Vastaamo-oikeudenkäynnissä kuullaan työntekijöitä, joita ex-toimitusjohtaja Tapio pitää syypäinä tietoturvaongelmiin

Psykoterapiakeskus Vastaamoa koskevassa oikeudenkäynnissä kuullaan tänään todistajina kahta yrityksen entistä it-työntekijää, joita entinen toimitusjohtaja Ville Tapio on syyttänyt yrityksen tietoturvaongelmista.

Tapiota kuultiin oikeudessa perjantaina, jolloin hän sanoi, että työntekijät olivat tehneet "käsittämättömiä virheitä".

Tapio on syytettynä tietosuojarikoksesta, koska syyttäjän mukaan Tapio laiminlöi Vastaamon tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen kohdistuneesta tietomurrosta. Tapio kiistää syytteen täysin.

Työntekijöitä epäiltiin esitutkinnassa tietosuojarikoksesta Tapion ohella. Syyttäjä jätti kuitenkin syytteet nostamatta, koska hänen mukaansa heidän syyllisyytensä tueksi ei ollut todennäköisiä syitä.

Paikan päällä Helsingin käräjäoikeudessa kuullaan vain yhtä työntekijää. Syyttäjän mukaan toisella työntekijöistä on este saapua oikeuteen, joten salissa luetaan hänen esitutkintakertomuksensa.

Puolustus: Järjestelmä olisi ollut turvallinen oikein käytettynä

Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.

Tapion syytteessä on kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti. Syyttäjän mukaan ulkopuolinen taho murtautui 15. maaliskuuta 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti potilastietokantapalvelimelle kiristysviestin.

Syyttäjän mukaan tapahtuneen jälkeen Vastaamossa tehdyt toimenpiteet olivat riittämättömiä ja potilastietokannan turvallisuus oli vaarantuneena lokakuuhun 2020 saakka. Silloin Vastaamo kertoi joutuneensa kiristyksen kohteeksi, ja sen jälkeen selvitys ja poliisitutkinta tapahtumista aloitettiin.

Tapio sanoo, että kaksi it-osaston työntekijää vastasi Vastaamon tietoturvasta eikä heistä kumpikaan kertonut hänelle maaliskuun 2019 tietomurrosta sen tapahtuma-aikaan. Puolustuksen mukaan tietoturvaongelmien takana oli se, että työntekijät avasivat marraskuussa 2017 Vastaamon tietojärjestelmän suojaukset ja tietokantaportin internetiin ja jättivät sen auki.

Puolustus sanoo, että yrityksen tietojärjestelmä olisi oikein käytettynä ollut turvallinen ja työntekijät yrittävät vierittää vastuuta omista virheistään Tapiolle.

KRP:n mukaan Vastaamon tietoturva oli erittäin heikko

Keskusrikospoliisin (KRP) esitutkinnan aikana selvisi, että Vastaamolla oli tapahtunut useita tietomurtoja ja muita tietoturvapoikkeamia. KRP:n mukaan Vastaamon tietoturvaa paranneltiin vuosien varrella jonkin verran, mutta ongelmat eivät poistuneet.

– Vastaamolle lokakuussa 2020 tietoturvaa parantamaan palkatut asiantuntijat ovat kuvanneet Vastaamon tietoturvaa erityisen heikoksi, huonoksi ja alkeelliseksi sekä Vastaamon tapaa huolehtia tietoturvasta suhteessa heidän hallinnoimansa tiedon arkaluonteisuuteen selkeästi puutteelliseksi ja erittäin heikoksi, esitutkintapöytäkirjassa sanottiin.

KRP:n mukaan potilastietokannan käyttäjätunnuksen salasana on ollut seitsemän merkkiä pitkä ja selkokielinen. Se ei ole sisältänyt isoja kirjaimia tai erikoismerkkejä ja se oli ollut käytössä vuodesta 2012.

Lue myös: Uusia tietoja: Vastaamon palvelimia käytettiin kyberhyökkäykseen Venäjältä ja kryptovaluutan louhimiseen – "Ollaa iha v**un kusessa"

Vastaamoon kohdistunut epäilty törkeä tietomurto on vielä esitutkinnassa. Siitä epäiltynä on vangittu 25-vuotias mies.

Poliisi muistutti viime viikolla, että tietomurron uhreilla on edelleen mahdollisuus antaa asianomistajan lausuma poliisin sähköisessä asiointipalvelussa. Ensin asiasta on tehtävä rikosilmoitus. Myös sen voi tehdä nettipalvelussa.

Poliisi on saanut noin 6 500 tietomurtoon liittyvää rikosilmoitusta. Tietomurron asianomistajia kuullaan ensisijaisesti sähköisellä kaavakkeella. Lausuman antaneet pysyvät mukana rikosprosessissa ja saavat mahdollisuuden esittää vaatimuksensa asiassa.

Lue myös: Vastaamon tietomurrosta epäilty Aleksanteri Kivimäki pyrkii vapaaksi