Vastaamon tietoturvan taso: Potilastietokannan salasana oli 7 merkkiä pitkä, selkokielinen ja ollut käytössä vuodesta 2012
Keskusrikospoliisin (KRP) esitutkintamateriaali antaa murskaavan näkemyksen Psykoterapiakeskus Vastaamon tietoturvasta.
– Käytännössä kaikki suojaamiseen tarvittavat keinot, kuten palomuuri, VPN, salasanat, tietokannan salaaminen, pseudonymisointi, tietoturvatestaus sekä lokitus ja dokumentointi ovat olleet puutteellisia tai puuttuneet kokonaan, sanotaan julkiseksi tulleessa esitutkintamateriaalissa.
Esitutkinnan aikana selvisi, että Vastaamolla on tapahtunut useita tietomurtoja ja muita tietoturvapoikkeamia. Puutteiden ja osan poikkeamista epäillään olleen toimitusjohtajan ja it-henkilöstön tiedossa jo tapahtuma-aikaan.
– Tiedoista huolimatta esimerkiksi 15.3.2019 tapahtuneen tietomurron ja kiristyksen osalta asianmukaisia ilmoituksia ei ole viranomaisille tehty.
KRP:n mukaan Valviralle tehtiin noin kuukautta myöhemmin, 12. huhtikuuta 2019 poikkeamailmoitus huollon aiheuttamasta katkoksesta potilastietojärjestelmässä. Ilmoituksessa ei kuitenkaan mainittu mitään potilastietojen vaarantumisesta. Potilastietojen vaarantuminen tuli viranomaisten tietoon vasta 28. syyskuuta 2020 Vastaamoon kohdistuneen kiristyksen jälkeen.
Helsingin käräjäoikeudessa alkoi tänään Vastaamon entisen toimitusjohtajan tietoturvarikossyytteen käsittely. Syyttäjän mukaan Ville Tapio laiminlöi riittävästä tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta. Motiivina salailuun oli turvata tuleva yrityskauppa, syyttäjä katsoo. Tapio kiistää syytteen.
Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.
Keskusrikospoliisin tutkinnassa tietosuojarikoksesta epäiltiin Tapion lisäksi myös kahta henkilöä, jotka työskentelivät Vastaamon it-osastolla. Syyttäjä päätti kuitenkin, ettei heitä vastaan nosteta syytettä.
Asiantuntijat tietoturvasta: "Erityisen heikko, huono ja alkeellinen"
KRP:n mukaan Vastaamon tietoturvaa paranneltiin vuosien varrella jonkin verran. Siitä huolimatta lokakuussa 2020 tehdyssä teknisessä selvityksessä tietoturvassa havaittiin useita puutteita.
– Vastaamolle lokakuussa 2020 tietoturvaa parantamaan palkatut asiantuntijat ovat kuvanneet Vastaamon tietoturvaa erityisen heikoksi, huonoksi ja alkeelliseksi sekä Vastaamon tapaa huolehtia tietoturvasta suhteessa heidän hallinnoimansa tiedon arkaluonteisuuteen selkeästi puutteelliseksi ja erittäin heikoksi.
Asiantuntijoiden mukaan alan parhaita käytänteitä ei ollut käytetty missään vaiheessa, millään saralla.
– Esitutkinnan perusteella puutteita on IT-infrastruktuurin lisäksi ollut myös IT-henkilöstön osaamisessa, perehdytyksessä, koulutuksessa, resursoinnissa ja vastuualueissa sekä tietoturvaan liittyvässä budjetoinnissa ja riskienhallinnassa.
Käyttäjätunnusta ja salasanaa oli KRP:n mukaan jaettu salaamattomana
Esitutkintamateriaalissa on listattu Vastaamolla havaittuja lukuisia tietoturvapuutteita. KRP:n mukaan Vastaamon potilastietokannan käyttäjätunnuksen salasana on ollut seitsemän merkkiä pitkä ja selkokielinen. Se ei ole sisältänyt isoja kirjaimia tai erikoismerkkejä ja se on ollut käytössä vuodesta 2012.
– Vastaamolla on ollut käytössä heikkoja salasanoja ja samoja salasanoja on käytetty useissa paikoissa.
– Käyttäjätunnusta ja salasanaa on jaettu salaamattomana. Sama salasana on ollut käytössä myös hälytysjärjestelmissä ja koodisanana vartiointiliikkeillä.
Potilasrekisteripalvelimen pääkäyttäjätunnukselle ei ollut asetettu salasanaa ollenkaan, ja sille kirjautuminen on ollut sallittua internetistä.
Tutkinnassa selvisi myös, että työharjoittelijoille oli annettu ylläpitäjän oikeudet web-palvelimelle, joka sisälsi runsaasti asiakastietoja, muun muassa tiedot siitä, mitä vastaanottokäynti koski. Käyttöoikeuksista ei ollut pidetty mitään lokia..
