Oikeudenkäynti Psykoterapiakeskus Vastaamon entistä toimitusjohtajaa Ville Tapiota vastaan alkoi torstaina Helsingin käräjäoikeudessa.
Syyttäjä vaatii Tapiolle vankeutta tietoturvarikoksesta. Tapio oli Vastaamon toimitusjohtaja, kun sen järjestelmiin murtauduttiin ja asiakasrekisteri varastettiin ja julkaistiin.
Syyttäjä ja Ville Tapion puolustus olivat oikeudessa eri mieltä lukuisista tärkeistä seikoista.
Alla oleva video: Syyttäjä Pasi Vainion haastattelu.
Vastaamon tietoturvapuutteita on selvitetty useampaan otteeseen. Varsinaisten vuonna 2018 ja 2019 tapahtuneiden murtojen jälkeen selvityksiä ei tehty.
Kun PTK Midco osti Vastaamon noin 10 miljoonan hinnalla vuonna 2019, Vastaamon it-järjestelmät tutkittiin osana ostoa edeltävää selvitystä. Murto ei kuitenkaan paljastunut tuolloin.
Kun kiristys alkoi, tietoturvayhtiö Nixu suoritti murrosta tutkinnan syksyllä 2020. Tämän lisäksi poliisi teki oman rikospaikkatutkintansa.
Tietoturvayhtiö Nixu suoritti murrosta tutkinnan syksyllä 2020.
Viimeisin tutkinta tehtiin, kun Ville Tapio tilasi toiselta tietoturvayhtiöltä uuden selvityksen välimiesoikeudenkäyntiin, jossa Tapio ja Vastaamon vuonna 2019 ostanut PTK Midco taistelivat 10 miljoonan euroon kauppasumman palauttamisesta. Tapio hävisi oikeusprosessin.
Selvitykset ovat päätyneet osittain vastakkaisin lopputuloksiin. Ville Tapion tilaama selvitys antaa ymmärtää, että murto olisi tapahtunut sisältä käsin ja taustalla saattaisivat olla Vastaamon IT-työntekijät.
Poliisi on esitutkinnassaan huomioinut kaikki selvitykset ja tehnyt lisätutkinnan Tapion tilaaman selvityksen tultua sen tietoon.
Esitutkinta on ollut poikkeuksellisen laaja. Rikoksesta epäiltyjen lisäksi poliisi on kuullut noin 20:tä todistajaa ja pyytänyt asiantuntijalausuntoja. Esitutkintapöytäkirjalla lisäpöytäkirjoineen on kokoa noin 2 800 sivua.
Oikeus joutuu päätöstä pohtiessaan ottamaan kantaa ainakin seuraaviin kysymyksiin, joissa syyttäjän ja puolustuksen näkemykset ovat täysin erilaiset.
Vastaamon tietoturvapuutteita on selvitetty useampaan otteeseen. Varsinaisten vuonna 2018 ja 2019 tapahtuneiden murtojen jälkeen selvityksiä ei tehty.
Oliko Vastaamon suojaus riittävä?
Poliisin esitutkintapöytäkirjan mukaan Vastaamon tietoturvassa oli vakavia puutteita: Vastaamon IT-järjestelmiä suojaava palomuurilaite päästi läpi kaiken verkkoliikenteen, asiakastietokantapalvelin oli näkyvissä internetiin puolentoista vuoden ajan, salasanasuojaus oli kehno tai sitä ei ollut, potilastietoja ei anonymisoitu, etäyhteydet palvelimelle oli sallittu, muttei asianmukaisesti salattu.
Ville Tapion todistelun mukaan Vastaamon suojaus ja resursointi oli kunnossa, mutta tietohallinnossa tehtiin laiminlyöntejä, joista hän ei ollut tietoinen.
Tiesikö Ville Tapio tietomurrosta?
Ville Tapio on siirtänyt vastuun Vastaamon IT-työntekijälle, eli tietosuojavastaava MM:lle ja järjestelmäarkkitehti NN:lle. Hänen väitteensä mukaan nämä salasivat häneltä tiedon murrosta.
