Psykoterapiakeskus Vastaamon perustaja Ville Tapio pyrkii todistamaan, että toissa vuonna tapahtunut tietomurto saattoi olla sisäpiirin rikos.
Tuntematon rikollinen varasti kymmenien tuhansien ihmisten potilastiedot ja julkaisi ne nettiin lokakuussa 2020. Tapio on teettänyt ulkopuolisen asiantuntijaselvityksen tietomurrosta ja sitä seuranneesta kiristyksestä.
Selvityksen pohjalta Tapio perustelee, että potilastiedot eivät joutuneet vääriin käsiin Vastaamon tietoturvan laiminlyönnin vuoksi. Sen sijaan kiristäjä saattoi saada apua Vastaamon sisältä.
– On syytä epäillä, että potilastietokanta on päätynyt kiristäjän haltuun joko [Vastaamon entisen tietosuojavastaavan NN:n] kautta tai niin, että [NN] on itse osallinen kiristykseen, Tapio väittää.
Uudet tiedot ovat peräisin Tapion valituksesta Helsingin hallinto-oikeudelle.
Tapio on aiemminkin vierittänyt syytä tapahtuneesta kahdelle tietoturvasta vastanneelle alaiselleen. Nyt hän tiettävästi ensimmäistä kertaa nimeää toisen heistä rikoksen mahdolliseksi tekijäksi. Samalla hän pyrkii kiistämään omaa ja yrityksen vastuuta tietoturvasta.
Poliisin päätutkintalinja on edelleen yrityksen ulkopuolelta tehty murto ja kiristys, joiden jäljet johtavat Euroopan ulkopuolelle. Tutkinnanjohtaja Marko Leponen sanoo kuitenkin ottavansa huomioon myös mahdollisen sisäpiirilinjan. Poliisi ei ole tehnyt kiinniottoja eikä sillä ole tällä hetkellä epäiltyä tietomurrosta.
Näin selvityksessä perustellaan väitettä sisäpiirin tekijästä
Tapion teettämän selvityksen on tehnyt pieni, vasta perustettu tietoturva-alan yritys Cyber Snake Oy. Sen toimitusjohtaja Topias Salminen toimii päivätyössä terveysalan pörssiyritys Oriolan tietoturvajohtajana. Hän sanoo tehneensä koko selvityksen itse.
– Selviä viitteitä ulkopuolisesta tietomurrosta ei ole, perustelee Salminen Ylelle.
Selvitys perustuu tietoturvayhtiö Nixun aiemmin tekemään raporttiin sekä muuhun Salmisen näkemään materiaaliin, kuten Vastaamon tietojärjestelmien lokitietoihin. Yle pyysi Nixun raporttia tietosuojavaltuutetulta tätä juttua varten, mutta se on salattu kokonaan.
Sisäpiirin tekijään viittaa selvityksen mukaan muun muassa kiristäjän Tor-verkossa julkaiseman vastaamo.tar-tiedoston sisältö. Siinä oli jälkiä samasta käyttöjärjestelmästä ja ohjelmistosta, joita Vastaamon tietosuojavastaava NN käytti.
Selvitys viittaa myös kuvakaappaukseen, jonka mukaan NN:llä oli koneellaan mahdollisen alkuperäisen kiristysviestin sisältävä tiedosto. Tätä tiedostoa ei enää löytynyt, kun tietoturvayhtiö Nixu tutki Vastaamon tietomurtoa syksyllä 2020.
Myös Vastaamo-kiristäjän viestit viittaavat selvityksen mukaan kotimaiseen tekijään. Tämän tulkinnan puolesta puhuu muun muassa epäuskottava "ulkomaisen" rikollisen lähettämä viesti ("Mina olen hakkeri. Olen kopioinut potilaiden tietokanta.") sekä se, mitkä potilaskertomukset kiristäjä lähetti todisteeksi hankkimistaan tiedoista.
– Havainnot tukevat käsitystä siitä, että (...) sisäpiiriin kuuluva henkilö on kiristänyt Vastaamoa (...) potilastietokannalla, Tapion valituksessa hallinto-oikeuteen väitetään.
Selvityksessä ei suoraan sanota, mikä osoittaisi nimenomaan NN:n olevan osallinen kiristykseen. Hänellä väitetään kuitenkin olleen vähintään yksi luvaton varmuuskopio potilastiedoista omalla kannettavallaan.
Ex-tietosuojavastaava: "Ville Tapio selittää mitä selittää"
Yle tavoitti Vastaamon entisen tietosuojavastaavan NN:n puhelimitse. Hän ei halunnut kommentoida Ville Tapion esittämiä syytöksiä.
– Sanon ainoastaan, että Ville Tapio selittää mitä selittää. Loput selviävät myöhemmin. En lausu mihinkään asiaan mitään tässä vaiheessa. Kertominen lienee turhaa – kiitos, hän sanoo, ennen kuin sulkee puhelun.
Emme kerro tässä jutussa NN:n nimeä, koska hän ei ole toiminut Vastaamossa tai muuallakaan julkisessa asemassa.
Tapion ja hänen kahden alaisensa kertomukset tietomurron taustoista ovat eronneet koko ajan. Alaisten näkemyksistä on kuitenkin tullut julkisuuteen vain vähän tietoa.
Ville Tapion aiemman lausunnon mukaan kaksikko olisi kertonut Tapion tienneen vuonna 2019 havaitusta tietomurrosta ja pimittäneen tietoa. Tapio on kiistänyt tämän.
Yle tavoitti puhelimitse myös Ville Tapion. Hän ei halua kertoa muuta kuin mitä asiakirjoista selviää. Hän kuitenkin sanoo Ylelle edistyneensä "omissa tutkimuksissaan" yhä.
