Tietomurron kohteeksi joutunut Psykoterapiakeskus Vastaamo ei kerro tietoturvansa aiemmasta tilasta: "Nyt on turvallista asioida"

Yrityksen hallituksen puheenjohtaja Tuomas Kahri vakuuttaa, että Vastaamossa on nyt turvallista asioida ja että toiminta jatkuu normaalisti.

Vastaamo kertoi keskiviikkona joutuneensa tietomurron ja kiristyksen kohteeksi, jolloin osan sen asiakkaista luottamuksellisia tietoja oli joutunut vääriin käsiin. Mediatietojen mukaan kiristäjä olisi vaatinut Vastaamolta noin 400 000 euron edestä virtuaalivaluutta bitcoineja.

Lue myös: Mitä tietoja psykoterapiassa kerätään? Käyttääkö terapeutti ruutuvihkoa?

Kahri sanoo, ettei meneillään olevan rikostutkinnan vuoksi voi kommentoida, millainen yrityksen tietoturva on ollut tietomurron tapahtuessa tai sitä ennen.

Kun Vastaamo sai tiedon tietomurrosta, asiasta tehtiin Kahrin mukaan heti rikosilmoitus sekä ilmoitukset Kyberturvallisuuskeskukseen, Valviralle ja tietosuojavaltuutetulle. Asiaa on selvitetty myös ulkopuolisten riippumattomien asiantuntijoiden kanssa.

– Tämän hetken tiedon mukaan kaikki tietojärjestelmät on tarkastettu ja vahvasti suojattu ja niiden käyttöä valvotaan tehostetusti tietoturva-ammattilaisten toimesta, Kahri sanoo.

Tietoturvan tilanne ennen tietomurtoa selvitetään Kahrin mukaan osana ammattilaisten tutkimusta.

Lue myös: Asiantuntija kertoo: näin helposti Vastaamon tietomurto olisi ollut estettävissä

– Heidän selvityksessään varmasti nousee esiin toimenpiteitä, joilla tietoturvaa voidaan vielä entisestään parantaa, ja luonnollisesti me toteutamme niitä sitten mahdollisimman nopeasti.

Kritiikkiä tietoturvajärjestelyille

Mediassa on esitetty arvostelua Vastaamon tietoturvasta. Esimerkiksi F-Securen tietoturvallisuusjohtaja Erka Koivunen on arvioinut Helsingin Sanomille, että vuodetuista tiedoista on nähtävissä, ettei niiden käsittelyssä ja säilyttämisessä ole nähty suurta vaivaa niiden salaamiseksi.

MTV:n haastattelussa Koivunen toi esille, että järjestelmissä on käytetty oletussalasanoja.

Lue myös: Kiristyksen kohteeksi joutuneen Vastaamon tietoturva selvitetään ja yhtiö joutuu pahimmillaan maksumieheksi

Toisen HS:n haastatteleman asiantuntijan mukaan useita Vastaamon verkkoja ylläpitäviä palvelimia on ollut päivittämättä jo vuosia. Lisäksi julkisesti on ollut nähtävillä verkko-osoitteita, jotka viittaavat suoraan yrityksen intranetiin ja potilasrekisteriin. HS:n haastateltavan mukaan hyökkäys on voinut toteutua tätä reittiä.

Vastaamon Tuomas Kahri ei vahvista, pitävätkö tiedot paikkansa.

– Jos sieltä löytyy tämäntyyppisiä alueita, joita täytyy kehittää, niitä tietysti ruvetaan kehittämään välittömästi.

Vastaamo tiedotti aiemmin viikolla, että tietomurron kohteena olisi ollut asiakasrekisteri vuoden 2018 marraskuulta.

Kaleva kertoo, että Vastaamon tietoja on voinut vuotaa vielä alkuvuodesta 2019. Kalevan mukaan Vastaamo on lähettänyt ainakin osalle asiakkaistaan viestin, jossa kerrotaan, että on todennäköistä, että yhtiön järjestelmään on tunkeuduttu myös marraskuun 2018 lopun ja maaliskuun 2019 välisenä aikana. Vastaamon mukaan sillä ei ole tiedossa, että tässä yhteydessä tietokanta olisi varastettu.

Kriisipuhelinnumero on auki

Apulaistietosuojavaltuutetun mukaan Vastaamon pitää ilmoittaa tapahtuneesta tietoturvaloukkauksesta asiakkailleen henkilökohtaisesti ja ilman aiheetonta viivytystä. Kaikille, joiden sähköpostiosoite on ollut tiedossa ja toiminnassa, on Kahrin mukaan lähetetty nyt sähköpostia asiasta.

Lue myös: Psykoterapiakeskus joutui tietomurron ja kiristyksen uhriksi – "Asiakkaidemme luottamuksellisia tietoja on vuotanut"

Jos sähköposti ei ole tiedossa, asiasta lähetetään postitse kirje. Jos osoitettakaan ei ole tiedossa, yhteyttä otetaan puhelimitse.

– Tämä on ollut sellainen ratkaisu, johon tietosuojavaltuutetun kanssa yhdessä keskustellessa on päädytty, Kahri sanoo.

Tietomurto on kohdistunut Kahrin mukaan yhteensä kymmenientuhansien asiakkaiden tietoihin.

Vastaamo avasi perjantaina kriisitukipuhelinnumeron, johon tukea tarvitsevat ihmiset voivat soittaa. Lisäksi yrityksen verkkosivuille on koottu toimintaohjeita ja vastauksia usein kysyttyihin kysymyksiin.

KRP:llä menossa iso tutkinta

Keskusrikospoliisi tutkii julkisuudessa ollutta arkaluontoiseen aineistoon kohdistunutta epäiltyä törkeää tietomurtoa ja törkeää yksityiselämää loukkaavaa tiedon levittämistä.

KRP ei kerro kyseisen yrityksen nimeä, mutta vahvistaa saaneensa yli 200 rikosilmoitusta ihmisiltä, jotka epäilevät, että heidän tietojaan olisi voinut tietomurron yhteydessä joutua vääriin käsiin. Tämä ei vielä automaattisesti tarkoita, että rikosilmoituksen tehneiden ihmisten tietoja olisi vuotanut rikoksesta epäillyn tai epäiltyjen haltuun.

KRP:stä kerrotaan, että viikonvaihteen aikana ei uutta tiedotettavaa tutkinnasta ole.