Vastaamon ex-toimitusjohtaja Ville Tapio puolustautuu MTV Uutisille: "Vastuu potilasrekisteristä oli muilla"

Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio sanoo MTV Uutisten haastattelussa, että hänellä ei ole ollut mitään tekemistä yrityksen tietojärjestelmien tai tietoturvan kanssa.

Tapion mukaan hän on ollut vastuussa ainoastaan tietoturvan resurssoinnista ja mahdollisuuksista järjestää tietoturvaa, joten vastuu tietojärjestelmistä ja potilasrekisteristä oli muilla henkilöillä. 

– En ole itse tietoturva-asiantuntija ja toisin kuin julkisuudessa on väitetty, en ole itse Vastaamon järjestelmää kehittänyt enkä olisi ollut ammatillisesti pätevä vastaamaan potilastietorekisteristäkään, sanoo Tapio.

– Tässä on ollut paljon väärää tietoa sen takia, että en ole voinut julkisesti kommentoida asioiden ollessa kesken. Minulla on ollut salassapitovelvollisuus siitä saakka, kun minut on toimitusjohtajana irtisanottu Vastaamosta.

MTV kertoi eilen välimiesoikeudessa määrätystä 8 miljoonan vahingonkorvauksesta Vastaamon ostaneelle yritykselle.

Pääomistaja ja entinen toimitusjohtaja Ville Tapio tuomittiin palauttamaan saamansa kauppasumma kokonaisuudessaan. Myös miehen vanhemmat Nina Tapio ja Perttu Tapio tuomittiin palauttamaan osan saamastaan kauppasummasta.

Lue myös: MTV:n tiedot: Tapioiden perhe tuomittiin miljoonakorvauksiin Vastaamosta – näin Ville Tapio kommentoi

"Ei pysty järjellä selittämään"

Tapio pohtii tällä hetkellä mahdollisen moitekanteen nostamista.

– Vielä en tiedä. Prosessi on vielä kesken tämän asian osalta.

Hän sanoo, että Vastaamossa käytössä ollut tietoturvainfrastruktuuri olisi mahdollistanut potilastietojen asianmukaisen suojaamisen. Käytössä oli yhdeksän eri suojaustasoa, jotka hänen tekemänsä valituksen mukaan oli kukin erikseen poistettu käytöstä.

– On tapahtunut jotain, mitä ei pysty järjellä selittämään. Kaikki yhdeksän käytettävissä ollutta suojaustasoa on pitänyt tietoisesti kytkeä pois päältä. Niistä suurin osa on päällä oletuksena eli ne eivät ole voineet esimerkiksi jäädä vahingossa laittamatta päälle, hän väittää.

– On iso selvittämätön asia, että miksi ja kenen toimesta näin on toimittu, mutta se viittaa siihen, että näin on tehty Vastaamon sisäisen ylläpidon kautta.

Tietoihin tunkeuduttiin kahdesti, ilmoituksessa kesti

Tietosuojavaltuutetun toimisto on tutkinut Vastaamoa rekisteriä pitävänä yrityksenä tietosuojarikkomuksesta. Valtuutetun viime vuoden joulukuussa tekemästä päätöksestä käy ilmi, että potilastietojärjestelmän palvelimen ylläpito ei ollut riittävän turvallista. Tämä altisti palvelimen verkkohyökkäyksille.

Tietoturvayhtiö Nixun tekemässä teknisessä tutkinnassa löytyi todennäköinen syy potilastietojen vuodolle. Kyseessä oli suojaamaton MySQL-portti, jossa tietokannan pääkäyttäjätunnusta ei ollut suojattu salasanalla. Käyttäjätunnukselle oli myös annettu oikeus kirjautua tietokantaan mistä tahansa IP-osoitteesta.

Potilastietokannan palvelimen todettiin olleen ilman palomuurisuojausta auki internetiin vähintään 26.11.2017 ja 13.3.2019 välisen ajan.

Tietoturvayhtiö Nixun lokakuussa 2020 valmistuneen teknisen tutkinnan perusteella ulkopuolinen taho on päässyt kirjautumaan Vastaamon potilastietokantaan luvatta ainakin kaksi kertaa, joulukuussa 2018 ja maaliskuussa 2019.

Psykoterapiakeskus Vastaamo ilmoitti tietosuojavaltuutetulle potilastietokantaan kohdistuneesta hyökkäyksestä vasta syyskuussa 2020.

Tapio: Vastuu kaadettu yksin niskaani

Tapio syyttää tietoturvatasojen tahallisesta rikkomisesta muita Vastaamossa työskennelleitä henkilöitä. Hän itse sanoo tehneensä toimitusjohtajana tarvittavan, että tietoturva olisi ollut asianmukaisella tasolla.

– Käytännössä toimitusjohtajana olen johtanut 300 henkilön organisaatiota, jossa on ollut tietoturvan hoitaminen vastuutettu toiselle henkilölle, ja näiden järjestelmien kehittäminen ja ylläpito toisille henkilöille.

– Järjestämisvastuu tietoturvasta, mikä on kaadettu yksin minun niskaani, oli Vastaamossa järjestetty täysin toisella tavalla kuin mitä Vastaamo on tietosuojavaltuutetulle kuvannut, Tapio väittää.

Apulaistietosuojavaltuutettu antoi Vastaamolle huomautuksen tietosuoja-asetuksen rikkomisesta. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi lisäksi Vastaamolle 608 000 euron suuruisen hallinnollisen seuraamusmaksun. Päätös ei ole vielä lainvoimainen.

Entistä toimitusjohtajaa vastaan ei ole ainakaan toistaiseksi nostettu rikossyytettä.

Lue myös: Vastaamon tietomurron uhriksi joutunut: "Ansaitsisimme edes oikeutta" – sijoittavat saavat rahansa takaisin

*Päivitys kello 20.46: Korjattu Tapion lausuma kohta, jossa sanottiin "On iso selvittämätön asia, että miksi ja kenen toimesta näin on toimittu, mutta se viittaa siihen, että näitä ei ole tehty Vastaamon sisäisen ylläpidon kautta" muotoon "On iso selvittämätön asia, että miksi ja kenen toimesta näin on toimittu, mutta se viittaa siihen, että näin on tehty Vastaamon sisäisen ylläpidon kautta."