Vastaamon entistä toimitusjohtajaa Ville Tapiota on kuultu tänään käräjäoikeudessa psykoterapiakeskuksen tietoturvaongelmiin liittyen. Tapio vierittää vastuuta entisten alaistensa harteille. Hän kuvailee yrityksen IT-väen toimintaa "täysin käsittämättömäksi".
Helsingin käräjäoikeudessa tietosuojarikoksesta syytetty Ville Tapio aloitti oman puheenvuoronsa kertomalla perusteellisesti omasta taustastaan sekä psykoterapiakeskus Vastaamon alkuvaiheista.
Kertomansa mukaan Tapio aloitti työelämässä 18-vuotiaana ja on suorittanut tuotekehittäjän erikoisammattitutkinnon.
Nuoruudessaan hän opiskeli myös yliopistossa johtamista ja markkinointia, mutta ei valmistunut. Sen sijaan hän päätyi opintojen kautta mukaan erilaisiin akateemisiin tutkimushankkeisiin.
Tapio kertoi tehneensä 15-vuotiaana verkkosivut koripallojoukkueelleen ja oppineensa ohella verkkosivujen tekemisestä ja koodaamisesta. 2000-luvun alkupuolella, parikymppisenä, hän toimikin ohjelmistokehittäjän ammattinimikkeellä muutaman vuoden ajan.
Lue myös: Uusia tietoja: Vastaamon palvelimia käytettiin kyberhyökkäykseen Venäjältä ja kryptovaluutan louhimiseen – "Ollaa iha v**un kusessa"
Nousi nuorena teknologiajohtajaksi
Ura otti uutta suuntaa, kun Tapio pääsi johtamisen ja konsultoinnin yrityksen IT-tiimiin, missä hän nousi nopeasti teknologiajohtajaksi.
Näissä töissä Tapio kertoi siirtyneensä ajan kuluessa yhä enemmän myynnin ja markkinoinnin tehtäviin ja jääneensä vuonna 2008 itsenäiseksi viestintä- ja strategiakonsultiksi.
Tapio kertoo olleensa tuolloin mukana erilaisissa yhteiskunnallisissa muutoshankkeissa yhteistyössä esimerkiksi Sitran kanssa. Hän kertoo myös olleensa tekemässä vaalikampanjoita ja poliittisia ohjelmia Brysselissä.
Tapio kertoo, että hänen ammatillinen kehityksensä koodaamisen saralla jäi ohjelmakehittäjävuosiin. Hänellä on silti omien sanojensakin mukaan hyvä yleinen tietotaito teknologian saralla.
– Olen aina osannut yhdistää teknologiaa liiketoiminnan tarpeisiin ja tarvittaessa pystynyt hankkimaan kumppaneita teknologiahankkeisiin, Tapio kertoi käräjäoikeudelle.
Tapio: IT-asiat olivat muiden vastuulla
Vastaamon tarina puolestaan alkoi 2010-luvun taitteessa. Yritystä perheenjäsentensä kanssa perustamassa ollut Ville Tapio toimi ensin yrityksen hallituksessa ja siirtyi yhtiön toimitusjohtajaksi syksyllä 2013.
Yrityksen liiketoiminta oli tuolloin monimuotoista, ja psykoterapiapalveluihin firma alkoi erikoistua Tapion mukaan vasta hänen toimitusjohtajakaudellaan. Tapion mukaan ulkopuoliselta mainostoimistolta hankittiin psykoterapiakeskus-yrityskonsepti. Samalla saatiin Vastaamo-nimi.
Tapion avustaja, asianajaja Liina Kokko kysyi Tapiolta, mikä Tapion rooli oli psykoterapiakeskuksen potilastietojärjestelmän kehittämisessä yrityksen alkuvaiheessa. Kokon mukaan julkisuudessa on annettu väärin perustein käsitys, että järjestelmä olisi Tapion itsensä koodaama.
Tapio kertoi, että järjestelmä ostettiin ulkopuoliselta yritykseltä, ja sitä kehitettiin myöhemmin Vastaamossa eteenpäin. Yrityksessä oli Tapion mukaan aluksi töissä useampia IT-alan ammattilaisia, joilla oli vakuuttava tausta aiempien projektien ja koulutuksen puolesta.
Myöhemmässä vaiheessa IT-asiat olivat Tapion mukaan pitkälti kahden asioihin vihkiytyneen työntekijän harteilla.
Tapion mukaan hän ei itse ole varsinaisesti koodannut potilastietojärjestelmää lainkaan.
Tapio kertoi, että hänen oma roolinsa IT-kehityksen suhteen oli lähinnä pitää huoli siitä, että järjestelmistä löytyy tarvittavat ominaisuudet.
– Mun kanssa puhuttiin sen tyylisistä asioita, että miltä tämän järjestelmän pitää käyttäjille näkymien puolelta näyttää, hän sanoi.
Tapio väittää, ettei hän ollut mukana esimerkiksi yrityksen palvelinpuolen kehittämisessä konkreettisella tasolla. Tapion mukaan hänellä ei myöskään ollut pääsyä esimerkiksi yrityksen palomuureihin, joiden on myöhemmin todettu olleen väärin asennettu.
– Mulle tuotiin käytännössä valmiiksi neuvotellut sopimukset, että voiko näihin laittaa nimet alle, Tapio kuvaili rooliaan.
Lue myös: KRP:n esitutkintamateriaali: Vastaamon potilastietokannan salasana oli 7 merkkiä pitkä, selkokielinen ja käytössä vuodesta 2012
Puolustus: Tapio ei tiennyt
Tapion puolustus lähtee siis siitä, ettei Tapio toimitusjohtajana toimiessaan tiennyt, että yrityksen tietoturva oli katastrofaalisen huonolla tolalla jopa useiden vuosien ajan.
