Vastaamon ex-toimitusjohtaja Ville Tapio sanoo, että tietomurto pimitettiin häneltä - Tietoturva - Ilta-Sanomat

Vastaamon ex-pomo väittää, että murto pimitettiin häneltä – yksi suuri kysymys auki

Wired-lehdelle puhunut Vastaamon entinen toimitusjohtaja Ville Tapio sanoo, että murrot huomattiin todennäköisesti jo keväällä 2019, mutta hänelle ei kerrottu asiasta.

Wiredille puhuneen Vastaamon ex-toimitusjohtaja Ville Tapion mukaan hänelle ei kerrottu tietomurroista, kun ne huomattiin. Hän ei ole kuitenkaan kommentoinut sitä, oliko hän murroista tietoinen Vastaamon myymisen hetkellä.

11.12.2020 10:24

Psykoterapiakeskus Vastaamon irtisanottu toimitusjohtaja Ville Tapio on kommentoinut tietomurtoa amerikkalaiselle Wired-lehdelle. Hän kiistää osan julkisuudessa esitetyistä väitteistä liittyen Vastaamon tietoturvaan.

Niiden mukaan Vastaamon potilastietokannan sisältöä olisi ollut näkyvissä jopa Google-haun kautta. Kiristäjä itse on aiemmin väittänyt Ylilauta- ja Torilauta-keskustelufoorumeilla tunkeutuneensa järjestelmään pääkäyttäjän oletussalasanalla. Ilta-Sanomille kiristäjä on väittänyt murron tapahtuneen sattumalta ohjelmistorobotilla, joka ”koputtelee” internetiin näkyvien tietokantojen ovia ja yrittää tunkeutua niihin automaattisesti.

Vahvan IT-taustan omaava Tapio myöntää tietokannan olleen näkyvissä internetiin. Hän kuitenkin kiistää oletussalasanojen käyttämisen sekä julkisuudessa esitettyjä väitteitä, joiden mukaan hän olisi henkilökohtaisesti ollut vastuussa Vastaamon järjestelmän turvallisuudesta.

– Pitäisi olla aika selvää, että se ei ole 300 hengen yrityksen toimitusjohtajan tehtävä, Tapio sanoo Wiredille.

Vastaamoon kohdistui kaksi tietomurtoa, marraskuussa 2018 ja maaliskuussa 2019. Ei ole tiedossa, onko tekijä sama tai onko murron takana sama taho, joka alkoi kiristää Vastaamoa vuonna 2020. Nykytiedon valossa potilastietokanta varastettiin syksyn 2018 murrossa.

Tapion mukaan järjestelmien suojaus oli kunnossa ennen vuotta 2017, jolloin niihin tehtiin muutoksia etähallintatyökalujen käyttöönottoa varten. Hän väittää myös, että molemmat tietomurrot todennäköisesti huomattiin maaliskuun 2019 murron jälkeen ja turvallisuutta parannettiin, mutta hänelle ei kerrottu asiasta.

Lokakuun lopussa Ville Tapio kommentoi julkisessa Facebook-päivityksessään tulleensa tietoiseksi ensimmäisestä tietomurrosta vasta kiristystä seuranneiden tietoturvayhtiö Nixun selvitysten jälkeen tänä syksynä:

Tapio ei ole missään vaiheessa kommentoinut julkisesti, missä vaiheessa hän sai tietää toisesta murrosta.

Vastaamo myytiin kesällä 2019 Intera Partnersille. Uusi omistaja on syyttänyt Ville Tapiota tietomurron pimittämisestä, sillä se olisi vaikuttanut miljoonien arvoiseen yrityskauppaan. Ville Tapio oli Vastaamon suurin osakkeenomistaja.

Tapio kutsuu Wiredille murtoa ”tragediaksi, jota ei olisi saanut tapahtua”. Hän sanoo olevansa pahoillaan muiden osakkeenomistajien puolesta ja sanoo kantavansa vastuun toimitusjohtajana, mutta joutuneensa syytetyksi osittain väärin perustein.

Nykytiedon valossa aineistossa on 36 000 – 37  000 asiakkaan tiedot.

Keskusrikospoliisi ilmoitti eilen tekevänsä esitutkintaa siitä, onko Vastaamon työntekijöitä syyllistynyt tietosuojarikokseen. Epäiltyjä on ”muutama”. Tutkinnanjohtaja, rikoskomisario Marko Leponen sanoi Wiredille asian etenevän oikeuteen ensi vuonna.

Leponen kertoi aikaisemmin tällä viikolla Ilta-Sanomille Vastaamo-tapauksen päätutkintalinjojen olevan itse tietomurron ja kiristäjän yhteys sekä Vastaamon kiristäjän ja yksittäisten uhrien kiristäjän yhteys.

Tapio sanoi lokakuussa tekemässään, mutta sittemmin poistetussa Facebook-päivityksessä myös, että hänellä oli kielto kommentoida asioita julkisesti irtisanomistaan edeltävänä aikana. Tätä Facebook-päivitystä ja Wiredille antamaansa kommenttia lukuun ottamatta hän ei ole kuitenkaan kommentoinut asiaa julkisesti.

Osion tuoreimmat

Luitko jo nämä?