Kaksi psykoterapiakeskus Vastaamon IT-osastolla työskennellyttä henkilöä vältti syytteet Vastaamon tietomurtoa koskevassa asiassa. Heidän kertomuksensa langettaa synkän varjon Vastaamon entisen toimitusjohtaja Ville Tapion ylle.
Syyttäjälaitos kertoi tänään, että Tapiota vastaan on nostettu syyte tietosuojarikoksesta. Vastaamoon kohdistui yhtiön mukaan tietomurto marraskuussa 2018 ja maaliskuussa 2019.
Keskusrikospoliisin tutkinnassa tietosuojarikoksesta epäiltiin Ville Tapion lisäksi myös kahta henkilöä, jotka työskentelivät Vastaamon IT-osastolla. Syyttäjä päätyi kuitenkin jättämään syytteet heitä vastaan nostamatta, koska heidän syyllisyytensä tueksi ei syyttäjän mukaan ollut olemassa todennäköisiä syitä.
Syyttäjä katsoi, että IT-henkilöillä ei ollut tosiasiallisia mahdollisuuksia järjestää yrityksen tietoturvaa jo siksi, että he olivat ylityöllistettyjä ja aliresursoituja, vaikka olivat viestittäneet johdolle tietoturvan puutteista ja hankintatarpeista. Resursseista IT- ja tietoturva-asioihin vastasi toimitusjohtaja Ville Tapio, joka todistajienkin mukaan torppasi IT-osaston resurssi- ja hankintapyynnöt.
Tietosuojan sijaan "fokus oli siinä, että firma tuottaa hyvin"
Eräs Vastaamossa työskennellyt henkilö kertoi kuulusteluissa, että "Vastaamon tietoturva ja tietosuoja-asiat olleet yhtiössä juurikaan etusijalla, vaan fokus oli siinä, että firma tuottaa hyvin".
Hänelle tietomurto ei ollut lainkaan yllätys, sillä hän tiesi suojausten heikkoudesta ja IT-työntekijöiden huolesta asiaan liittyen.
Kuulusteluissa kävi myös ilmi, että tietoturvan ja IT:n rahallisen resursoinnin sijaan pääpaino oli yrityksen laajenemisessa ja uusien toimipisteiden perustamisessa. IT-osaston resurssipula näkyi esimerkiksi kuukausien viiveenä henkilöstön työtehtävien hoitamisessa.
Erään todistajan mukaan Vastaamon budjetit IT-puolelle olivat aivan liian alhaisia. Töitä tehtiin hänen mukaansa lähinnä ilmaisin työkaluin, ja jopa ohjelmien piraattiversioin.
Erään todistajan mukaan Tapio oli ilmaissut koulutusten esimerkiksi tietosuojasta olleen työntekijöiden ajan väärinkäyttöä.
– Vastaamon tietoturvaasiat ovat olleet suorastaan kaaoksessa, mitä tulee käytettävissä olleisiin resursseihin, budjettiin, riittävän ammattitaidon käyttämiseen ja hyödyntämiseen, koulutukseen ja osaamiseen, syyttäjä katsoi päätöksessään.
5:11
Kymmeniä tietoturvapoikkeamia
Tutkinta paljasti myös, että Vastaamolla on tapahtunut usean vuoden kuluessa useita tietomurtoja ja muita tietoturvapoikkeamia. Esitutkintaan on kirjattu syyttäjän mukaan yhteensä noin 40 erilaista tapahtumaa, joita voidaan pitää riskeiltään eri tasoisina tietoturvapoikkeamina.
Esitutkinnassa ilmi tulleiden viitteiden mukaan Vastaamolle kuuluva verkko-osoite oli päätynyt rikollisten etähallinnassa osaksi niin sanottua bottiverkkoa. Lisäksi ongelmiin viittaavat se, että sähköpostin kanssa oli ongelmia roskapostin lähettämiseen sekä murrettuihin ja vuodettuihin salasanoihin liittyen.
