Psykoterapiakeskus Vastaamoa koskevassa oikeudenkäynnissä kuultiin tiistaina kahta yrityksen entistä it-työntekijää, joita entinen toimitusjohtaja Ville Tapio on syyttänyt yrityksen tietoturvaongelmista.
Paikan päällä Helsingin käräjäoikeudessa oli vain toinen ex-työntekijöistä. Toisella heistä oli este saapua oikeuteen, joten salissa luettiin hänen esitutkintakertomuksensa.
Salissa todistanut työntekijä sanoi, että Vastaamon potilastietorekisterin tietoturva oli hyvin heikko ja tietoturvasta ja siihen liittyvistä riskeistä puhuttiin ylipäänsä vähän.
– Muistaakseni suurimpana riskinä tunnistettiin, että jos terapeutti lähtee pois Vastaamolta ja avaa oman klinikan, hän voisi tulostaa kaikki potilastiedot mukaansa. Tämän perusteella rakennettiin tulosteiden lokivalvontaa, mies kertoi.
"Meitä oli kaksi kaveria nollasoppareilla"
Tapio on syytettynä tietosuojarikoksesta, koska syyttäjän mukaan Tapio laiminlöi Vastaamon tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta.
Tapio kiistää syytteen täysin. Hänen puolustuksensa mukaan Vastaamon tietoturvasta vastasivat kaksi it-työntekijää, ei Tapio itse.
Oikeudessa kuultu työntekijä kiisti tämän.
– Meitä oli kaksi kaveria nollasoppareilla ja työtehtävämme olivat hyvin sekalaisia. Pääosin kaikki työaika meni ylläpitoon, uusien toimipisteiden avaamiseen ja kasvun tukemiseen, kun henkilöstömäärä lisääntyi.
Työntekijä sanoi esittäneensä parannuksia Vastaamon tietoturvaan, mutta hänen mukaansa Tapio ei halunnut käyttää sellaiseen rahaa.
– Yksi asia, mitä pyöriteltiin moneen kertaan, oli F-Securen lisenssin hankinta. Oli muitakin hankkeita ja tietoturvasta lähetettiin tarjouspyyntöjä, mutta ne vain kuolivat. Tapio ei koskaan hyväksynyt eikä allekirjoittanut (hankintoja), eikä sitä voinut kukaan muukaan tehdä.
Myös toinen työntekijä kertoi esitutkinnassa, että esimerkiksi verkkoyhteyksien suojaa parantaviin VPN-palveluihin ei saatu lisenssejä, koska ne maksoivat. Tapio torppasi myös monia muita asioita, koska niihin olisi pitänyt käyttää rahaa, mies kertoi poliisille.
Syyttäjä jätti syytteet nostamatta työntekijöitä vastaan
Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.
Tapion syytteessä on kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti. Syyttäjän mukaan ulkopuolinen taho murtautui 15. maaliskuuta 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti potilastietokantapalvelimelle kiristysviestin.
Syyttäjän mukaan tapahtuneen jälkeen Vastaamossa tehdyt toimenpiteet olivat riittämättömiä ja potilastietokannan turvallisuus oli vaarantuneena lokakuuhun 2020 saakka. Silloin Vastaamo kertoi joutuneensa kiristyksen kohteeksi, ja sen jälkeen selvitys ja poliisitutkinta tapahtumista aloitettiin.
It-työntekijöitä epäiltiin esitutkinnassa tietosuojarikoksesta Tapion ohella. Syyttäjä jätti kuitenkin syytteet nostamatta, koska hänen mukaansa heidän syyllisyytensä tueksi ei ollut todennäköisiä syitä.
Syyttäjän mukaan Tapio salaili tietomurtoa yrityskaupan takia
Tapio kiistää tienneensä syytteessä kyseessä olevasta maaliskuun 2019 tietomurrosta tapahtuma-aikaan. Tapion mukaan it-työntekijät antoivat hänelle vääriä tietoja, minkä takia hän sanoi ilmoituksissa Valviralle, että kyseessä oli ollut huoltokatko ja huollossa tapahtunut virhe.
