Hyppää pääsisältöön
TuoreimmatLiigaSääRikosPolitiikkaAsian ytimessä.doc
Uutiset
KotimaaUlkomaatRikosPolitiikkaTalousMielipiteetSää
Urheilu
LiigaMM-ralliJääkiekon MM-kisatJääkiekkoF1JalkapalloYleisurheilu
Viihde
SeurapiiritTV-ohjelmatElokuvatKuninkaallisetMusiikkiSalatut elämät
Lifestyle
RuokaTerveys ja hyvinvointiSeksi ja parisuhdeAutotHoroskooppi
Makuja
ReseptitRuokauutiset
Videot
MTV Uutiset LiveUusimmat
Tv-opas
Muistilista
  • MTV UutisetKonepajankuja 7
    00510 Helsinki
  • Uutistoimituksen päivystys010 300 5400
  • Uutisvinkkiuutiset@mtv.fi
  • WhatsApp040 578 5504
Sisällöt
  • Tomi Einonen
    Vastaava päätoimittaja
  • Ilkka Ahtiainen
    Uutispäätoimittaja
  • Mona Haapsaari
    Toimituspäällikkö
  • Teemu Niikko
    Toimituspäällikkö, urheilu
Liiketoiminta
  • Iina Eloranta
    VP, Channels and Digital Consumption
SuomiAreena
  • Jeremias Kontio
    Vastaava tuottaja
Muut palvelut
  • MTV Katsomo
  • SuomiAreena
Asiakaspalvelu
  • MTV Uutiset -palaute
  • MTV Katsomon asiakaspalvelu
  • Tietoa yhtiöstä
  • Avoimet työpaikat
  • Mainosta MTV:ssä
  • Tietosuojalauseke
  • Käyttöehdot
EtusivuVideotTuoreimmatLuetuimmatOdota

Asiantuntijalta tyrmäys Vastaamon tietoturvatoimille: "Eihän toimitusjohtaja voi ulkoistaa sitä vastuuta mihinkään"

5:11Asiantuntija kommentoi Vastaamon tietoturvamenetelmiä: Kuluttajan erittäin hankalaa varmistua riittävästä turvatasostaKatso tästä "valkohattuhakkeri" Benjamin Särkän arvio Vastaamon tietoturvamenetelmistä.
Julkaistu 08.06.2022 14:13
Toimittajan kuva

Pyry-Jukka Peltomäki

pyry-jukka.peltomaki@mtv.fi

Vastaamo oli toimiessaan yksi suurimmista psykoterapiapalvelujen tarjoajista Suomessa. Lokakuussa 2020 Vastaamo joutui tietomurron ja kiristyksen kohteeksi. Arkaluontoisia asiakastietoja on julkaistu tietomurron jälkeen verkossa. 

Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio sanoo MTV Uutisten haastattelussa, että hänellä ei ole ollut mitään tekemistä yrityksen tietojärjestelmien tai tietoturvan kanssa.

MTV Uutiset kertoi maanantaina välimiesoikeudessa määrätystä 8 miljoonan vahingonkorvauksesta Vastaamon ostaneelle yritykselle.

Pääomistaja ja entinen toimitusjohtaja Ville Tapio tuomittiin palauttamaan saamansa kauppasumma kokonaisuudessaan.

Tapion vastuulla on hänen omien sanojensa mukaan ollut ainoastaan tietoturvan resurssointi ja vastuullisia olisivat yhtiön silloiset tietoturva-asiantuntijat.

Lue myös: Vastaamon ex-toimitusjohtaja Ville Tapio puolustautuu MTV Uutisille: "Vastuu potilasrekisteristä oli muilla"

Tapio on kertonut, että Vastaamossa on ollut käytössä 9-portainen suojaus, joista jokainen olisi ollut poissa käytöstä mahdollistaen tietomurron.

Uutisaamussa esiintynyt tietoturva-asiantuntija ja hakkeri Benjamin Särkkä kummeksuu tilannetta.

Särkän mukaan se ei vielä varsinaisesti kerro mitään, että yritys kertoo käyttävänsä jotakin tiettyä tietoturvamenetelmää. 

– Lähtökohtaisesti 9-portainen suojaus herättää luottamusta. Kerroksellinen turvallisuus on hyvä tapa rakentaa turvallisuutta. Itseäni ihmetytti Tapion haastattelussa se, että eihän toimitusjohtaja voi ulkoistaa sitä vastuuta mihinkään. Loppupeleissä sitä on itse vastuussa yrityksen toiminnasta.

– Siellä on otettu niitä suojauksia pois päältä. Onko se tahallista vai tahatonta, hyökkääjän vai sisäpiiriläisen tekemää, niin johtaa joka tapauksessa samaan tilanteeseen. Eli inhimillinen virhe tai tahallinen haitan teko on se syy, joka on mahdollistanut tietomurron tekemisen.

Tapio halusi täydentää MTV Uutisille, että toimitusjohtajan vastuiden ulkoistaminen eroaa terveyspalveluyrityksessä tavanomaisista yrityksistä. Lain mukaan vastuussa potilasrekisterin ylläpitämisestä pitää olla terveydenhuollon ammattihenkilö (Vastaamon tapauksessa hallintotyöhön koulutettu psykiatrian erikoislääkäri).

