Keskusrikospoliisin (KRP) esitutkintamateriaali antaa murskaavan näkemyksen Psykoterapiakeskus Vastaamon tietoturvasta.
– Käytännössä kaikki suojaamiseen tarvittavat keinot, kuten palomuuri, VPN, salasanat, tietokannan salaaminen, pseudonymisointi, tietoturvatestaus sekä lokitus ja dokumentointi ovat olleet puutteellisia tai puuttuneet kokonaan, sanotaan julkiseksi tulleessa esitutkintamateriaalissa.
Esitutkinnan aikana selvisi, että Vastaamolla on tapahtunut useita tietomurtoja ja muita tietoturvapoikkeamia. Puutteiden ja osan poikkeamista epäillään olleen toimitusjohtajan ja it-henkilöstön tiedossa jo tapahtuma-aikaan.
– Tiedoista huolimatta esimerkiksi 15.3.2019 tapahtuneen tietomurron ja kiristyksen osalta asianmukaisia ilmoituksia ei ole viranomaisille tehty.
Lue myös: Poliisi kertoo MTV:lle, miten iso takavarikko Tuusulassa paljasti Vastaamo-jutun pääepäillyn – tietomurtajaa vastaan on vahvaa näyttöä
KRP:n mukaan Valviralle tehtiin noin kuukautta myöhemmin, 12. huhtikuuta 2019 poikkeamailmoitus huollon aiheuttamasta katkoksesta potilastietojärjestelmässä. Ilmoituksessa ei kuitenkaan mainittu mitään potilastietojen vaarantumisesta. Potilastietojen vaarantuminen tuli viranomaisten tietoon vasta 28. syyskuuta 2020 Vastaamoon kohdistuneen kiristyksen jälkeen.
Helsingin käräjäoikeudessa alkoi tänään Vastaamon entisen toimitusjohtajan tietoturvarikossyytteen käsittely. Syyttäjän mukaan laiminlöi riittävästä tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta. Motiivina salailuun oli turvata tuleva yrityskauppa, syyttäjä katsoo. Tapio kiistää syytteen.