Puolustus sanoo, että yrityksen tietojärjestelmä olisi oikein käytettynä ollut turvallinen ja työntekijät yrittävät vierittää vastuuta omista virheistään Tapiolle. Puolustuksen mukaan tietoturvaongelmien takana oli se, että työntekijät avasivat marraskuussa 2017 Vastaamon tietojärjestelmän suojaukset ja tietokantaportin internetiin ja jättivät sen auki. Tapiota kuultiin oikeudessa viime perjantaina, jolloin hän sanoi, että työntekijät olivat tehneet "käsittämättömiä virheitä".
Syyttäjä sanoo, että Tapio tiesi maaliskuun 2019 tietomurrosta ja Vastaamon tietoturvan huonosta tasosta. Syyttäjän mukaan motiivina salailuun oli turvata tuleva yrityskauppa. Pääomasijoittaja Intera Partners hankki osake-enemmistön Vastaamosta muutama kuukausi tietomurron jälkeen.
Oikeudessa kuultu työntekijä sanoi, että Tapiolle oli maaliskuussa 2019 kerrottu, että potilastiedot sisältänyt tietokanta oli hävinnyt. Työntekijän mukaan Tapio ei reagoinut tietoon kummemmin, vaan piti tärkeimpänä, että järjestelmä saadaan mahdollisimman nopeasti takaisin pystyyn ja toimintakuntoon.
– Jälkikäteen olen ajatellut, että Villellä varmaan oli tiedossa tuleva Interan kauppa, josta meillä ei ollut mitään hajua. Olisihan se ollut vähän huono, menisi kauppa sivu suun, mies sanoi.
KRP:n mukaan Vastaamon tietoturva oli erittäin heikko
Keskusrikospoliisin (KRP) esitutkinnan aikana selvisi, että Vastaamolla oli tapahtunut useita tietomurtoja ja muita tietoturvapoikkeamia. KRP:n mukaan Vastaamon tietoturvaa paranneltiin vuosien varrella jonkin verran, mutta ongelmat eivät poistuneet.
– Vastaamolle lokakuussa 2020 tietoturvaa parantamaan palkatut asiantuntijat ovat kuvanneet Vastaamon tietoturvaa erityisen heikoksi, huonoksi ja alkeelliseksi sekä Vastaamon tapaa huolehtia tietoturvasta suhteessa heidän hallinnoimansa tiedon arkaluonteisuuteen selkeästi puutteelliseksi ja erittäin heikoksi, esitutkintapöytäkirjassa sanottiin.
KRP:n mukaan potilastietokannan käyttäjätunnuksen salasana on ollut seitsemän merkkiä pitkä ja selkokielinen. Se ei ole sisältänyt isoja kirjaimia tai erikoismerkkejä, ja se oli ollut käytössä vuodesta 2012.
Tietosuojarikoksesta voidaan tuomita sakkoja tai enintään vuosi vankeutta. Syyttäjä on kertonut vaativansa Tapiolle rangaistukseksi ehdollista vankeutta, mutta ei ole kommentoinut sen määrää.
Vastaamoon kohdistunut epäilty törkeä tietomurto on vielä esitutkinnassa. Siitä epäiltynä on vangittu 25-vuotias mies.
Poliisi muistutti viime viikolla, että tietomurron uhreilla on edelleen mahdollisuus antaa asianomistajan lausuma poliisin sähköisessä asiointipalvelussa. Ensin asiasta on tehtävä rikosilmoitus. Myös sen voi tehdä nettipalvelussa.
Poliisi on saanut noin 6 500 tietomurtoon liittyvää rikosilmoitusta. Tietomurron asianomistajia kuullaan ensisijaisesti sähköisellä kaavakkeella. Lausuman antaneet pysyvät mukana rikosprosessissa ja saavat mahdollisuuden esittää vaatimuksensa asiassa.