Asiantuntijat: Selvitys ei todista sisäpiirin rikosta
Yle pyysi useita tietoturvan ja verkkorikollisuuden parissa työskenteleviä asiantuntijoita arvioimaan Ville Tapion esittämiä todisteita. He suostuivat haastateltavaksi nimettömänä, koska toisen yrityksen tietoturvan kommentointi julkisesti voisi vahingoittaa heidän omia asiakassuhteitaan.
Heidän mielestään selvityksessä mainitut tekniset todisteet eivät riitä osoittamaan, että tietomurtaja tai kiristäjä olisi joku Vastaamossa työskennellyt henkilö. Todisteista on vedetty heidän mielestään liian pitkälle meneviä johtopäätöksiä.
Selvitys ei myöskään välttämättä ole sen laatijan ominta ammatillista erityisalaa. Se vaatii osaamista digitaalisesta forensiikasta eli sähköisten jälkien analysoinnista. Salminen on työskennellyt lähinnä hallinnon tehtävissä. Hän sanoo kuitenkin, että hänellä on myös forensiikasta kokemusta ja koulutusta.
"Mä näkisin että tietoturva on hyvä syy hukata minuutti"
Julkisuudessa olleiden tietojen mukaan Vastaamon tietokanta on ollut pitkään käytännössä ilman suojausta. Tilaisuuksia tietokannan varastamiseen on ollut useita. Tätä juttua varten haastatellut asiantuntijat kuvaavat Vastaamon tietoturvaa välinpitämättömäksi tai jopa amatöörimäiseksi.
Asiaan kiinnitti huomiota jo vuonna 2018 Vastaamon palkkaama it-konsultti. Hän ihmetteli, miksi yrityksen tietojärjestelmien suojaus oli purettu etätöiden helpottamiseksi. Suojatun yhteyden muodostaminen olisi onnistunut nopeasti.
– Mä näkisin että tietoturva on hyvä syy hukata minuutti, konsultti viestitti tuolloin NN:lle.
Tulevissa oikeudenkäynneissä todennäköisesti linjataan, kantaako vastuun laiminlyönneistä yrityksen johto, tietosuojasta vastanneet alaiset vai sekä että.
Ylen haastattelemien asiantuntijoiden arvio on, että rikollinen on varastanut Vastaamon potilastiedot luultavasti automaattisen hyökkäyksen avulla. Tiedot julkaissut kiristäjä on voinut olla eri taho, joka on ostanut aineiston hakkerilta. Tämä on verkkorikollisuudessa tunnettu toimintatapa.
Vastaamossa työskennellyttä kolmikkoa epäiltiin aiemmin tietomurrosta
Rikostutkinnan aikana on noussut uudelleen julkisuuteen Vastaamon it-miesten osuus Tekesin eli nykyisen Business Finlandin tietomurrossa.
NN, MM ja kolmas mies löysivät Tekesin tietokannasta haavoittuvuuden ja latasivat itselleen luvatta rahoitushakemuksia vuonna 2015. Tapausta tutkittiin törkeänä petoksena ja viestintäsalaisuuden loukkauksena. Kolmikko joutui jopa lyhyeksi aikaa tutkintavankeuteen.
Tutkinnassa ei tullut kuitenkaan esiin viitteitä, että miehillä olisi ollut pahoja tarkoituksia. He eivät käyttäneet lataamiaan tietoja väärin ja ilmoittivat löytämästään haavoittuvuudesta Tekesiin ja Viestintävirastoon. Syytteitä ei nostettu.
Sinänsä kolmikon toiminta muistutti sittemmin tutuksi tullutta ja hyväksyttyä valkohattuhakkerointia. Siinä hakkeri etsii haavoittuvuuksia tarkoituksenaan ilmoittaa niistä järjestelmän ylläpitäjälle.
NN ja MM työskentelivät vuosia Vastaamossa. He ylläpitivät potilastietojärjestelmää ja NN toimi myös tietosuojavastaavana. Myös kolmas Tekes-jutun epäillyistä teki jaksoittain töitä Vastaamolle.
Oikeus hylkäsi Tapion valituksen
Joulukuussa 2021 tietosuojavaltuutettu määräsi Vastaamolle 608 000 euron hallinnollisen seuraamusmaksun tietosuojarikkomuksesta. Ville Tapio valitti päätöksestä hallinto-oikeuteen.
Tapion mukaan tietosuojavaltuutetun olisi pitänyt ottaa huomioon sisäpiiriin kuuluvan henkilön tahallisen rikoksen mahdollisuus.
Hallinto-oikeus katsoi, ettei Tapiolla ole valitusoikeutta Vastaamon edustajana eikä ottanut valitusta käsiteltäväksi. Valituksessa esitetyt uudet väitteet nousevat kuitenkin todennäköisesti esiin myöhemmissä oikeuskäsittelyissä.
Juttua korjattu 1.7. 15.40: Artikkelin alkuperäisessä versiossa luki, että Vastaamon it-järjestelmästä vastannut kaksikko olisi todistanut Helsingin käräjäoikeudessa, jossa he olisivat kertoneet Ville Tapion tienneen vuoden 2019 tietomurrosta. Ville Tapion käräjäoikeudelle antaman lausuman perusteella kaksikko ei kuitenkaan kertonut asiasta käräjäoikeudelle, vaan tietomurtoa selvittäneelle konsultille syksyllä 2020. Artikkelista poistettu myös virke, jonka mukaan kaksikko olisi kehittänyt potilastietojärjestelmän. Järjestelmä kehitettiin ennen kuin he aloittivat työskentelyn yrityksessä.