Ensimmäisen tietomurron jälkeen Vastaamon potilasrekisteri tuhottiin ja henkilökunta palautti sen varmuuskopiosta. Ville Tapio teki asiasta ilmoituksen Valviralle, mutta kiistää tietäneensä tietomurrosta.
Ville Tapio kuvattuna Helsingissä helmikuussa 2017.
Mikä oli Ville Tapion IT-ymmärrys?
Ville Tapio kiistää olleensa tietoinen Vastaamon vakavista tietoturvapuutteista ja kiistää olleensa Vastaamon toiminnanohjausjärjestelmän takana. Hän sanoo myös järjestelmän suojauksen ja ylläpidon kuuluneen IT-henkilökunnalle, ei toimitusjohtajalle.
Tapion mukaan hän ei myöskään ollut yksityiskohtaisesti perillä esimerkiksi verkkoasetuksiin ja palomuureihin liittyvistä seikoista, sillä hänen mukaansa ne ovat teknisesti niin vaikeaselkoisia ja erityisosaamista vaativia, ettei hänen asiantuntemuksensa riittänyt siihen.
Poliisin kuulemien todistajien mukaan Tapion ymmärrys IT-asioista oli paljon keskivertopomoa parempi. Toisen todistajan mukaan Tapio oli alkanut itse kehittää Vastaamolle ajanvarausjärjestelmää, jonka päälle ulkopuolinen koodari kehitti potilastietojärjestelmän järjestelmää yhdessä Tapion kanssa suunnitellen.
Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio saapumassa Helsingin käräjäoikeuteen 2. maaliskuuta.
Mikä oli Vastaamon IT-budjetti?
Oikeudessa kuultiin hämmästyttäviä väittämiä, kun Vastaamon toiminnanohjausjärjestelmän kehittämiskuluiksi vuonna 2016 ilmoitettiin 175 euroa, seuraavana vuonna 108 € ja sitten 119 €. Yrityskaupan yhteydessä myös IT-henkilöstön palkkakuluja oli kirjattu IT-kehittämiskuluiksi.
Ville Tapion mukaan vuosikertomuksessa oli kyse virheestä.
Hänen mukaansa IT-resursointi on ollut riittävää Vastaamon kokoluokan yritykselle. Ville Tapio sanoo, ettei Vastaamolla ollut IT-budjettia, mutta hän hyväksyi jokaisen ehdotuksen. IT-työntekijöiden mukaan ehdotukset menivät harvoin läpi. Lisäksi todistajanlausunnoissa kerrottiin Ville Tapion pihistelleen IT-budjeteissa sekä olleen haluton ostamaan tietoturvaohjelmistoja.
Poliisin esitutkintapöytäkirjan mukaan Vastaamon tietoturvassa oli vakavia puutteita.
Peukalointiinko todistusaineistoa?
Yksi puolustuksen keskeisistä väitteistä oli se, että Vastaamon IT-työntekijät pimittivät tietoa Tapiolta.
Puolustuksen mukaan työntekijät ryhtyivät myöhemmin myös syyllistämään Tapiota tietomurrosta, mutta Tapion mukaan murto johtui nimenomaan työntekijöiden virheestä.
Tapion puolustuksen mukaan väite siitä, että Tapio olisi tiennyt tietomurrosta, perustuu toisen työntekijän poliisille toimittamiin Skype-keskusteluihin.
Tapion mukaan näistä on esitetty välimiesoikeudenkäynnissä todisteena toisensisältöiset versiot. Tapio siis väittää, että keskustelulokit eivät ole aitoja, vaan niitä on peukaloitu.
– Skype-keskustelulokeja on täysin ilmeisellä tavalla muokattu, sillä tietohallinto-skyperyhmän chatlogista puuttuu kokonaisuudessaan mm. ajanjakso, johon MM ja NN tekemän tietoturva-aukon syntyminen ajoittuu, lukee Tapion kirjallisessa vastauksessa käräjäoikeudelle.
