Ville Tapio: Vastaamon kiristys alkoi jo keväällä 2019, kun potilasrekisteri varastettiin, tuhottiin palvelimelta ja korvattiin kiristysviestillä - Tietoturva - Ilta-Sanomat

Ville Tapio: Vastaamon kiristys alkoi jo keväällä 2019, kun potilasrekisteri varastettiin, tuhottiin palvelimelta ja korvattiin kiristysviestillä

Vastaamon entisen toimitusjohtajan mukaan kiristys alkoi keväällä 2019 palvelimelle jätetyllä kiristysviestillä. Ville Tapio sanoo olleensa tietämätön kiristyksestä ja tietomurroista.

Ville Tapion mukaan kaksi Vastaamon henkilökuntaan kuulunutta työntekijää salasi tietomurron häneltä.­

21.1. 18:47

Tänään julki tulleet oikeuden asiakirjat sisältävät Psykoteriapiakeskus Vastaamon entisen toimitusjohtajan Ville Tapion selostuksen siitä, miten tietomurto eteni. Asiat ovat osa Tapion jättämästä lausunnosta liittyen vastaan jätettyyn turvaamistoimihakemukseen sekä vaatimukseen purkaa Vastaamo-yrityskauppa.

Tapion lausunnon perusteella Vastaamon palvelimelle kohdistui kaksi tunkeutumista, joista ensimmäinen 20.12.2018 ja toinen 15.3.2019. Tapio sanoo tulleensa asiasta tietoiseksi tietoturvayhtiö Nixun tekemien selvitysten myötä, joiden alustavat löydökset esiteltiin tilannekatsauksessa 6.10.2020 ja loppuraportti valmistui 26.10.2020.

Tietomurto tuli julkisuuteen 21.10.2020.

Tapion mukaan Nixun teknisessä tutkinnassa käytetyn, suojaamattomia järjestelmiä etsivän Shodan-hakukoneen tulosten perusteella potilastietokannan sisältänyt palvelin on ollut auki internetiin ilman palomuurisuojausta marraskuusta 2017 maaliskuuhun 2019. Todennäköisin syy tietokantavuodolle on ollut suojaamaton MySQL-portti.

– Nixun raportin löydökset ovat yhdistettävissä NN:n [nimi poistettu] palvelimelle marraskuussa 2017 tekemiin muutoksiin, jotka ovat todennäköinen syy palomuurisuojauksen puuttumiselle. NN on tuolloin tehnyt palvelimen palomuurin määrittelyjä, kun hän on avannut palvelimelle etäkäyttöyhteyden ylläpitoa tai kehitystoimia varten tietokantaan on kirjauduttu luvatta ainakin kahdesti, 20.12.2018 sekä 15.3.2019. Nixun tutkimuksen perusteella tällöin ulkopuolinen taho on luvattomasti kirjautunut tietokantaan, tuhonnut sen ja jättänyt tuotantotietokannan tilalle kiristysviestin, Tapion vastauksessa lukee.

Vyyhti alkoi purkautua, kun Vastaamon järjestelmät kaatuivat aamulla 15.3.2019, kun potilastietokanta huomattiin kadonneeksi ja kiristysviesti löytyi.

– Nixun raportin perusteella vaikuttaa siten todennäköiseltä, että MM ja/tai NN on huomannut kiristysviestin 15.3.2019, Tapion vastauksessa jatketaan.

NN ja MM ovat kaksi Vastaamon it-hallintoon kuulunutta henkilöä. Nämä olivat Tapion mukaan murrosta tietoisia, mutta eivät kertoneet siitä toimitusjohtajalle.

Tapio sanoo toimittaneensa Vastaamon tietosuojatoimikunnan käsittelyn pohjalta Valviralle alustavan ilmoituksen vaaratilanteesta 24.3.2019 asian todellista laitaa tietämättä, eikä Valviralla ollut asiasta huomautettavaa.

Myöhemmin MM ja NN sanoivat kertoneensa Tapiolle 15.3.2019 jätetystä kiristysviestistä, mikä Tapio kiistää.

Tapion vastauksessa ei ole mainintaa tietokannan kryptaamisesta eli salakirjoittamisesta, mikä olisi estänyt murtautujaa hyödyntämästä sitä.

Tapion vastauksen mukaan Vastaamon tietojärjestelmä oli Kantaan kytkemäton B-luokan järjestelmä, koska Terveyden ja hyvinvoinnin laitos THL luopui hankkeesta julkaista määrittelyt, joilla psykoterapiapalveluiden järjestelmät olisi liitetty osaksi Kantaa.

Kiristäjä lähestyi Ville Tapiota sekä it-hallintoon kuuluneita NN:ää sekä MM:ää sähköpostitse kiristysviestillä 28.9.

IS Digitoday oli sähköpostikirjeenvaihdossa kiristäjän kanssa lokakuussa 2020. Tämä väitti havainneensa varastamansa aineiston sisällön vasta tuolloin eikä viitannut aikaisempaan, maaliskuussa 2019 jätettyyn kiristysviestiin.

Kiristäjän esittämä väite murron ajankohdasta asettuu marraskuun 2018 loppuun, eikä täsmää nyt julki tulleen ensimmäisen murron ajankohdan kanssa. Kiristäjä ei tosin ole luotettava taho. On kuitenkin todennäköistä, että syksyllä 2020 tapahtunut kiristysyritys tehtiin ensimmäisen murron aineistolla, sillä tietokannassa ei ole potilasmerkintöjä vuodelta 2019.

Kokonaan uutta tietoa on se, että koko tietokanta varastettiin maaliskuussa 2019 ja tuhottiin sen jälkeen palvelimelta. Tämä valossa on mahdollista, että tietokantavarkauksia on ollut kaksi. Kun Vastaamon tietokanta on ollut auki internetiin, sen on voinut havaita ja varastaa useampikin murtautuja.

On myös outoa, että kiristys alkoi jo keväällä 2019, mutta uhkaus eli potilaiden nimen julkistaminen alkoi vasta lokakuussa 2020.

Tähän on ainakin kaksi selitystä. Kevään 2019 ja syksyn 2020 kiristysten takana saattavat olla eri tahot. Kyseessä voivat olla joko kaksi eri ajankohtana iskenyttä murtautujaa tai sitten kiristäjä on taho, joka on ostanut varastetun tietokannan murtautujalta.

Osion tuoreimmat

Luitko jo nämä?