Asiantuntijalta tyrmäys Vastaamon tietoturvatoimille: "Eihän toimitusjohtaja voi ulkoistaa sitä vastuuta mihinkään"

Vastaamo oli toimiessaan yksi suurimmista psykoterapiapalvelujen tarjoajista Suomessa. Lokakuussa 2020 Vastaamo joutui tietomurron ja kiristyksen kohteeksi. Arkaluontoisia asiakastietoja on julkaistu tietomurron jälkeen verkossa. 

Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio sanoo MTV Uutisten haastattelussa, että hänellä ei ole ollut mitään tekemistä yrityksen tietojärjestelmien tai tietoturvan kanssa.

MTV Uutiset kertoi maanantaina välimiesoikeudessa määrätystä 8 miljoonan vahingonkorvauksesta Vastaamon ostaneelle yritykselle.

Pääomistaja ja entinen toimitusjohtaja Ville Tapio tuomittiin palauttamaan saamansa kauppasumma kokonaisuudessaan.

Tapion vastuulla on hänen omien sanojensa mukaan ollut ainoastaan tietoturvan resurssointi ja vastuullisia olisivat yhtiön silloiset tietoturva-asiantuntijat.

Tapio on kertonut, että Vastaamossa on ollut käytössä 9-portainen suojaus, joista jokainen olisi ollut poissa käytöstä mahdollistaen tietomurron.

Uutisaamussa esiintynyt tietoturva-asiantuntija ja hakkeri Benjamin Särkkä kummeksuu tilannetta.

Särkän mukaan se ei vielä varsinaisesti kerro mitään, että yritys kertoo käyttävänsä jotakin tiettyä tietoturvamenetelmää. 

– Lähtökohtaisesti 9-portainen suojaus herättää luottamusta. Kerroksellinen turvallisuus on hyvä tapa rakentaa turvallisuutta. Itseäni ihmetytti Tapion haastattelussa se, että eihän toimitusjohtaja voi ulkoistaa sitä vastuuta mihinkään. Loppupeleissä sitä on itse vastuussa yrityksen toiminnasta.

– Siellä on otettu niitä suojauksia pois päältä. Onko se tahallista vai tahatonta, hyökkääjän vai sisäpiiriläisen tekemää, niin johtaa joka tapauksessa samaan tilanteeseen. Eli inhimillinen virhe tai tahallinen haitan teko on se syy, joka on mahdollistanut tietomurron tekemisen.

Tapio halusi täydentää MTV Uutisille, että toimitusjohtajan vastuiden ulkoistaminen eroaa terveyspalveluyrityksessä tavanomaisista yrityksistä. Lain mukaan vastuussa potilasrekisterin ylläpitämisestä pitää olla terveydenhuollon ammattihenkilö (Vastaamon tapauksessa hallintotyöhön koulutettu psykiatrian erikoislääkäri).

– Toimitusjohtaja ei terveyspalveluyrityksessä ole terveydenhuollon palveluista vastaavalle johtajalle lakisääteisesti kuuluvissa tehtävissä samalla tavalla yläpuolella kuin olisi sääntelemättömällä alalla, Tapio jatkaa.

Huolimatta siitä, kuka on ollut vastuussa turvallisuudesta, olisi tietoturva pitänyt Särkän mukaan yhtä lailla validoida, eli todentaa järjestelmien toimivuus.

– Siihen löytyy erilaisia mekanismeja eri turvallisuustoimijoilta.

Särkkä kertoo, että yleisesti ottaen pätevä tietoturva rakennetaan eri kerroksia käyttäen.

Kerroksellisuudella tarkoitetaan sitä, että tietoturva koostuu eri osa-alueista. Sen eri kerroksissa ovat esimerkiksi palomuurit, laitehallinta, virustorjunta, todentaminen ja tietojen tallentaminen.

– Vähän kuin sipulimalli. Sen ympärille, mitä halutaan suojata, niin sen ympärille rakennetaan useampia kerroksia suojauksia. Sitten pyritään tunnistamaan, kun mikä tahansa näistä kerroksista lakkaa toimimasta. Sitten reagoidaan aktiivisesti, jotta se tiedon turvallisuus säilyy huolimatta siitä, että hajoaako siellä yksi tai kaksi kerrosta…Yksikin kerros voi olla riittävä, jos se tehdään tarpeeksi hyvin, Särkkä kertoo.

Kuluttajan vaikea varmistua riittävästä tietoturvasta

Vastaamon tapauksessa ihmisten erittäin henkilökohtaisia tietoja on päätynyt verkkoon. 

Kuluttajan on Särkän mukaan erittäin vaikeaa varmistaa, että erilaisia palveluja tarjoavan yrityksen tietoturva on riittävällä tai asiallisella tasolla.

– Usein ainoa keino varmistua on katsoa, että siellä on niitä turvallisuushenkilöitä, tietosuojalausekkeet ovat esillä. Osataan ottaa asiat huomioon, käytetään salattuja mekanismeja ja muita.

– Todellinen validointi on vaikeaa tehdä ulkoa päin. Se pitäisi melkein tehdä sen yrityksen toiminnan perusteella.

Asiantuntijan mukaan hyviä merkkejä ovat esimerkiksi niin sanotut bug bounty -ohjelmat, joiden kautta yritykset voivat keskitetysti ottaa vastaan ilmoituksia arkaluontoisistakin haavoittuvuushavainnoista.

– Joukkoistetut turvallisuusmenetelmät, missä tietoturvatutkijat pääsevät luvan kanssa tutkimaan, että toimivatko turvakontrollit halutulla tavalla ja pysyykö yrityksen sisällä oleva tieto hyvin turvassa, Särkkä mainitsee.

Korjattu Särkän sitaattia kello 16.49, sana turvallisuutta muutettu sanaksi vastuuta. Täydennetty Tapion kommentteja siitä, millainen vastuuketju Vastaamon kaltaisissa yrityksissä on.

Lue myös:

    Uusimmat