Vastaamon IT-työn­tekijät välttyivät syytteeltä – tieto­turva retu­perällä: ”Piraatti­versio, ilman ostettua lisenssiä”

Vastaamon tietoturvassa oli useita puutteita, ilmenee julki tulleista asiakirjoista.

Poliisi on selvittänyt Vastaamon toimia.

27.9. 15:35

Psykoterapiakeskus Vastaamon ex-toimitusjohtaja Ville Tapio sai syytteen tietosuojarikoksesta, syyttäjä ilmoitti tiistaina.

Epäilyn mukaan Tapio olisi käsitellyt henkilötietoja niin huolimattomasti, että kymmenien tuhansien asiakkaiden arkaluonteisia tietoja pääsi vuotamaan ulkopuolisille.

Ville Tapio on itse sanonut Vastaamon tietoturvan olevan kunnossa, ja potilastietojen olleen moninkertaisten ohjelmisto- ja laitteistopohjaisten suojauksen takana.

Poliisi epäili myös kahta muuta Vastaamon tietoturvasta -ja suojasta vastannutta it-työntekijää rikoksesta. Heidän mielestään yhtiön turvajärjestelmät olivat riittämättömät. Heidän mukaansa Tapio käski vaieta tietomurrosta. Syyttäjä ei nostanut heitä vastaan syytettä, koska rikosepäilylle ei ollut todennäköisiä syitä.

Tiistaina julkitulleiden asiakirjojen mukaan Vastaamon tietoturva olisi ollut jopa vuosia retuperällä. Erään todistajan mukaan yhtiön tietoturvaohjelmistot ja palomuurit toimivat minimitasolla. Se ei ollut hänen mielestään riittävää, koska yhtiön palvelimilla oli arkaluonteista sisältöä.

Yhden vanhan työntekijän mukaan Vastaamon tietoturvaan ja it-infrastruktuuriin oli panostettu taloudellisesti ja resurssein hyvin vähän, jos edes sitäkään. Ex-työntekijän mukaan Vastaamolla mentaliteetti oli ollut, että ”tehdään sitten, kun on pakko”.

Yhden todistajan mukaan myös it-budjetti oli aivan liian pieni. Hänen mukaansa yhtiöön hankittiin lähinnä ilmaisia työkaluja. It-arkkitehtuurin kannalta kriittinen järjestelmä oli esimerkiksi laiton versio.

– Lähinnä hankittiin ilmaisia työkaluja, muun muassa virtualisointialusta oli piraattiversio, ilman ostettua lisenssiä, todistaja sanoi.

Poliisin esitutkinnan mukaan yhtiössä oli havaittavissa marraskuun 2017 ja syyskuun 2020 välisenä aikana noin 40 tietoturvapoikkeamaa. Poliisin mukaan Tapio ja yhtiön it-osasto olivat poikkeamista pääsääntöisesti tietoisia.

– Erityisesti esille on otettu Vastaamossa käytössä olleet heikot salasanat ja niiden jakaminen salaamattomana, syyttäjän laatimassa asiakirjassa kirjoitetaan.

Vastaamoon kohdistui yhtiön mukaan tietomurto marraskuussa 2018 ja maaliskuussa 2019. Poliisin mukaan Tapio ja yhtiön it-osasto olivat välittömästi tietoisia jälkimmäisestä tietomurrosta. Viranomaiset saivat kuulla potilastietojen vaarantumisesta vasta Vastaamon saaman kiristysviestin jälkeen syyskuussa 2020.

Asiakkaiden tietoja julkaistiin netissä ja heiltä vaadittiin lunnaita tietojen levittämisen uhalla. Poliisi ei ole vielä selvittänyt, kuka tietomurrosta oli vastuussa. Päätutkintalinja viittaa KRP:n mukaan Euroopan ulkopuolelle.

Osion tuoreimmat

Luitko jo nämä?