STT
Keskusrikospoliisin (KRP) esitutkintamateriaali antaa murskaavan näkemyksen Psykoterapiakeskus Vastaamon tietoturvasta.
”Käytännössä kaikki suojaamiseen tarvittavat keinot, kuten palomuuri, VPN, salasanat, tietokannan salaaminen, pseudonymisointi, tietoturvatestaus sekä lokitus ja dokumentointi ovat olleet puutteellisia tai puuttuneet kokonaan”, esitutkintamateriaalissa sanotaan.
Esitutkinnan aikana selvisi, että Vastaamolla oli tapahtunut useita tietomurtoja ja muita tietoturvapoikkeamia. Puutteiden ja osan poikkeamista epäillään olleen toimitusjohtajan ja it-henkilöstön tiedossa jo tapahtuma-aikaan. Niistä ei kuitenkaan ilmoitettu viranomaisille. Potilastietojen vaarantuminen tuli viranomaisten tietoon vasta 28. syyskuuta 2020 Vastaamoon kohdistuneen kiristyksen jälkeen.
KRP:n mukaan Vastaamon tietoturvaa paranneltiin vuosien varrella jonkin verran, mutta ongelmat eivät poistuneet.
”Vastaamolle lokakuussa 2020 tietoturvaa parantamaan palkatut asiantuntijat ovat kuvanneet Vastaamon tietoturvaa erityisen heikoksi, huonoksi ja alkeelliseksi sekä Vastaamon tapaa huolehtia tietoturvasta suhteessa heidän hallinnoimansa tiedon arkaluonteisuuteen selkeästi puutteelliseksi ja erittäin heikoksi.”
Käyttäjätunnusta ja salasanaa jaettiin salaamattomana
KRP:n mukaan potilastietokannan käyttäjätunnuksen salasana on ollut seitsemän merkkiä pitkä ja selkokielinen. Se ei ole sisältänyt isoja kirjaimia tai erikoismerkkejä ja se oli ollut käytössä vuodesta 2012.
”Käyttäjätunnusta ja salasanaa on jaettu salaamattomana. Sama salasana on ollut käytössä myös hälytysjärjestelmissä ja koodisanana vartiointiliikkeillä.”
Tutkinnan perusteella potilasrekisteripalvelin oli ilman palomuurisuojausta auki internetiin marraskuusta 2017 maaliskuuhun 2019.
”Palvelimen suojaaminen palomuurilla estää internetistä saapuvan liikenteen pääsyn palvelimen palveluihin käsiksi. Kyseisen palvelimen kohdalla tätä suojausta ei ollut otettu käyttöön.”
