Valvira teki tarkastusiskun Vastaamoon - Tietoturva - Ilta-Sanomat

Valvira teki tarkastusiskun Vastaamoon

Valvira selvitti tarkastuksessaan tarkastuksessa Vastaamon tekemiä korjauksia järjestelmiinsä.

Valvira tutki Vastaamon tietoturvaa Helsingin-toimipisteessä.­

18.11. 10:38 | Päivitetty 18.11. 10:58

Valvontaviranomainen Valvira on tehnyt tarkastuskäynnin Psykoterapiakeskus Vastaamo Oy:n Helsingin-toimipisteeseen. Tarkastuksen kohteena oli potilasturvallisuuden varmistaminen ja potilastietojärjestelmän valvonta. Tarkastukseen osallistui myös Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija.

Valvira ei havainnut potilastietojärjestelmän käytön rajoittamista tai Vastaamon tuottamiin palveluihin välitöntä puuttumista edellyttäviä puutteita. Valviran mukaan Vastaamo on tunnistanut tietomurron syyt ja parantanut tietoturvansa tasoa.

Vastaamon kohdistui kaksi tietomurtoa, joista ensimmäinen marraskuussa 2018 ja toinen maaliskuussa 2019.Tietomurron on epäilty olleen mahdollinen järjestelmän heikon suojauksen vuoksi.

Murron selvittelyyn osallistuivat keskusrikospoliisin lisäksi Vastaamon toimeksiantamana tietoturvayhtiö Nixu.

Selvitysten yksityiskohdista ei ole kerrottu tietoja julkisuuteen. Kiristäjä itse on esittänyt väitteitä, jonka mukaan järjestelmä olisi ollut näkyvissä verkkoon ja suojattu oletussalasanalla. Jälkimmäistä näkemystä on myös kyseenalaistettu.

Vastaamon tietojärjestelmä on kuulunut niin sanottuun B-ryhmään, eli sen valvonta on perustunut itseilmoitukseen.

Tietomurron selvittelyä tehnyt Nixu kritisoi viime viikolla Suomen potilasjärjestelmien turvallisuutta. Yhtiön kritiikki kohdistui ensisijaisesti paremmin suojattuihin A-ryhmän järjestelmiin, joiden käytön valvonta on sen mukaan käytännössä itseilmoituksiin perustuvaa.

Tutkintalinjoja Vastaamo-murrossa on useita, ja tutkittavan datan määrä on valtava. Tällä hetkellä viranomaiset pyrkivät muun muassa selvittämään kiristäjän henkilöllisyyttä tutkimalla tämän mitä ilmeisimmin vahingossa jakaman tiedostopaketin sisältöä.

KRP selvittää osana tutkintaansa myös, onko Valviran johtoa tai henkilökuntaa syytä epäillä rikoksista.

Valviran mukaan valvontaprosessi on kesken, eikä siitä ei voida kertoa tässä vaiheessa enempää.

Osion tuoreimmat

Luitko jo nämä?