STT
Psykoterapiakeskus Vastaamon entiselle toimitusjohtajalle luettiin torstaina syyte tietosuojarikoksesta Helsingin käräjäoikeudessa.
Syyttäjä sanoo, että Ville Tapio laiminlöi riittävästä tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta. Syyttäjän mukaan motiivina salailuun oli turvata tuleva yrityskauppa. Tapio kiistää syytteen ja sanoo, ettei itsekään tiennyt tietomurrosta.
Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.
Tapion syytteessä on kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti. Syyttäjän mukaan ulkopuolinen taho murtautui 15. maaliskuuta 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti potilastietokantapalvelimelle kiristysviestin.
Syyttäjän mukaan tapahtuneen jälkeen Vastaamossa tehdyt toimenpiteet olivat riittämättömiä ja potilastietokannan turvallisuus oli vaarantuneena lokakuuhun 2020 saakka. Silloin Vastaamo kertoi joutuneensa kiristyksen kohteeksi ja sen jälkeen selvitys ja poliisitutkinta tapahtumista aloitettiin.
”Vastaamolla on ollut vartioitavana erittäin arkaluonteisia ihmisten yksityiselämään liittyviä tietoja. Arviointi tietoturvan tasosta on suhteutettava myös siihen, että minkälaista turvaa olisi tarvittu potilasrekisterin takia”, syyttäjä Pasi Vainio sanoi oikeudessa.
Puolustus: Järjestelmä turvallinen
Syyttäjän mukaan Tapio kertoi Valviralle, että maaliskuussa 2019 kyseessä oli ollut huoltokatko ja huollossa tapahtunut virhe. Yhtiön sisäisessä viestinnässä puhuttiin palvelujen kaatumisesta ja teknisestä viasta.
”Tapion päähuolenaiheena on ollut, että järjestelmä saadaan nopeasti palautettua, tiedot pitää palauttaa ja kaikki kiristykseen viittaavat tiedot tulee salata ja tähän liittyvät asiat peittää. Tapio neuvoi (työntekijöitä), että asiasta annetaan tietoa "datakatkoksena" ja toiminnanohjausjärjestelmän häiriönä. Hän määräsi kaiken tietomurtoon liittyvän datan tuhottavaksi”, syyttäjä sanoo.
Tietosuojarikoksesta voidaan tuomita sakkoja tai enintään vuosi vankeutta. Vainion mukaan tässä tapauksessa syyttäjä vaatii rangaistukseksi ehdollista vankeutta, mutta hän ei vielä kommentoinut sen määrää.
Tapio kiistää syytteen kokonaisuudessaan. Hän sanoo, ettei kumpikaan yrityksen tietoturvasta vastanneista kahdesta työntekijästä kertonut hänelle maaliskuun 2021 tietomurrosta sen tapahtuma-aikaan.
Työntekijöitä epäiltiin esitutkinnassa tietosuojarikoksesta Tapion ohella. Syyttäjä jätti kuitenkin syytteet nostamatta, koska hänen mukaansa heidän syyllisyytensä tueksi ei ollut todennäköisiä syitä.
Tapion puolustuksen mukaan työntekijät yrittävät vierittää vastuuta omista virheistään Tapiolle. Tapion asianajaja Liina Kokko sanoi, että työntekijät avasivat marraskuussa 2017 Vastaamon tietojärjestelmän suojaukset ja tietokantaportin internetiin ja jättivät sen auki.
”Tietoturva-aukko on suljettu 15.3.2019 sen jälkeen, kun (työntekijät) ovat havainneet, että Vastaamon potilastietojärjestelmään on tunkeuduttu, potilastietokanta on sotkettu ja sen tilalle on jätetty kiristysviesti. Tapiota asiasta ei ole informoitu tuolloin eikä myöhemminkään, vaan Tapiolle on annettu asiasta se kuva, että palvelin oli kaatunut teknisen tietokantavirheen takia”, puolustus sanoo.
Puolustuksen mukaan Vastaamon tietojärjestelmä olisi oikein käytettynä ollut turvallinen.
Aiemmin tällä viikolla
Länsi-Uudenmaan käräjäoikeus vangitsi tiistaina 25-vuotiaan miehen epäiltynä Vastaamoon kohdistuneesta törkeästä tietomurrosta. Epäilty Aleksanteri Kivimäki on asianajajansa välityksellä kiistänyt rikosepäilyt.
Vangitsemisen perusteena oli yhteensä kahdeksan epäiltyä rikosta. Häntä epäillään myös muun muassa törkeästä yksityiselämää loukkaava tiedon levittämisestä.
Kivimäki vangittiin Suomessa poissaolevana jo lokakuussa, ja samoihin aikoihin hänestä annettiin eurooppalainen pidätysmääräys. Hänet otettiin kiinni Ranskassa helmikuun alussa.
Aamulehti on julkaissut Kivimäen nimen poikkeuksellisesti jo esitutkintavaiheessa, sillä hän on aiemmin syyllistynyt vastaaviin vakaviin rikoksiin. Hänet on aiemmin tuomittu muun muassa American Airlines -lentoyhtiöön ja yhdysvaltalaisviranomaisiin kohdistuneista huijauksista. Lisäksi Vastaamon tietomurrolla on ollut laajaa yhteiskunnallista merkitystä.
