Uudet tiedot: Vastaamon potilaiden tiedot olivat ehkä jopa vuosia suojaamatta netissä – tietoturva-asiantuntija: "Älyvapaata"

Vastaamon perustaja Ville Tapio vierittää vastuuta tietomurrosta entisten alaistensa niskoille.

Vastaamon tietomurto tuli julkisuuteen marraskuussa 2020. Kuva: Silja Viitala / Yle

Psykoterapiakeskus Vastaamon potilastiedot olivat verkossa ilman kunnollista suojausta jopa puolentoista vuoden ajan, selviää julkiseksi tulleista oikeuden asiakirjoista.

Kymmenien tuhansien suomalaisten potilastiedot päätyivät vääriin käsiin, kun verkkorikolliset murtautuivat Vastaamon tietokantaan vuosina 2018–2019. Yrityksen perustaja Ville Tapio avaa Helsingin käräjäoikeudelle antamassaan vastauksessa tapahtumien taustoja.

Tapio on väitetty tienneen tietomurrosta jo maaliskuusta 2019 asti ja pimittäneen tietoa siitä. Vastauksessaan hän kuitenkin vierittää syyllisyyttä kahden alaisensa niskoille. Alaiset vastasivat Vastaamon tietoturvasta.

Tapion mukaan toinen alaisista teki marraskuussa 2017 muutoksia palvelimelle, jolla yrityksen potilastiedot sijaitsivat. Muutosten jälkeen potilastiedot olivat avoimessa verkossa ilman palomuurisuojausta maaliskuuhun 2019 asti.

Maaliskuussa 2019 Vastaamon tietokantaan kohdistui murto. Kiristäjä tuhosi tietokannan ja jätti tilalle kiristysviestin. Tapion mukaan tietoturvavastaavat tai ainakin toinen heistä tiesi murrosta, mutta kukaan ei kertonut eteenpäin.

Tapio perustaa kertomuksensa tietoturvayhtiö Nixun tekemään raporttiin. Samalla hän edelleen kiistää tienneensä tietomurrosta ennen vuoden 2020 lokakuussa saapunutta kiristysviestiä, jonka jälkeen tapaus levisi julkisuuteen.

Tietoturvavastaavat ilmiantoivat pomonsa

Osapuolten kuvaus tapahtumien kulusta on ristiriitainen. Tapion mukaan tietoturva-asiantuntijat väittävät hänen olleen tietoinen tietomurrosta. Kun alaisten versio tapahtumista tuli Vastaamon hallituksen tietoon, Tapio sai potkut.

– Tapio on käytännössä jo julkisuudessa tuomittu ilman puolustautumismahdollisuuksia ja hän on muun muassa saanut väitteen johdosta useita tappouhkauksia, käräjäoikeudelle annetussa vastauksessa kerrotaan.

Vastaamon tietomurron jälkeen Yle pyysi Ville Tapiolta haastattelua useaan otteeseen, mutta häntä ei tavoitettu.

Ville Tapio erotettiin Vastaamon toimitusjohtajan paikalta. Hänen väitetään pimittäneen tietomurtoa yritykseltä. Kuva: Jari Kovalainen / Yle

Ville Tapio ja hänen vanhempansa myivät 70 prosenttia Vastaamon osakkeista pääomasijoittaja Intera Partnersille. Kauppahintaa ei ole julkistettu, mutta Tapiot tekivät miljoonatilin.

Tietomurron paljastuttua Interan holding-yhtiö PTK Midco Oy ilmoitti peruvansa kaupat. Uuden omistajan mukaan Vastaamoa ei olisi ostettu, mikäli tietomurrosta olisi tiedetty. Lisäksi Tapioilta vaaditaan ainakin kymmenen miljoonan euron vahingonkorvauksia.

Helsingin Sanomien mukaan uusi omistaja on tehnyt myös poliisille tutkintapyynnön yrityskaupasta.

Tietoturva-asiantuntija: "Voin vain aavistella, miksi palomuuri on avattu"

Tässä jutussa olevat tiedot Nixun raportista perustuvat Ville Tapion oikeudelle antamaan vastaukseen. Nixu ei suostu vahvistamaan tai kieltämään Tapion esittämiä väitteitä. Oikeus on saanut myös itse raportin, mutta se ei ole julkinen.

Jos Tapion kertomat yksityiskohdat tietomurrosta pitävät paikkansa, yrityksessä on laiminlyöty tietoturvaa vakavasti. F-Securen tietoturvajohtaja Erka Koivunen muistuttaa, että potilastietokanta on salassa pidettävää tietoa, joka on yrityksen liiketoiminnan kannalta kriittistä.

– On ihan älyvapaata jättää [tietokannan sisältävä palvelin] huonosti suojattuna nettiin. Voin vain aavistella, miksi palomuuri on avattu ja miksi sitä ei ole koskaan suljettu, hän sanoo.

– Tuskin sitä kukaan on voinut tietoisesti tehdä. Mutta ehkä ylläpitäjät ovat ajatelleet, että se on vain yksi palvelin muiden joukossa.

Koivunen painottaa, että hän kommentoi Vastaamon tietomurtoa julkisuudessa olleiden tietojen pohjalta. Hänen mukaansa yrityksen on muistettava jatkuvasti testata oman tietoturvansa toimivuutta. Nyt vaikuttaa siltä, että Vastaamossa on "unohdettu" erityisen tärkeä palvelin pitkäksi aikaa haavoittuvaan tilaan.

Onko hyökkäyksiä ollut enemmänkin?

Oikeuden asiakirjojen perusteella Nixu on selvittänyt Vastaamon heikkouksia jälkikäteen Shodan-hakukoneella. Samaa menetelmää käyttävät Koivusen mukaan myös hakkerit, jotka etsivät haavoittuvuuksia järjestelmistä.

Jos Vastaamon potilastiedot ovat olleet netissä suojaamatta puolentoista vuoden ajan, hyökkääjiä on ehtinyt olla useita.

– Nyt olisi tärkeä tietää, kuinka moni on tallentunut lokeihin, kuinka moni on päässyt sisään ja kuinka moni on hyödyntänyt sisäänpääsyä.

"Hän olisi maksanut kiristäjälle rahamäärän kaikessa hiljaisuudessa"

Ville Tapion mukaan tietoturvavastaavat jättivät kertomatta maaliskuussa 2019 tapahtuneesta hyökkäyksestä. Jos väite pitää paikkansa, se ei Koivusen mukaan olisi valitettavasti ainutlaatuinen tapaus yritysmaailmassa.

– Syitä siihen voi olla useita. Yrityksen johto voi suhtautua tietoturvaan välinpitämättömästi tai sitten organisaatiossa voi olla kulttuuri, jossa virheistä rokotetaan.

Ville Tapio kertoo oikeudelle antamassaan lausunnossa yhden teorian siitä, miksi hänen alaisensa olisivat pimittäneet tietoa tietomurrosta. Tapion mielestä asian paljastuminen olisi tuonut ilmi alaisten omat laiminlyönnit suojauksessa ja testauksessa.

Lisäksi Tapio perustelee oikeudelle, ettei hän olisi ilmoittanut tietomurrosta poliisille, mikäli todella olisi halunnut pimittää tietomurron uudelta omistajalta.

– Hän olisi maksanut kiristäjälle rahamäärän kaikessa hiljaisuudessa, eikä missään tapauksessa olisi halunnut asiaa tutkinnan kohteeksi, Tapion asianajajan laatimassa vastauksessa esitetään.

Yle ei tavoittanut Ville Tapion nimeämiä Vastaamon työntekijöitä tätä juttua varten.

Lue myös: