Oikeuden paperit paljastavat: Näin Vastaamon tietomurto tapahtui – salainen kauppasumma paljastui

Kyseessä on sama summa, 9 667 000 euroa, millä Tapiot myivät Psykoterapiakeskus Vastaamon osake-enemmistön Intera Partnersin holding-yhtiö PTK Midcolle. Yrityksessä työskennelleen Ville Tapion äiti sai kaupasta runsaat kaksi miljoonaa ja isä hieman alle kaksi miljoonaa euroa.

Nämä tiedot käyvät ilmi käräjäoikeuden viime viikolla julkaisemista asiakirjoista, jossa nykyinen pääomistaja ja Tapiot riitelevät takavarikon turvaamistoimihakemuksesta. Oikeuden päätös takavarikon jatkamisesta on tulossa lähiviikkoina.

Lue myös: Vastaamolta vaaditaan 20 000 euron vahingonkorvauksia – yksi asiakas jättänyt haastehakemuksen

Vastaamon entinen johto vastustaa liki 9,7 miljoonan vakuustakavarikkoa – ex-toimitusjohtaja vastustaa kaikkia uuden enemmistöomistajan vaatimuksia

Uusi omistaja: Tietomurto salattiin, jotta kauppa ei peruuntuisi

PKT Midcon mukaan Vastaamossa tehtyjen sisäisten selvitysten perusteella tietotekniikkaa hyvin tunteva Ville Tapio osallistui aktiivisesti ja intensiivisesti maaliskuussa 2019 tapahtuneen tietomurron käsittelyyn, ja oli täysin tietoinen siitä, että tietomurto oli tapahtunut.

Uuden pääomistajan mukaan yrityksen IT-asioiden parissa työskennellyt kaksikko A ja B eivät salanneet tietomurtoa Tapiolta, vaan selvittivät asiaa yhteistoiminnassa Ville Tapion kanssa ja hänen kehotuksestaan.

Todistajat kertovat siitä, että Ville Tapio oli keväällä 2019 tietoinen tietomurrosta ja halusi salata asian,  jotta osakekauppa ei estyisi tai vaikeutuisi. 

Valviralle toimitettujen raporttien perusteella Tapio salasi asioiden todellisen tilan myös viranomaisilta. Valviralle 24.3.2019 toimitetussa alustavassa vaaratilanneilmoituksessa kerrottiin, että Vastaamon järjestelmä otettiin "tietojen katoamisen vuoksi' huoltokatkolle perjantaina 15.3.2019. Ilmoituksen mukaan tilanteessa ei ollut viitteitä asiakastietojen vuotamisesta asiattomaan käyttöön.

Uuden omistajan haastattelemien IT-kaksikon A:n ja B:n kertoman perusteella Ville Tapion toiminta (tietomurron salaaminen) oli tarkoituksellista, ja viranomaisilmoitukset olivat yksin Tapion laatimia.

Vastauksena tietosuojaloukkauksia koskeviin kysymyksiin Ville Tapio totesi 30.4.2019 kirjallisesti päivitetyssä haastattelupöytäkirjassa, että aktualisoituneita loukkauksia ovat "vain datahuoneeseen ilmoitetut asiat".  

Paperista käy ilmi, että tietomurto tai tietoturvapuute eivät käyneet ilmi rajatussa ITDD -tarkastuksessa. Ville Tapion kerrotaan kieltäneen tietojärjestelmien laajemman tarkastuksen ja vedonneen potilastietoihin.

Lue myös: Kela purkaa tietomurron kohteeksi joutuneen Vastaamon kanssa tehtyjä sopimuksia – osa terapeuteista ei täytä vaatimuksia

Tapio on saanut tappouhkauksia

Ex-toimitusjohtaja Ville Tapio kertoo vastauksessaan, että hän on saanut useita tappouhkauksia ja hänet on jo julkisuudessa tuomittu ilman puolustautumismahdollisuutta. 

Uhkaukset johtuvat Tapion mukaan uuden omistajan julkisuuteen kertomista väitteistä, joiden mukaan Tapio olisi ollut tietoinen tietomurrosta ja salannut sen, minkä vuoksi hänet irtisanottiin ja yhtiö käynnisti oikeudelliset toimenpiteet.

