Psykoterapiakeskus Vastaamon entistä toimitusjohtajaa Ville Tapiota vastaan käydään parhaillaan oikeutta tiesuosuojarikoksesta. Syyttäjän mukaan Tapio tiesi yrityksen vakavista tietosuojapuutteista sekä siihen kohdistuneista tietomurroista, joita oli useampia.
Yhdessä näistä murroista varastettiin Vastaamon asiakasrekisteri, jota käytettiin myöhemmin kiristykseen ja jonka kiristäjä julkaisi myöhemmin verkossa.
Tapion lisäksi murroista tiesivät Vastaamon tietosuojavastaava ja järjestelmäarkkitehti MM sekä järjestelmäarkkitehti NN. Heitä vastaan syyttäjä ei kuitenkaan nostanut syytettä.
Keskusrikospoliisi kuuli tutkinnan aikana molempia epäiltynä tietosuojarikoksesta.
MM:n ja NN:n syyttämättäjättämispäätöksissä on pitkä lista tapahtumista, jotka vaaransivat Vastaamon potilastiedot moneen kertaan vuosina 2017–2019. Tiedot perustuvat sekä Vastaamon tilaamaan tietoturvayhtiö Nixun tutkintaan että KRP:n tietotekniseen raporttiin.
Esitutkinnan aikana on selvinnyt, että Vastaamolla on tapahtunut usean vuoden kuluessa useita tietomurtoja ja muita tietoturvapoikkeamia, joista Vastaamon toimitusjohtajan sekä IT -henkilöstön on syytä epäillä tulleen tietoiseksi, mutta potilastietojen vaarantuminen on tullut viranomaisten tietoon vasta 28.9.2020 Vastaamoon kohdistuneen kiristyksen jälkeen, päätöksessä lukee.
Julkisuudessa on ollut jo aikaisemmin esillä tieto siitä, että Vastaamon asiakasrekisterin sisältäneen tietokantapalvelimen tietoliikenneportti 3306 oli auki internetiin noin puolentoista vuoden ajan mitä ilmeisimmin huoltotöiden seurauksena.
Esitutkinnan perusteella MM pyysi NN:ää ja Ville Tapiota avaamaan portin, joka oli auki 26.11.2017–13.3.2019. Tämä mahdollisti ainakin yhden, yli vuoden kestäneen hyökkäyksen (18.12.2017–11.3.2019).
Avoin tietoliikenneportti mahdollisti komentojen antamisen palvelimelle etänä. Varsinaisen potilastietokantavarkauden uskotaan tapahtuneen 26.11.2018. Varkaus tehtiin palvelimen pääkäyttäjänä eli root-tunnuksella. Käyttäjätilillä ei ollut salasanasuojausta. Sisäänkirjautuminen tapahtui amerikkalaisesta ip- eli verkko-osoitteesta, jota oli käytetty aiemmin erilaisissa haittaohjelmakampanjoissa.
Myöhemmin, 15.3.2019, potilastietokantaan kirjauduttiin mahdollisesti eri taholta, se salakirjoitettiin ja tilalle jätettiin kiristysviesti, jossa vaadittiin 200 euron arvoisia bitcoin-lunnaita tietojen palauttamisesta. Siitä ei saatu täyttä varmuutta, varastettiinko tietokanta myös tuolloin vai tyytyikö murtautuja vain kryptaamaan sen. Mitä todennäköisimmin kyse oli laajemmasta vuonna 2019 toteutetusta kiristyskampanjasta, joka ei liittynyt varsinaiseen kiristystapaukseen.
Vastaamon potilasrekisteri salakirjoitettiin keväällä 2019 ja korvattiin kiristysviestillä. Varsinainen tietokannan varkaus tapahtui edellisen vuoden lopulla.
Esitutkinnassa saatiin varmuus siitä, että sekä Tapio, MM että NN tiesivät tapahtuneesta. Murto olisi edellyttänyt gdpr-tietosuoja-asetuksen mukaista ilmoitusta Tietosuojavaltuutetun toimistoon ja Valviralle. Sitä ei kuitenkaan tehty. Sen sijaan tuhottu potilasrekisteri palautettiin varmuuskopioista, ja työntekijöille ilmoitettiin käyttökatkon syyksi tietokantaongelmat. NN sanoo poistaneensa murtoon liittyneet tapahtumatiedot Tapion käskystä.
Nixun raportin mukaan Vastaamon tietojärjestelmässä oli vielä lokakuussa 2020 merkittäviä puutteita. Potilastietokantaan oli tallennettu asiakkaiden henkilötietoja ja käyntimerkintöjä ilman salausta muodossa, jossa henkilötiedot ja käyntimerkinnät olivat yhdistettävissä toisiinsa. Lisäksi puutteita oli potilasrekisterin palomuurisuojauksessa, ylläpitotunnusten käytössä ja hallinnoinnissa sekä salasana- ja kirjautumiskäytännössä, vpn-yhteyksien toteuttamisessa, palvelimien eriyttämisessä, tietoturvapäivityksissä, tietoturvan seurannassa ja auditoinnissa.
Erään todistajalausunnon mukaan tammikuussa 2018 murtauduttiin erään Vastaamon palvelimen tietokantaan Kiinasta käsin. Näitä aukkoja alettiin tukkia vasta maaliskuun 2019 murron paljastumisen jälkeen.