KRP: Palomuuri on käytännössä päästänyt läpi kaiken liikenteen
Tutkinnan perusteella potilasrekisteripalvelin oli ilman palomuurisuojausta auki internetiin marraskuusta 2017 maaliskuuhun 2019.
– Palvelimen suojaaminen palomuurilla estää internetistä saapuvan liikenteen pääsyn palvelimen palveluihin käsiksi. Kyseisen palvelimen kohdalla tätä suojausta ei ollut otettu käyttöön.
KRP:n mukaan palomuuri on käytännössä päästänyt läpi kaiken liikenteen. Verkko saatiin muutettua vasta 4. marraskuuta 2020.
Tutkinnassa selvisi, että potilasrekisteripalvelimelle pystyi kirjautumaan internetistä ilman salattua VPN-yhteyttä. Potilastietojärjestelmässä oli lisäksi vanhentunut järjestelmäversio ja sen koodi oli kehitetty niin, ettei sitä voinut päivittää.
– Ympäristöä ei ollut segmentoitu. Eli jos pääsi sisään yhdelle palvelimelle, lähes rajoittamattomasti pääsi liikkumaan Vastaamon palvelinverkossa.
Työasemat eivät KRP:n mukaan olleet henkilökohtaisia, minkä lisäksi niillä oli puutteellinen kontrolli ja virustorjunta.
– Työasemissa ei ollut kryptausta, hallittua virustorjuntaa, työasemahallintaa tai työasemien yksityiskohtaisia lokeja. Ylläpitäjällä ei myöskään ollut näkyvyyttä yrityksen verkkoon.
Työntekijät käyttivät tutkinnan perusteella osittain omia koneitaan, joilla ei ollut mitään valvontaa. Töitä tehtiin etäyhteydellä, eikä potilastietojärjestelmää käytettäessä ollut käytössä VPN:ää.
KRP:n mukaan Tapio käsitteli potilastietokantaa tarpeettomasti suoraan palvelimelta.
– Kaikki tiedot (potilastietojärjestelmä, ostopalvelurekisteri ja henkilökunnan rekisteri) olivat samassa rekisterissä. Potilastietoja tallennettiin muistitikulle, papereita lojui missä sattuu ja laskuja lähti väärille henkilöille.
Näin syyttäjä ja puolustus kommentoivat tapausta:
Uusimmat
-
12:01
EK4: Rovanperältä jäätävä veto! Suomalaiset kaksoisjohdossa – MTV seuraa
-
12:01
Esapekka Lappi yllätti itsensäkin – puseroon hiipi poikkeuksellinen pelko: "Normaalisti tykkään, nyt en"
-
11:29
Nato-maasta löytynyt dronen sirpaleita läheltä Ukrainan rajaa
-
11:15
Putin löysi syyn hyökätä Naton lentokentille
-
11:02
Näin Suomeen saapuvat maailmantähdet lomailevat – himoitsevat erityisesti kolmea asiaa
-
10:58
Kovaa tekstiä Marko Anttilan suuntaan – Pekka Jormakan raivoaminen vaihtoaitiossa päätyi nauhalle
-
10:40
Kaunareista tuttu Maeve Quinlan muistelee suhdettaan edesmenneeseen Matthew Perryyn – tähden kuolema ei tullut shokkina: "En silti voinut uskoa, että se tapahtui"
-
10:38
Videolle tallentui raju turma: Betoniauto törmäsi koulubussiin, kyydissä yli 40 lasta – kaksi kuoli
-
10:36
Hyundai-tähdet erikoisissa puuhissa kesken Safari-rallin – tällaista ei kovin usein nähdä
-
10:33
Suomalainen sortuu usein väärään leipärasvavalintaan
-
10:07
Kiekkotähden tuuletukseen reagoitiin järkyttävästi – ex-seuran faneilla keitti yli
-
10:00
Ukrainassa massiivinen ilmahyökkäys: Kolme lämpövoimalaa vaurioitunut vakavasti
-
09:52
Onko Torinon käärinliina aito vai erinomainen väärennös?
-
09:44
Kananmunakikka, joka jokaisen kotikokin pitäisi osata
-
09:16
Ferrari-pomo pakeni eläintä – nauru raikui F1-kulisseissa: "Älkää näyttäkö sitä"
-
09:12
Tv:stä tuttu, siskonsa kanssa saman vartalon jakava Abby Hensel on mennyt naimisiin
-
09:02
Crossimopo pakeni vaarallisesti poliisia Helsingissä – tunnistatko kuskin videolta?
-
08:56
Zelenskyi: Ukraina ei ole valmis Venäjän seuraavaan suurhyökkäykseen
-
08:53
Pekka Toveri tietää, miksi Suomen sotilaat pystyisivät siihen, missä Ukrainan Leopardit ja Putinin tankit epäonnistuvat
-
08:52
Samuel, 20, suree: "Näin veljeni kuolemassa kännykän näytöltä" – pelaajan leski pöyristytti
-
Lataa lisää