KRP:n esitutkinnan perusteella yrityksen palvelimien ja järjestelmien ylläpidossa oli tehty melkein kaikki mahdolliset virheet.
Tapion mukaan hän tuli tietoiseksi ongelmista vasta syksyllä 2020, kun yritystä alettiin kiristää asiakastietojen julkaisemisen uhalla. Asiakastietoja myös vuodettiin pimeään Tor-verkkoon. Tietovuoto koski jopa yli 30 000 Vastaamon asiakasta.
Syyttäjät puolestaan väittävät, että Tapio kyllä tiesi ongelmista myös itse. Syyttäjien mukaan Tapio tuli tietoiseksi ongelmista maaliskuussa 2019.
Yrityksen potilastietokantaa vastaan tehtiin tuolloin kyberhyökkäys, jossa kanta sotkettiin ja tuhottiin täysin. Palvelimelle oli tuolloin myös jätetty kiristysviesti.
Syyttäjien mukaan Tapio salasi tapahtuneen viranomaisilta, sillä Valviralle raportoitiin vain palvelukatkoksesta. Tapio kiistää salanneensa mitään.
Tapion mukaan mainitut tietoturvaongelmat ja niiden peittely oli IT-työntekijöiden vastuulla. Tapion mukaan työntekijät eivät kertoneet hänelle kiristysviestistä, vaan hän näki sen vasta syksyllä 2020 tehdyissä selvityksissä.
"Ei ole mitään ymmärrettävissä olevaa syytä"
Tapion mukaan hänelle selvisi vasta myöhemmin, että työntekijät olivat tehneet jo lokakuussa 2017 toimenpiteitä, jotka aiheuttivat kriittisen tietoturva-aukon yrityksen järjestelmissä.
Tapion mukaan yrityksen palvelimien asetuksia oli tuolloin muutettu siten, että palvelimien pääkäyttäjätunnuksille pystyi kirjautumaan mistä hyvänsä ilman salasanaa.
Lisäksi potilastietokannan asetuksia oli muutettu niin, että tietokantaan sai yhteyden internetin välityksellä, eikä pelkästään yrityksen sisäisestä verkosta, kuten normaalisti pitäisi olla.
Tapion mukaan kaiken muun ohella yrityksen palomuuriin oli vielä avattu portti, jonka kautta järjestelmiin pääsi verkon kautta estoitta.
Tapion mukaan näille tietoturvavirheille ei ole mitään järkevää selitystä. Hänen mukaansa virheet ovat Vastaamon kahden entisen IT-työntekijän vastuulla.
– Se vaikuttaa täysin käsittämättömältä se toiminta. Ei ole mitään ymmärrettävissä olevaa syytä, miksi näin pitäisi tehdä missään tilanteessa.
– On tehty selittämättömiä teknisiä ratkaisuja ja sitten myös rikottu sovittuja käyttäytymismalleja.
Piti ensin sabotaasina
Tapion mukaan hänen ensiajatuksenaan oli, ettei tämän luokan tietoturvavirheissä kyse olisi voinut olla mistään muusta kuin sabotaasista.
Myöhemmin hän on kertomansa mukaan tullut tietoiseksi siitä, että kyse oli osaamattomuudesta ja lukuisista pahoista virheistä.
– On toimittu monella käsittämättömällä tavalla väärin.
Tapion mukaan asiassa ei ole väliä sillä, kuka on koodannut Vastaamon potilastietokannan tai millä tavalla potilastietokanta on koodattu. Hänen mukaansa koko asiassa on pohjimmiltaan kyse Vastaamon palvelimien ja palomuurien konfiguroinnissa tehdyistä vakavista virheistä.
Tapion mukaan yrityksen potilastietorekisterissä ei ole ollut mitään havaittuja tietoturvapuutteita, eikä sitä ole käytetty hyväksi tietomurtojen tekemiseen.
Tietovuodon tutkinta yhä kesken
Vastaamon järjestelmiin murtauduttiin ainakin myös vuonna 2018. KRP uskoo, että Tor-verkkoon vuodetut potilastiedot anastettiin juuri tuolla kerralla. Vastaamon työntekijöiden tai Ville Tapion ei epäillä tieneen tästä tietomurrosta.
Murrosta sekä myöhemmästä tietojen vuotamisesta sekä Vastaamoon ja sen asiakkaisiin kohdistuneista kiristyksistä tai kiristysyrityksistä epäillään parikymppistä Aleksanteri Kivimäkeä. Hänen osaltaan esitutkinta on yhä kesken.
Tutkinnanjohtaja, rikoskomisario Marko Leposen mukaan KRP on ennättänyt jo kuulustella Kivimäkeä, mutta mies kiistää syyllistyneensä mihinkään rikokseen.
Kivimäki on tällä hetkellä tutkintavankeudessa.
Vastaamon entisiä IT-työntekijöitä epäiltiin esitutkintavaiheessa samasta rikoksesta kuin toimitusjohtaja Tapiota. Syyttäjä päätti kuitenkin tehdä asiassa heidän osaltaan syyttämättäjättämispäätöksen.
Syyttäjien näkemyksen mukaan vastuu tapahtuneesta sekä yrityksen ongelmista on viime kädessä ollut Ville Tapiolla.
Tapio kertoi oikeudelle, että kaiken kaikkiaan tapahtumat ovat olleet hänelle henkilökohtaisesti erittäin raskaita. Hän kertoi saaneensa jopa tappouhkauksia tapahtuneen johdosta.
Tapio kertoi kokeneensa myös julkisuuden paineen raskaana.