Psykoterapiakeskus Vastaamon asiakasrekisterin ylläpitäjän käyttäjätunnuksella ei ollut salasanaa lainkaan, ja rekisterin hallintaan käytetyn vastaamo-käyttäjätunnuksen salasana oli skuja66.
Pääkäyttäjäksi pääsi kirjautumalla palvelimelle toisena käyttäjänä ja sen jälkeen vaihtamalla itsensä pääkäyttäjäksi ilman erillistä salasanakyselyä. Tämä salasanajärjestely oli ollut voimassa Vastaamossa vuodesta 2012 asti.
Pääkäyttäjä pystyy tekemään palvelimella käytännössä rajattomasti asioita. Vastaamoon kohdistuneiden tietomurtojen yhteydessä käyttäjärekisteri muun muassa kopioitiin ja tuhottiin Vastaamon palvelimilta.
Asiat käyvät ilmi tänään julkiseksi tulleesta Keskusrikospoliisin esitutkintapöytäkirjasta, joka liittyy Vastaamon entiseen toimitusjohtaja Ville Tapioon kohdistuvaan tietosuojarikosepäilyyn.
Muihin merkittäviin esitutkintapöytäkirjan osoittamiin puutteisiin kuului se, ettei potilastietokantaa ollut anonymisoitu, eli henkilötiedot oli yhdistettävissä suoraan psykoterapiaistuntojen kirjauksiin.
Vastaamon palvelin mitä ilmeisimmin mahdollisti salatut ja suojatut vpn-nettiyhteydet, mutta niitä ei juurikaan käytetty. Myös palvelimen etäkäyttö oli mahdollista.
Tietoturvajärjestelyissä on muutama muukin yksityiskohta. Ville Tapion puolustus piti verkkoselaimista tuttua ssl-suojausta riittävänä.
Oikeudessa kiistellään myös siitä, ovatko Vastaamon palomuurijärjestelyt eli luvattoman nettiliikenteen estävät tekniikat olleet riittäviä.
Palomuurilaitteiston ylläpitäjäksi siirtynyt it-yritys kertoi huomanneensa vuonna 2020, että palomuurin toimintatapa oli ymmärretty Vastaamolla täysin väärin. Tietoliikenne kulki eri tasolla (L2) ja liikenteen rajoitukset oli tehty toisella tasolla (L3). Tämän seurauksena palomuuri päästi läpi kaiken tietoliikenteen.
Lisäksi Vastaamon palvelimen portti 3306 oli auki internetiin puolentoista vuoden ajan, 26.11.2017–13.3.2019.
Vastaamossa oli myös tavallisuudesta poikkeavia päivityskäytäntöjä, sillä päivityksiä tehtiin suoraan tuotannossa olevaan järjestelmään testiversioiden sijaan.
Syyttäjä vaatii Vastaamon ex-toimitusjohtaja Ville Tapiolle vankeutta tietosuojarikoksesta. Ville Tapio on syyttänyt Vastaamon IT-työntekijöitä murron peittelemisestä ja laiminlyönneistä.
On riidatonta, että kaksi Vastaamon IT-hallinnon henkilöä tiesi tietomurrosta, mutta syyttäjä ei ole nostanut heitä vastaan syytettä. Näiden on katsottu olleen aliresursoituja ja pyrkineen saamaan muutosta tilanteeseen.
Vastaamon esitutkintamateriaali on poikkeuksellisen laaja. Esitutkintapöytäkirja lisäpöytäkirjoineen on noin 2800 sivua pitkä.
Juttua on päivitetty lisätiedoilla kello 16.54.
