Millainen yhtiö on vakavan tietomurron kohteeksi joutunut psykoterapiapalveluiden tarjoaja Vastaamo? Miksi juuri se joutui hyökkäyksen kohteeksi?
Vastaamo on kasvanut erittäin voimakkaasti viime vuosina, ja se on yksi suurimmista ketjuuntuneista alan palveluntarjoajista maassa. Vastaamo on myös yksi Kelan suurista yhteistyökumppaneista. Sen toiminta nojaa vahvasti digitaalisiin palveluihin, joissa asiakasmäärät ovat isoja.
Vastaamolla on toimipaikkoja parissakymmenessä kaupungissa eri puolilla maata. Se tarjoaa psykoterapia- ja psykiatrian palveluita, myös verkko- ja videovälitteisinä.
Ainakin edellä mainituista syistä Vastaamo on ollut tuhoisa kohde tietomurrolle.
B-luokan tietojärjestelmä
Vastaamo on Valviran hyväksymä ja valvoma palveluntuottaja. Sen tietojärjestelmä kuuluu laissa säädeltyyn niin sanottuun B-luokan järjestelmiin, joille laki ei edellytä ulkopuolista tietoturvallisuuden arviointia.
Vastaamon itsensä kehittämä potilastietojärjestelmä kuuluu yhtenä 260:een sosiaali- ja terveydenhuollon tietojärjestelmiin, joiden tietoturvallisuutta viranomaiset valvovat vain jos on erityistä syytä epäillä ongelmia tai palveluntarjoaja sitä pyytää.
Vastaamo on Valviran hyväksymä ja valvoma palveluntuottaja.
Näiden valvonta on Valviran mukaan hyvin vähäistä resurssiongelmien takia.
– Ne [B-luokan järjestelmät] ovat meille asiakastietolain perusteella rekisteröityjä potilastietojärjestelmiä, jotka voivat olla ostettuja kaupallisia tuotteita tai yrityksen itsensä valmistamia, Valviran terveydenhuollon valvontaosaston yli-insinööri Antti Härkönen kertoo.
Järjestelmän valmistaja vastaa itse vaatimusten täyttymisestä. Härkönen arvioi, että Vastaamo on potilasmääriltään B-luokan tietojärjestelmien sarjassa suurimpiin kuuluvia yrityksiä.
B-luokan järjestelmälle ei ole tehty ulkopuolisen tahon ennakkoarviointia tai sertifiointia, kuten asiakastietolain perusteella A-luokkaan kuuluvilla järjestelmillä. A-luokka on sen sijaan liitetty valtakunnalliseen terveystietojen Kanta-palveluun, ja sen piiriin kuuluville järjestelmille on tehty tietoturva-arvioinnin lisäksi Kelan Kanta-yhteistestaus.
Lisäksi Terveyden ja hyvinvoinnin laitos antaa tarkentavia määräyksiä järjestelmille, mutta nämäkin lähinnä A-luokalle.
– B-luokan järjestelmille ei ole mitään yksityiskohtaisia vaatimuslistoja. Yleisiä velvoitteita tulee potilasasiakirja-asetuksesta, joissa edellytetään huolellisuutta asiakirjojen käsittelyyn, Härkönen kertoo.
Valvira on pyytänyt Vastaamolta selvitystä, mitä se aikoo tehdä vastaavien tietomurtojen estämiseksi. Tuhopalo vasta roihuaa eikä tekijästä ole tietoa, mutta jo nyt tapauksessa voidaan nähdä myös lainsäädännön heikkous.
– Kyllä varmasti jonkinlaista ennakkosertifiointia ja vaatimuksia tulisi jatkossa olla.
Härkönen ei vielä osaa arvioida Vastaamon tietojärjestelmän laatua.
– Joitakin oletuksia on ollut esimerkiksi heikoista salasanoista mutta ei varmaa tietoa. Keskusteluiden pohjalta vaikuttaa siltä, että ihan kaikki palvelimissa olevat ohjelmistoversiot eivät ole olleet ajan tasalla.
Taloussanomat ei tavoittanut Vastaamon johtoa.
Vastaamon toimipiste Helsingin Pasilassa.
Kasvua ja kansainvälisyyttä
Idea Vastaamo.fi-palvelusta syntyi vuonna 2008, kun Psykoterapiakeskus Vastaamon toimitusjohtaja Ville Tapio toimi konsulttina Sitran kuntaohjelmassa palvelusetelihankkeessa.
