Keskusrikospoliisin (KRP) esitutkintamateriaali antaa murskaavan näkemyksen Psykoterapiakeskus Vastaamon tietoturvasta.
– Käytännössä kaikki suojaamiseen tarvittavat keinot, kuten palomuuri, VPN, salasanat, tietokannan salaaminen, pseudonymisointi, tietoturvatestaus sekä lokitus ja dokumentointi ovat olleet puutteellisia tai puuttuneet kokonaan, sanotaan julkiseksi tulleessa esitutkintamateriaalissa.
Esitutkinnan aikana selvisi, että Vastaamolla on tapahtunut useita tietomurtoja ja muita tietoturvapoikkeamia. Puutteiden ja osan poikkeamista epäillään olleen toimitusjohtajan ja it-henkilöstön tiedossa jo tapahtuma-aikaan.
– Tiedoista huolimatta esimerkiksi 15.3.2019 tapahtuneen tietomurron ja kiristyksen osalta asianmukaisia ilmoituksia ei ole viranomaisille tehty.
Lue myös: Poliisi kertoo MTV:lle, miten iso takavarikko Tuusulassa paljasti Vastaamo-jutun pääepäillyn – tietomurtajaa vastaan on vahvaa näyttöä
KRP:n mukaan Valviralle tehtiin noin kuukautta myöhemmin, 12. huhtikuuta 2019 poikkeamailmoitus huollon aiheuttamasta katkoksesta potilastietojärjestelmässä. Ilmoituksessa ei kuitenkaan mainittu mitään potilastietojen vaarantumisesta. Potilastietojen vaarantuminen tuli viranomaisten tietoon vasta 28. syyskuuta 2020 Vastaamoon kohdistuneen kiristyksen jälkeen.
Helsingin käräjäoikeudessa alkoi tänään Vastaamon entisen toimitusjohtajan tietoturvarikossyytteen käsittely. Syyttäjän mukaan Ville Tapio laiminlöi riittävästä tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta. Motiivina salailuun oli turvata tuleva yrityskauppa, syyttäjä katsoo. Tapio kiistää syytteen.
Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.
Keskusrikospoliisin tutkinnassa tietosuojarikoksesta epäiltiin Tapion lisäksi myös kahta henkilöä, jotka työskentelivät Vastaamon it-osastolla. Syyttäjä päätti kuitenkin, ettei heitä vastaan nosteta syytettä.
0:45
Asiantuntijat tietoturvasta: "Erityisen heikko, huono ja alkeellinen"
KRP:n mukaan Vastaamon tietoturvaa paranneltiin vuosien varrella jonkin verran. Siitä huolimatta lokakuussa 2020 tehdyssä teknisessä selvityksessä tietoturvassa havaittiin useita puutteita.
– Vastaamolle lokakuussa 2020 tietoturvaa parantamaan palkatut asiantuntijat ovat kuvanneet Vastaamon tietoturvaa erityisen heikoksi, huonoksi ja alkeelliseksi sekä Vastaamon tapaa huolehtia tietoturvasta suhteessa heidän hallinnoimansa tiedon arkaluonteisuuteen selkeästi puutteelliseksi ja erittäin heikoksi.
Asiantuntijoiden mukaan alan parhaita käytänteitä ei ollut käytetty missään vaiheessa, millään saralla.
– Esitutkinnan perusteella puutteita on IT-infrastruktuurin lisäksi ollut myös IT-henkilöstön osaamisessa, perehdytyksessä, koulutuksessa, resursoinnissa ja vastuualueissa sekä tietoturvaan liittyvässä budjetoinnissa ja riskienhallinnassa.
Käyttäjätunnusta ja salasanaa oli KRP:n mukaan jaettu salaamattomana
Esitutkintamateriaalissa on listattu Vastaamolla havaittuja lukuisia tietoturvapuutteita. KRP:n mukaan Vastaamon potilastietokannan käyttäjätunnuksen salasana on ollut seitsemän merkkiä pitkä ja selkokielinen. Se ei ole sisältänyt isoja kirjaimia tai erikoismerkkejä ja se on ollut käytössä vuodesta 2012.
– Vastaamolla on ollut käytössä heikkoja salasanoja ja samoja salasanoja on käytetty useissa paikoissa.
– Käyttäjätunnusta ja salasanaa on jaettu salaamattomana. Sama salasana on ollut käytössä myös hälytysjärjestelmissä ja koodisanana vartiointiliikkeillä.
Potilasrekisteripalvelimen pääkäyttäjätunnukselle ei ollut asetettu salasanaa ollenkaan, ja sille kirjautuminen on ollut sallittua internetistä.
Tutkinnassa selvisi myös, että työharjoittelijoille oli annettu ylläpitäjän oikeudet web-palvelimelle, joka sisälsi runsaasti asiakastietoja, muun muassa tiedot siitä, mitä vastaanottokäynti koski. Käyttöoikeuksista ei ollut pidetty mitään lokia..
KRP: Palomuuri on käytännössä päästänyt läpi kaiken liikenteen
Tutkinnan perusteella potilasrekisteripalvelin oli ilman palomuurisuojausta auki internetiin marraskuusta 2017 maaliskuuhun 2019.
– Palvelimen suojaaminen palomuurilla estää internetistä saapuvan liikenteen pääsyn palvelimen palveluihin käsiksi. Kyseisen palvelimen kohdalla tätä suojausta ei ollut otettu käyttöön.
KRP:n mukaan palomuuri on käytännössä päästänyt läpi kaiken liikenteen. Verkko saatiin muutettua vasta 4. marraskuuta 2020.
Tutkinnassa selvisi, että potilasrekisteripalvelimelle pystyi kirjautumaan internetistä ilman salattua VPN-yhteyttä. Potilastietojärjestelmässä oli lisäksi vanhentunut järjestelmäversio ja sen koodi oli kehitetty niin, ettei sitä voinut päivittää.
– Ympäristöä ei ollut segmentoitu. Eli jos pääsi sisään yhdelle palvelimelle, lähes rajoittamattomasti pääsi liikkumaan Vastaamon palvelinverkossa.
Työasemat eivät KRP:n mukaan olleet henkilökohtaisia, minkä lisäksi niillä oli puutteellinen kontrolli ja virustorjunta.
– Työasemissa ei ollut kryptausta, hallittua virustorjuntaa, työasemahallintaa tai työasemien yksityiskohtaisia lokeja. Ylläpitäjällä ei myöskään ollut näkyvyyttä yrityksen verkkoon.
Työntekijät käyttivät tutkinnan perusteella osittain omia koneitaan, joilla ei ollut mitään valvontaa. Töitä tehtiin etäyhteydellä, eikä potilastietojärjestelmää käytettäessä ollut käytössä VPN:ää.
KRP:n mukaan Tapio käsitteli potilastietokantaa tarpeettomasti suoraan palvelimelta.
– Kaikki tiedot (potilastietojärjestelmä, ostopalvelurekisteri ja henkilökunnan rekisteri) olivat samassa rekisterissä. Potilastietoja tallennettiin muistitikulle, papereita lojui missä sattuu ja laskuja lähti väärille henkilöille.
Näin syyttäjä ja puolustus kommentoivat tapausta:
3:30
