytyneeseen henkilöön, ja tämän tausta murron tehneessä organisaatiossa on varmistettu teknisesti.

Murtautuja väittää ryhmän iskeneen neljään muuhunkin organisaatioon, jotka ovat maksaneet lunnaat. Tämä sanoo, että Vastaamon tietojen julkaisemista mietittiin pitkään ja deadlinea lykättiin.

Mikään muista tietomurron kohteeksi joutuneista organisaatioista ei ole tietävästi Suomessa.

Kiristäjän mukaan ryhmä ei tietoisesti julkaissut alaikäisten tietoja, vaan poimi ensimmäiset 100 nimeä sattumanvaraisesti. Silti tekoa ei voi puolustella millään. Murtautujan toimista seuraa paitsi valtavasti kärsimystä, myös mahdollisesti uusien rikosten sarja.

Toinen kysymys on: oliko Vastaamon tietoturva riittävä?

Uhria ei saa eikä tule syyllistää, mutta kiristäjä on esittänyt IS:n kanssa käydyssä viestinvaihdossa erittäin häiritseviä väitteitä Vastaamon tietokannan tietoturvasta.

IS ei julkaise väitteitä. Asia selviää poliisin tutkimuksissa.

Potilastietoihin liittyy kuitenkin suuri vastuu. Apulaistietosuojavaltuutettu Jari Råman kommentoi tänään STT:lle yleisellä tasolla, että erityisesti terveydentilaa koskevia tietoja on suojattava huolellisemmin kuin monia muita tietotyyppejä.

Jos luottamuksellisia tietoja vuotaa julki, myös tietojen säilyttäjä saattaa joutua vastuuseen. STT:n mukaan tiedossa on tapauksia, joissa tuomioistuin on määrännyt rekisterinpitäjän maksamaan korvauksia henkilötietojen epäasianmukaisesta käsittelystä.

Murtomies on aina syyllinen. Mutta vastuuta voi olla myös sillä, joka jättää oven auki.

Kolmas kysymys kuuluu: miksi terapia-asiakkaille ei kerrottu murrosta heti?

EU:n gdpr tietosuoja-asetuksen artikla 34 määrää kertomaan rekisteröidyille henkilötietojen tietoturvaloukkauksista ilman aiheetonta viivytystä.

Vastaamon hallituksen puheenjohtaja Tuomas Kahri kertoi yhtiön saaneen yhteydenoton kiristäjiltä syyskuun lopussa. Vastaamo julkaisi asiasta tiedotteen heti Ilta-Sanomien soitettua Kahrille tänä aamuna. Tämän jälkeen asiakkaille myös lähetettiin sähköpostia. IS:ään on ollut yhteydessä Vastaamon asiakas, joka sai tiedon tietojen vuotamisesta Ilta-Sanomista.

Kahri sanoi IS:lle, ettei Vastaamo tiedottanut asiasta aiemmin poliisin ohjeistamana.

Gdpr:n vaatimukseen on poikkeus. Sen resitaali 86 sanoo, että tarve toteuttaa toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien henkilötietojen tietoturvaloukkausten estämiseksi voivat olla perusteena pidemmälle ilmoitusajalle. Eli toisin sanoen tiedottamatta jättämiselle.

Tietosuojavaltuutettu tutkinee aikanaan, onko asiassa edetty lainmukaisesti.

Osion tuoreimmat

Luitko jo nämä?