Tapiolla on taustaa yrittäjänä, ohjelmistokehittäjänä ja teknologiajohtajana digitaalisten palveluiden kehityksessä. Tapion rinnalla perustajiin kuuluu hänen äitinsä, psykoterapeutti Nina Tapio.
Vuonna 2015 yhtiössä työskenteli vajaat sata henkeä, viime vuonna jo 260. Pääosa henkilöstöstä toimii psykoterapeutteina, loput ovat psykiatrian erikoislääkäreitä tai muissa tehtävissä.
Vuonna 2016 liikevaihto oli 5,7 miljoonaa euroa, mutta viime vuonna jo 14 miljoonaa euroa. Käyttökate on ollut koko ajan positiivinen. Yhtiö kertoo sivuillaan, että sen omistajat maksavat veronsa Suomeen ja yli puolet voitoista menee ”yhteiskunnallisen hyvän tuottamiseen”.
Ville Tapion ja Nina Tapion palkat olivat 42 000 euroa vuonna 2018. Tilikauden voittoa kertyi vajaat 0,5 miljoonaa euroa, josta omistajille jaettiin osinkoa 75 000 euroa.
Tällä hetkellä Ville Tapio omistaa yhtiöstä Asiakastiedon mukaan 27 prosenttia, ja Nina Tapio kolme prosenttia. Pääomistaja on pääomasijoittaja Interan Rahasto II, joka osti Vastaamon enemmistön kesällä 2019.
Vuonna 2017 Ville Tapio kertoi Talouselämälle, että yrityksen ohjelmisto on rakennettu globaalien standardien mukaan. Se luo mahdollisuudet toimia verkkopainotteisesti myös kansainvälisillä markkinoilla, mikä oli tavoitteena viiden vuoden sisällä.
Kela on hankkinut Vastaamosta palveluita vuodesta 2015 alkaen.
Kela selvittää asiakkaidensa tilannetta
Psykoterapiakeskuksen tietomurto voi koskea mediatietojen mukaan jopa 30 000–40 000 asiakasta, mutta lukuja ei ole vahvistettu.
Tällä hetkellä Vastaamon eri psykoterapiakeskuksissa on yhtiön verkkosivujen mukaan yli 18 000 potilasta. Kela on hankkinut Vastaamosta palveluita vuodesta 2015 alkaen.
Kuluva vaativan lääkinnällisen kuntoutuksen psykoterapian enintään neljän vuoden pituinen hankintakausi alkoi 2018, ja siinä on sopimuksia on 19 kappaletta eri Vastaamo-keskuksiin.
Kelan etuuspäällikkö Tuula Ahlgren ei vielä arvioi, miten kohu vaikuttaa Kelan sopimuksiin.
– Me olemme pyytäneet heiltä selvitystä tapahtuneesta. Tarvitsemme tästä ilman muuta selvityksen, joka kuvaa heidän näkemystään tapahtuneesta ja siitä, mikä on Kelan asiakkaiden tilanne kokonaisuudessa.
Kelalla on ollut Vastaamossa kahdenlaisia asiakkaita: 113 niin sanottua vaativan lääkinnällisen kuntoutuksen asiakasta, jotka ovat olleet 13 eri sopimuksen piirissä tietomurron aikaan.
Huomattavasti laajempi Kelan tukea saaneiden asiakkaiden joukko on ollut Vastaamossa kuntoutuspsykoterapiassa. Tämän ryhmän kokoa Kela selvittää parhaillaan.
Ahlgrenin tiedossa ei ole, että Vastaamoa koskevaa kielteistä asiakaspalautetta tai yrityksen toimintatapoihin liittyviä ongelmia, olisi tullut Kelan tietoon tietomurtoa aiemmin.
Myös Ahlgren sanoo, että Valvomo on kasvanut isoksi.
– Vastaamo on yksi ketjuuntuneista suurista palveluntuottajista valtakunnan tasolla.
KRP ilmoitti tiedotustilaisuudessa sunnuntaina, että se selvittää yhtenä haarana, onko yhtiö laiminlyönyt tietosuojaan liittyviä velvoitteitaan.
– Pelottaa, että asia vain paisuu, ja itse toivoisin että poliisi saisi jotain nopeasti aikaan, koska muuten tätä ei saada pysäytetyksi, Ahlgren sanoi.
Vastaamon toimipiste Mannerheimitiellä Helsingissä.