– Toimitusjohtaja ei terveyspalveluyrityksessä ole terveydenhuollon palveluista vastaavalle johtajalle lakisääteisesti kuuluvissa tehtävissä samalla tavalla yläpuolella kuin olisi sääntelemättömällä alalla, Tapio jatkaa.

Lue myös: MTV:n tiedot: Tapioiden perhe tuomittiin miljoonakorvauksiin Vastaamosta – näin Ville Tapio kommentoi

Huolimatta siitä, kuka on ollut vastuussa turvallisuudesta, olisi tietoturva pitänyt Särkän mukaan yhtä lailla validoida, eli todentaa järjestelmien toimivuus.

– Siihen löytyy erilaisia mekanismeja eri turvallisuustoimijoilta.

Särkkä kertoo, että yleisesti ottaen pätevä tietoturva rakennetaan eri kerroksia käyttäen.

Kerroksellisuudella tarkoitetaan sitä, että tietoturva koostuu eri osa-alueista. Sen eri kerroksissa ovat esimerkiksi palomuurit, laitehallinta, virustorjunta, todentaminen ja tietojen tallentaminen.

– Vähän kuin sipulimalli. Sen ympärille, mitä halutaan suojata, niin sen ympärille rakennetaan useampia kerroksia suojauksia. Sitten pyritään tunnistamaan, kun mikä tahansa näistä kerroksista lakkaa toimimasta. Sitten reagoidaan aktiivisesti, jotta se tiedon turvallisuus säilyy huolimatta siitä, että hajoaako siellä yksi tai kaksi kerrosta…Yksikin kerros voi olla riittävä, jos se tehdään tarpeeksi hyvin, Särkkä kertoo.

Kuluttajan vaikea varmistua riittävästä tietoturvasta

Vastaamon tapauksessa ihmisten erittäin henkilökohtaisia tietoja on päätynyt verkkoon. 

Kuluttajan on Särkän mukaan erittäin vaikeaa varmistaa, että erilaisia palveluja tarjoavan yrityksen tietoturva on riittävällä tai asiallisella tasolla.

– Usein ainoa keino varmistua on katsoa, että siellä on niitä turvallisuushenkilöitä, tietosuojalausekkeet ovat esillä. Osataan ottaa asiat huomioon, käytetään salattuja mekanismeja ja muita.

– Todellinen validointi on vaikeaa tehdä ulkoa päin. Se pitäisi melkein tehdä sen yrityksen toiminnan perusteella.

Asiantuntijan mukaan hyviä merkkejä ovat esimerkiksi niin sanotut bug bounty -ohjelmat, joiden kautta yritykset voivat keskitetysti ottaa vastaan ilmoituksia arkaluontoisistakin haavoittuvuushavainnoista.

– Joukkoistetut turvallisuusmenetelmät, missä tietoturvatutkijat pääsevät luvan kanssa tutkimaan, että toimivatko turvakontrollit halutulla tavalla ja pysyykö yrityksen sisällä oleva tieto hyvin turvassa, Särkkä mainitsee.

Korjattu Särkän sitaattia kello 16.49, sana turvallisuutta muutettu sanaksi vastuuta. Täydennetty Tapion kommentteja siitä, millainen vastuuketju Vastaamon kaltaisissa yrityksissä on.

Lisää aiheesta:

Vastaamon ex-toimitusjohtaja Ville Tapio puolustautuu MTV Uutisille: "Vastuu potilasrekisteristä oli muilla"Vastaamo-kiristäjää jahtaavat muutkin kuin poliisi – MTV Uutiset vieraili valkohattuhakkerin työhuoneessa: "Tietomurtaja on tehnyt monia virheitä"Tämä Vastaamosta tiedetään: Kasvanut hurjaa tahtia, hoidossa 18 000 potilasta, "asiakirjojen huolellinen hoitaminen" yhtiön eettinen periaate – tietosuojariskit arvioitu 2018Tietomurron uhriksi joutunutta Jukka-Pekkaa kalvaa huoli omien tietojen kohtalosta – "Pahinta on epävarmuus ja Vastaamo lisää sitä omalla toiminnallaan"Monen suomalaisyrityksen tietoturva ontuu pahasti – asiantuntija ärähtää: "Kaikki ei ole mennyt ihan putkeen"Kiristyksen kohteeksi joutuneen Vastaamon tietoturva selvitetään ja yhtiö joutuu pahimmillaan maksumieheksi
VastaamoTietomurrotHakkerointiUutisaamuSuomiKotimaa

Tuoreimmat aiheesta

Vastaamo
  • 30.10.14:37
    Tietomurrot

    Aleksanteri Kivimäki hovioikeuden jälkeen: Seuraavalla koneella Tokioon

  • 30.10.13:58
    Hovioikeus

    Vastaamon hovioikeudenkäynti päättyi – tuomiota voidaan joutua odottamaan helmikuuhun saakka

  • 28.10.18:17
    Oikeudenkäynnit

    Vastaamo-uhrien tuska nousi pintaan oikeudessa: "Viisi vuotta yhtä helvettiä"

  • 28.10.09:56
    Hovioikeus

    Vastaamon tietomurtojutussa alkavat loppulausunnot – Kivimäki vaatii syytteiden hylkäämistä

  • 24.10.13:32
    Tietomurrot

    Aleksanteri Kivimäki haluaa tehdä lisää sovintosopimuksia Vastaamo-uhrien kanssa