Lisäksi esitutkinnassa kävi ilmi, että Vastaamolle kuulunut verkko-osoite saattoi joutua osaksi verkkorikollisten bottiverkkoa, eli se kaapattiin ja otettiin etähallintaan. Tässäkin lienee kysymys varsinaisesta potilasrekisterivarkaudesta erillisestä tapahtumasta.
”Esitutkintaan on kirjattu yhteensä n. 40 erilaista tapahtumaa, joita voidaan pitää riskeiltään eri tasoisina tietoturvapoikkeamina Vastaamolla ajalla marraskuu 2017–28.9.2020.
– Esitutkintaan on kirjattu yhteensä n. 40 erilaista tapahtumaa, joita voidaan pitää riskeiltään eri tasoisina tietoturvapoikkeamina Vastaamolla ajalla marraskuu 2017–28.9.2020, jolloin Vastaamo sai kiristysviestin. Esitutkinnan perusteella pääsääntöisesti näistä poikkeamista ovat olleet tietoisia Ville Tapio ja Vastaamon IT-osasto eli NN ja MM, syyttäjä kirjoittaa.
Osana Vastaamon myyntiä Intera Partnersille Vastaamossa tehtiin riskit kartoittava due dilligence -tarkastus, joka toteutettiin kevennettynä, haastattelupohjaisena versiona. Vaikka tarkastuksessa löytyi huomautettavaa eli keltaisia lippuja, ei yhtään kaupan estävää punaisen lipun puutetta havaittu.
Vaikka kovennuksia tietoturvaan tehtiin murron paljastumisen jälkeen, todistajalausuntojen mukaan IT:n systemaattinen kehittäminen ja järjestelmällisyys olivat kateissa edelleen.
Todistajalausuntojen mukaan Vastaamon IT:n kehittämiseen ei juurikaan satsattu, MM ja NN olivat useiden vuosien aikana tehneet Tapiolle turhaksi osoittautuneita hankintaehdotuksia. Myöskään tietoturvan kehittämiseen ei annettu taloudellisia resursseja, ja töitä tehtiin pitkälti ilmaisohjelmistoilla.
Vastaamon lakiasioita hoitanut todistaja sanoi MM:n ja NN:n kantaneen murhetta Vastaamon tietoturvan tasosta. Näillä ei ollut kuitenkaan mahdollisuuksia toteuttaa parannuksia, kun päätökset olivat laajentumiseen keskittyneen toimitusjohtajan takana.
Useampi todistaja piti Vastaamon IT-budjettia liian pienenä, MM:n ja NN:n työtaakkaa kohtuuttomana sekä näiden osaamista osittain vääränlaisena. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen lausunnon mukaan Vastaamon kokoisen yrityksen ylläpito olisi edellyttänyt 5–6 hengen IT-osastoa. Lisäksi IT-henkilökunnan koulutus ja perehdytys oli heikkoa, eikä näiden osaamista varmistettu.
Poliisi toteaa esitutkinnassaan, että Vastaamon toiminnassa on toimittu vastoin yleisen tietosuoja-asetuksen ohjausta henkilötietojen käsittelyn turvallisuudesta.
Sekä MM että NN myönsivät olleensa tietoisia 15.3.2019-murrosta ja toimineensa yhdessä Tapion kanssa niin, ettei siitä raportoida totuudenmukaisesti viranomaisille.
Tekoa on lähtökohtaisesti pidettävä moitittavana ja se osoittaa MM/NN:n tietoisuuden vakavista tietoturvapuutteista, mitkä olisivat edellyttäneet ainakin siitä lähtien MM/NN:ltä Vastaamon IT-osaston työntekijänä toimenpiteitä, joilla nostetaan Vastaamon tietoturva riittävälle tasolle.
Teon tahallisuutta ja törkeyttä arvioidessaan syyttäjä antoi painoarvoa sille, että sekä MM että NN olivat tapahtumasta tietoisia ja että tietoturvaan olisi pitänyt panostaa enemmän.
Syytettä vastaan puhuivat kuitenkin lukuisat todistajanlausunnot riittämättömistä resursseista sekä johdolle viestitetyistä hankintatarpeista.
Vaikka syyttäjä katsoi molempien IT-työntekijöiden osoittaneen huolimattomuutta, törkeä huolimattomuus olisi vaatinut selvää piittaamattomuutta tai välinpitämättömyyttä otettuun riskiin nähden. Kokonaisuutena ja toteennäytettyjen puutteiden valossa näin ei ollut.
Syyttäjä päätyi molempien IT-työntekijöiden tapauksessa samanlaiseen loppulausuntoon:
Asiaa kokonaisuutena arvioituamme katsomme, että MM/NN ei ole omien vaikutusmahdollisuuksiensa, ammattitaitonsa ja muiden jo edellä mainittujen asiaan vaikuttavien seikkojen johdosta ollut sellaisessa tosiasiallisessa asemassa, että olisi kyennyt noudattamaan yleisen tietosuoja-asetuksen vaatimuksia tietoturvan käytännön järjestämisestä. MM/NN:n syyksi jää todetulla tavoin matalamman asteista huolellisuusvelvoitteiden laiminlyöntiä, mutta rikosvastuun edellyttämä huolellisuusvelvoitteiden laiminlyönti tahallisella tai törkeän huolimattomalla menettelyllä ei toteudu. Päätämme näin ollen jättää syyttämättä MM/NN:ää tietosuojarikoksesta.