Tapion mukaan hän on saanut tiedon tietomurrosta samalla tavalla kuin uusi pääomistaja itsekin eli tietoturvayhtiö Nixun tekemästä selvityksestä. Tapio on itse toimitusjohtajana tilannut selvityksen Nixulta 28.9.2020 tulleen kiristysviestin jälkeen.

Tapio kertoo yksityiskohtaisesti tietojärjestelmistä vastauksessaan.

IT-kaksikko vastasi kehittämisestä

Tapion mukaan järjestelmän kehittämisestä ja teknisestä toteutuksesta on vastannut IT-kaksikko A ja B, joka on raportoinut Tapiolle. IT-kaksikon tukena on ollut ulkopuolinen ylläpitokumppani. 

Valvova viranomainen Valvira edellyttää, että Vastaamon B-luokan järjestelmälle tulee esittää ns. omavalvontasuunnitelma.

Tapion mukaan tietoturvallisuuden tuli olla järjestetty niin, että ulkopuolinen pääsy järjestelmän palvelimelle on estetty palomuureilla sekä käyttäjätunnus- ja salasanasuojauksilla.

Asiattomista palvelimille kohdistuvista tunkeutumisyrityksistä olisi pitänyt aiheutua hälytys, sisältäen tietoja yrityksen alkuperästä. Kaikki käyttäjien tekemät toimenpiteet järjestelmässä tallentuvat lokitietoihin, joiden valvonta on B:n vastuulla. 

Lue myös: Vastaamon toimitusjohtaja irtisanoutui - yritys päättää jatkosta ylihuomenna

Näin tapahtumat etenivät 

Ville Tapion oikeuteen toimittamassa vastineessaan ex-toimitusjohtajan näkemyksen mukaan yrityksen IT-kaksikko tuli tietoiseksi tietomurrosta ensimmäisenä.

Tietokantaongelma maaliskuussa 2019 Vastaamon toiminnanohjausjärjestelmä kaatui aamulla 15.3.2019 siten, että potilastietojärjestelmään ei saatu yhteyttä. Tapio tuli tietoiseksi ongelmasta klo 11 aikaan ja hän tiedusteli klo 11.08 lähettämässään viestissä assistentiltaan, ovatko A ja B hoitamassa ongelmaa. Tapio on klo 11.18 tiedottanut Vastaamon henkilöstölle potilasrekisterin palvelimen kaatumisesta sekä meneillään olevasta korjaustyöstä.

IT-kaksikon tarkoituksena oli palauttaa tiedot varmuuskopiosta, mutta tämä ei onnistunut, koska varmuuskopiointi ei ollut toiminut suunnitelman mukaisesti.

IT-kaksikko sai palautettua potilastietojärjestelmän tiedot pääosin 17.3.2019. Yrityksen arvion mukaan käyttökatkosta ei aiheutunut merkittävää potilasturvallisuuden vaarantumista.

Valvira kirjasi ilmoituksen poikkeamailmoituksena ja totesi, että loppuraportin toimittaminen riittää Valviralle jatkotoimenpiteeksi. Asiasta ei ilmoitettu  tietosuojavaltuutetulle, koska käyttökatko oli lyhyt.

IT-kaksikon arvion mukaan käyttökatko johtui mahdollisesti aiemmin, 5.3.2019 tehdyssä laskutusajossa ilmenneen virheen korjaustoimenpiteistä. Laskutusajo oli tuolloin keskeytynyt odottamattomasti ja rikkonut tietokannan eheyttä ja järjestelmän toimintoihin tehtiin korjauksia 12.4.2019 asti.

Tapahtuman johdosta Vastaamo muun muassa teki uuden varmuuskopiointisuunnitelman, lisäsi järjestelmän monitorointia, päivitti omavalvontasuunnitelmansa sekä kasvatti palvelinympäristön muisti- ja levytilakapasiteettia.