Syynä ongelmiin oli se, että Vastaamon tietoturvassa oli useita ja merkittäviä puutteita. Olennaisimmat ja vakavimmat tietoturvapoikkeamat ajoittuivat vuosille 2017–2019. Noiden vuosien aikana Vastaamon potilastiedot sisältävä tietokanta oli ollut avoinna internettiin.
Potilasrekisteriin pääsi netistä ilman salasanaa
Marraskuussa 2018 Vastaamon potilastietojärjestelmän on asiantuntijoiden mukaan voinut siirtyä lähes gigatavun verran tietoa ruotsalaisen palveluntarjoajan IP-osoitteeseen. KRP:n mukaan potilastietokanta on ladattu Vastaamon potilasrekisteripalvelimelta kokonaisuudessaan.
Tutkinnassa ilmeni, että potilasrekisterin käyttäjätunnuksella ”root" ei ole ollut lainkaan salasanaa, eli se oli täysin avoin verkkoon.
Poistettujen lokitiedostojen perusteella myös erilaisiin haittaohjelmakampanjoihin yhdistetty yhdysvaltalainen IP-osoite kirjautui samaisella "root"-tunnuksella.
Lue myös: Vastaamon entinen toimitusjohtaja Ylelle: Tietomurto saattoi olla sisäpiirin rikos
Kiristysviesti jo edellisenä vuonna
Maaliskuussa 2019 ulkopuolinen taho kirjautui on luvattomasti Vastaamon potilastietokantaan, tuhosi sen ja jätti tilalle kiristysviestin, jolla tietokannan palauttamisesta vaadittiin Bitcoineja. Selkeitä todisteita varkaudesta ei ollut, mutta mahdollisuus tähän oli olemassa.
Poliisin esitutkinnassa on syyttäjän mukaan tullut luotettavasti selvitetyksi, että sekä toimitusjohtaja että tietohallintohenkilöt tiesivät tietomurrosta ja kiristyksestä välittömästi tapahtumien jälkeen.
Syyttämättäjättämispäätöksen mukaan toimitusjohtaja oli vaatinut, että tiedot pitää palauttaa ja kaikki kiristykseen viittaavat tiedot tulee salata ja tähän liittyvät asiat peittää hyvin. Viranomaisille ilmoittamisen sijaan Vastaamon oli keskittynyt palauttamaan hävinneet tiedot kiireellisesti.
Toinen tietohallintohenkilöistä on esitutkinnassa kertonut joutuneensa toimitusjohtajan painostamaksi. Hänelle oli kertomansa mukaan sanottu, että "jos asia paljastuu, hän on heti tulilinjalla".
– Tapio oli tietoinen tietomurrosta ja kiristyksestä ja oli päättänyt, ettei asiaa ole tapahtunut eikä sitä ollut tarpeen saattaa viranomaisten tietoon, kirjoittaa syyttäjä.
Tietojen häviämisen syyksi ilmoitettiin tietomurron sijaan ”tietojärjestelmän kaatuminen” sekä järjestelmän huollossa on tapahtunut virhe. Tiedot onnistuttiin kuitenkin lopulta palauttamaan palvelimelle.
Esitutkintaan on liitetty skype-keskusteluja, joissa toimitusjohtaja ja tietohallintohenkilöt keskustelevat tietoturvapoikkeaman selvittelystä. Toimitusjohtaja on kuitenkin esitutkinnassa kiistänyt tienneensä tapahtumien syistä ja väittänyt, että kiristys ja tietomurto salattiin häneltä, kerrotaan syyttämättäjättämispäätöksessä.
Lue myös: Vastaamon entistä toimitusjohtajaa vastaan nostettu syyte tietosuojarikoksesta
Yhtiö joutui taas kiristyksen kohteeksi
Vastaamon kiristysvyyhti käynnistyi 28. syyskuuta 2020, kun Vastaamon toimitusjohtaja Ville Tapio ja IT-osaston järjestelmäarkkitehdit saivat sähköpostilla kiristysviestin, jossa kiristäjä kertoi saaneensa haltuunsa koko Vastaamon potilasrekisterin. Kolmella sähköpostiviestillä hyökkääjä toimitti todisteena asiasta kolme näytettä potilastietokannasta.
Kiristäjä myös ilmoitti ladanneensa tiedot muutama kuukausi ennen tekoa suoraan Vastaamon potilastiedot sisältävästä tietokannasta, joka oli avoinna verkkoon Vastaamon potilasrekisterin IP-osoitteesta.
Vastaamo teki viestiä seuraavana päivänä rikosilmoituksen poliisille. Myöhemmin yhtiö kertoi joutuneensa kiristyksen kohteeksi. Asiakkaiden tietoja julkaistiin netissä ja heiltä vaadittiin lunnaita tietojen levittämisen uhalla.
Vastaamo hakeutui sittemmin konkurssiin. Helsingin käräjäoikeus teki konkurssiratkaisun helmikuussa 2021.
Selvitysten mukaan yrityksen tietoturvassa oli ongelmia vielä vuoden 2020 lokakuussakin. Esimerkiksi asiakkaiden tietojen tallentamisessa ja salaamisessa oli puutteita. Poliisin kuuleman todistajan mukaan paljastuneen kiristystapauksen jälkeen tietoturvaohjelmistot ja palomuuri asennettiin minimitasolle, muttei sille tasolle, mitä palvelimen arkaluonteiset tiedot olisivat vaatineet.
Ex-toimitusjohtajan asianajaja: Tapion syyttäminen "täysin kohtuutonta"
Tutkinnanjohtaja Marko Leponen KRP:stä kertoi aiemmin syyskuussa, että epäillyssä huolimattomuudessa ei ole kyse yksittäisestä teosta, vaan pidemmästä aikavälistä. Esitutkinnassa on hänen mukaansa tarkasteltu ajanjaksoa, joka alkaa yli kaksi vuotta ennen ensimmäistä tiedossa olevaa tietomurtoa.
Vastaamon entinen toimitusjohtaja Ville Tapio ei tiistaina kommentoinut syytettään STT:lle. Hänen asianajajansa Liina Kokko kertoi, että Tapio kiistää syytteen tietosuojarikoksesta.
– Hän ei ole laiminlyönyt mitään vastuitaan, vaan on toiminut huolellisesti Vastaamon toimitusjohtajana. Hänestä on perusteettomasti tehty se henkilö, jonka vastuulle Vastaamon tietomurto on päätetty kaataa. Hänen syyttämisensä asiasta on täysin kohtuutonta, sanoo Kokko.
Lue myös: MTV:n tiedot: Tapioiden perhe tuomittiin miljoonakorvauksiin Vastaamosta – näin Ville Tapio kommentoi
Tietomurron ja kiristyksen tutkinta jatkuu
Vastaamon tietomurto- ja kiristysepäilyt puolestaan ovat edelleen poliisitutkinnassa. Päätutkintalinja viittaa Euroopan ulkopuolelle, mutta KRP ei ole sulkenut pois sitäkään mahdollisuutta että tekijät tai osa heistä olisi suomalaisia.
Keskusrikospoliisin mukaan tietomurron ja kiristyksen välisen ajan perusteella on mahdollista, että tietomurron tekijä ja kiristäjä ovat eri taho. Poliisi ei ole tarkentanut, mistä maasta tai maista on kyse tai montako epäiltyä tässä vaiheessa on.
Poliisin mukaan Vastaamon tietokannassa oli noin 33 000 ihmisen tiedot. Noin 22 000 ihmistä on tehnyt asiassa tutkintapyynnön, ja noin 6 000 on antanut täydentävän lausuman.
Poliisin tietoon on tullut noin sata tapausta vuodettujen tietojen väärinkäytöstä. Lisäksi poliisille on saapunut noin 10–15 rikosilmoitusta siitä, että kiristäjille on maksettu vaadittuja lunnaita.
Lue myös: Vastaamon tietomurtajan kiristysviesti mullisti "Mervin" loppuelämän: "Joudun elämään pelossa" – tietosuojarikos syksyllä syyteharkintaan
7:54