1. yle.fi
  2. Uutiset
  3. Vastaamon tietomurto

Vastaamon tietomurto: joku yrityksen avainhenkilöistä ei puhu totta maaliskuun 2019 tapahtumista

Tiistaina julki tulleet asiakirjat valottavat tietomurron taustoja. Yksi tärkeä kysymys on silti vielä vailla vastausta.

Vastaamon tietomurto tuli julkisuuteen vuoden 2020 syksyllä alkaneen kiristysvyyhdin vuoksi. Yritys oli kuitenkin joutunut tietomurron kohteeksi jo maaliskuussa 2019. Kuva: Silja Viitala / Yle

Psykoterapiakeskus Vastaamon entisen toimitusjohtajan Ville Tapion ja hänen kahden alaisensa kertomukset tietomurron taustoista eroavat edelleen toisistaan ratkaisevasti.

Kumpikin osapuoli syyttää toisiaan vuoden 2019 maaliskuussa tapahtuneen tietomurron salaamisesta. Tuntematon hyökkääjä tyhjensi tuolloin Vastaamon potilastietokantaan käytetyn palvelimen ja jätti tilalle kiristysviestin.

Tietomurrosta ei kerrottu viranomaisille, yrityksen hallitukselle eikä myöskään Vastaamon ostamista harkinneelle pääomasijoittajalle. Tieto levisi julkisuuteen vasta syksyllä 2020 alkaneen uuden kiristyksen vuoksi.

Helsingin käräjäoikeus on tiistaina julkistanut uusia asiakirjoja tietomurtoon liittyvästä oikeuskäsittelystä.

Uusi omistaja: Tapio "osallistui tietomurron selvittämiseen aktiivisesti"

Vastaamon uusi omistaja PTK Midco on esittänyt Helsingin käräjäoikeudelle kirjallisia perusteluita, joiden mukaan Ville Tapio on tiennyt tietomurrosta jo vuonna 2019. Uusi omistaja haluaisi järjestää myös suullisen käsittelyn asiassa.

Suullisen käsittelyn todistajiksi on nimetty kaksi Vastaamon tietoturvasta vastannutta työntekijää. Työntekijöiden on tarkoitus todistaa esimerkiksi siitä, miten Ville Tapio muun muassa "osallistui tietomurron selvittämiseen aktiivisesti ja intensiivisesti" ja "päätti, että asiaa käsitellään palvelimen kaatumisena".

Ville Tapio vastustaa suullisen käsittelyn järjestämistä. Tapion asianajajan mukaan PTK Midcon olisi pitänyt pystyä jo kirjallisilla todisteilla osoittamaan, että Tapio on salannut tietomurron, mikäli näin todella olisi.

– On ilmeistä, että hakija ei ole tätä pystynyt tekemään, Tapion asianajajan laatimassa vastauksessa todetaan.

Tapio on vierittänyt vastuuta kahden alaisensa harteille. Hänen mukaansa alaiset tiesivät tietomurrosta, mutta jättivät kertomatta asiasta, koska samalla he olisivat paljastaneet tehneensä itse vakavan virheen tietoturvassa.

Jompikumpi osapuolista ei siis puhu totta vuoden 2019 tapahtumista.

Kysymys tietomurron salaamisesta liittyy PTK Midcon ajamaan turvaamistoimiasiaan. Yritys on hakenut Tapioiden omaisuutta takavarikkoon Vastaamon kauppahintaa vastaavasta summasta. Oikeus ei ole vielä päättänyt, järjestetäänkö asiassa suullinen käsittely vai ei.

Pääomasijoittaja Intera Partners osti Vastaamon osake-enemmistön vuonna 2019 lähes kymmenen miljoonan euron hinnalla. PTK Midco Oy on Interan holding-yhtiö.

Uusi omistaja on ilmoittanut peruvansa kaupat ja vaatii myös vahingonkorvausta. PTK Midcon mukaan kauppoja ei olisi syntynyt, jos tapahtunut tietomurto olisi ollut ostajan tiedossa.

Useita rikostutkintoja sekä miljoonien kauppariita

Vastaamon tietomurto tuli julkisuuteen lokakuussa 2020. Kiristäjä uhkasi tuolloin julkaista asiakkaiden potilastiedot, ellei Vastaamo maksaisi hänelle lunnaita. Myöhemmin potilastiedot on julkaistu vähintään kahteen eri otteeseen.

Poliisi tutkii Vastaamon tietomurtoa törkeänä tietomurtona, törkeänä kiristyksenä ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä.

Lisäksi poliisi epäilee Vastaamon potilastietojärjestelmistä vastanneita henkilöitä tietosuojarikoksesta. Myös Vastaamon yrityskaupasta on jätetty rikosilmoitus, joka koskee tietomurron salaamista.

Rikosasioiden ohella on käynnissä vielä PTK Midcon käynnistämä oikeusprosessi yrityskaupan perumisesta ja siihen liittyvistä vahingonkorvauksista. Tämä asia ratkaistaan välimiesoikeudessa. Kysymys turvaamistoimesta liittyy tähän kokonaisuuteen.