Lue myös: "Tämä voi olla oleellinen tekijä, joka vaikuttaa Vastaamon tulevaisuuteen" – olisiko Vastaamo-tietomurto tullut heti ilmi ilman GDPR-asetusta?

IT-kaksikko tiesi ensin tietomurrosta?

Toistaiseksi tuntematon taho on lähettänyt Vastaamolle 28.9.2020 kiristysviestin, jossa on todettu, että hyökkääjällä on hallussaan Vastaamon potilastietokannan tietoja.

Kiristäjä on vaatinut maksamaan sillä uhalla, että muuten potilastietoja julkaistaan internetissä. Tapio on tehnyt itse asiasta tutkintapyynnön KRP:lle ja tämän lisäksi on tehty ilmoitukset Suomen kyberturvallisuuskeskukselle, Valviralle ja tietosuojavaltuutetulle.

Nixun teknisessä tutkinnassa potilastietokannan sisältänyt palvelin on ollut ilman palomuurisuojausta auki internetiin marraskuusta 2017 maaliskuuhun 2019. 

Nixun raportin löydökset ovat yhdistettävissä A:n palvelimelle marraskuussa 2017 tekemiin muutoksiin, jotka ovat todennäköinen syy palomuurisuojauksen puuttumiselle. A on tuolloin tehnyt palvelimen palomuurin määrittelyjä, kun hän on avannut palvelimelle etäkäyttöyhteyden ylläpitoa tai kehitystoimia varten.

Tässä yhteydessä Vastaamon normaalien tietoturvakäytäntöjen mukaiset toimenpiteet olivat kuitenkin Tapiolle toistaiseksi tuntemattomasta syystä johtuen jääneet tekemättä. Ennen A:n marraskuussa 2017 tekemiä toimia suojaukset olivat olleet kunnossa Shodan-hakukoneen tuloksien perusteella.

Nixun teknisessä tutkinnassa huomattiin, että tietokantapalvelimen tietokantaan on kirjauduttu luvatta ainakin kahdesti, 20.12.2018 sekä 15.3.2019. Tietojen kopioinnista ei palvelimen teknisessä tutkinnassa löytynyt viitteitä, mutta sitä ei voida palvelimelta löytyneiden tietojen pohjalta myöskään sulkea pois.

Lue myös: Vastaamo selvitystilaan – toiminta ja terapeuttien vastaanotot jatkuvat

Ensimmäisestä kirjautumisesta kertova todiste oli puutteellinen lokimerkintä, joka osoittaa kirjautumisen tapahtuneen 20.12.2018.

Toinen kirjautumistapahtuma liittyy 15.3.2019 tapahtuneeseen tietokantahäiriöön. Nixun tutkimuksen perusteella tällöin ulkopuolinen taho on luvattomasti kirjautunut tietokantaan, tuhonnut sen ja jättänyt tuotantotietokannan tilalle kiristysviestin.

Tutkintaraportin perusteella vaikuttaa todennäköiseltä, että A tai B on huomannut kiristysviestin 15.3.2019. Tutkinnassa ilmeni myös, että 18.3.–20.3.2019 välisenä ajanjaksona palvelimelle on asennettu tietoturvaohjelmistoja ja palomuuriasetuksia on kovennettu estämään suorat tietokantayhteydet. Asennukset on tehty IT-kaksikon yhteisellä pääkäyttäjätunnuksella.

Nixun tutkinnan mukaan todennäköisin syy tietokantavuodolle on ollut suojaamaton MySQL-portti, josta tietokanta on ladattu joskus marraskuun 2017 ja maaliskuun 2019 välisenä aikana. Alustavien löydösten johdosta A ja B siirrettiin syrjään asian selvittämisestä.

Löydösten perusteella hallituksen puheenjohtaja teki päätöksen siitä, että A vapautetaan toistaiseksi tehtävistään ja työsuhteen purkamista aletaan valmistelemaan ja varataan mahdollisuus vaatia häneltä vahingonkorvauksia.

Lue myös: Tietomurtoihin liittyvät kiristykset ovat lisääntyneet

Tapio vaati tietomurron salaamista?

Tietojärjestelmistä vastanneet A ja B olivat kertoneet konsultille Tapion olleen tietoinen 15.3.2019 tapahtuneesta tietomurrosta, ja että Tapio olisi vaatinut  IT-kaksikkoa salaamaan asian.

Ville Tapion näkemyksen mukaan A on aiheuttanut tietomurron mahdollistaneen tietoturva-aukon marraskuussa 2017, jolloin palvelimelle etäyhteys avattaessa on laiminlyöty normaalit suojaustoimenpiteet.

Tapion käsityksen mukaan etäyhteys on avattu B:n pyynnöstä, koska nimenomaan B:n tehtäviin ovat kuuluneet ohjelmiston ylläpito- ja kehitystehtävät. Lisäksi B:n vastuulla olisi omavalvontasuunnitelman mukaan ollut testata ja hyväksyä sellaiset järjestelmän muutokset, jotka koskettavat tietoturvaa.

Tapion mukaan tietoturva-aukko on siten syntynyt molempien toiminnan ja laiminlyöntien johdosta. Nixun raportista ilmenevällä tavalla 15.3.2019 klo 19.02 IT-kaksikon yhteisellä pääkäyttäjätunnuksella on luettu kiristysviesti, jonka jälkeen pääkäyttäjätunnuksella on tehty järjestelmän tietoturvan koventamistoimenpiteitä.

Näiden havaintojen perusteella on selvää, että mahdollisesti kumpikin, tai joka tapauksessa toinen heistä on ollut tietoinen tietomurrosta 15.3.2019.

Tapio on tullut tietoiseksi marraskuussa 2017 tapahtuneesta etäyhteyden avaamisesta ja siihen liittyvästä tietoturvatoimenpiteiden laiminlyönnistä vasta Nixun tutkimuksen jälkeen lokakuussa 2020. Samaten Tapio on tullut vasta Nixun tutkimuksen jälkeen tietoiseksi tutkimuksessa 20.12.2018 ja 15.3.2019 tapahtuneista tietomurroista ja aiempaan tietomurtoon liittyvästä kiristysviestistä.

Tapion mukaan on ilmeistä, että IT-kaksikon intressissä on ollut salata Tapiolta 15.3.2019 tapahtunut tietomurto, koska tietomurron syytä selvitettäessä olisi väistämättä paljastunut myös A:n ja B:n marraskuussa 2017 tekemä etäyhteyden avaaminen palvelimelle sekä tähän liittyvä suojaus- ja testaustoimenpiteiden laiminlyönti. Asia olisi paljastuessaan johtanut todennäköisesti IT-kaksikon työsuhteiden päättämiseen ja vahingonkorvauksiin.

Vasta Nixun löydösten ilmoittamisen jälkeen A ja B ovat (oletettavasti) väittäneet sisäisessä tutkinnassa, että myös Tapio olisi ollut tietoinen maaliskuussa 2019 ilmenneestä tietomurrosta.

Tähän ratkaisuun on oletettavasti vaikuttanut se, että tietoturva-aukon aiheuttaneilta sekä tietomurron riidattomasti IT-kaksikolta ei ole mahdollista saada käytännössä vahingonkorvausta heidän varallisuustilanteensa huomioon ottaen. Sen sijaan Tapion (ja hänen vanhempiensa) osalta hakija pyrkii nyt kaksikon väitteeseen tukeutuen saamaan lähes kymmenen miljoonaa euroa.

Lue myös: Yle: Vastaamon potilastiedot ilmeistyivät taas pimeään verkkoon

IT-kaksikko on Tapion mukaan aiheuttaneet tietoturva-aukon ja sen jälkeen salannut tietomurron, ja he ovat edelleen töissä Vastaamossa tätä vastausta kirjoitettaessa.

Tapio ei ole oman kertomansa mukaan ollut hakijan väittämällä tavalla tietoinen tietomurrosta tai tähän liittyvästä tietoturva-aukosta ennen kaupan tekemistä. Hän sanoo saaneensa tietää siitä samalla tavalla kuin hakija itsekin, Nixun tekemän tutkimuksen jälkeen lokakuun alussa 2020.