Psykoterapiakeskus Vastaamon entistä toimitusjohtajaa Ville Tapiota vastaan on alkanut oikeudenkäynti tietosuojarikoksesta. Syyte liittyy Vastaamon heikkoon tietoturvaan, joka johti vakavaan tietovuotoon syksyllä 2020.
Oikeudenkäynti alkoi Helsingin käräjäoikeudessa kello 9. MTV Uutiset on paikan päällä.
Ville Tapio saapui paikalle käräjäoikeuteen hyvissä ajoin ennen istunnon alkua. Hän kieltäytyi kommentoimasta asiaa medialle tässä vaiheessa ja ohjasi kysymään asiasta avustajaltaan, asianajaja Liina Kokolta.
Oikeudenkäynnin aluksi Kokko kertoi, että Tapio kiistää syytteen tietosuojarikoksesta.
Tietoturvafiasko
Psykoterapiakeskus Vastaamon tietojärjestelmiin murtauduttiin marraskuussa 2018 ja maaliskuussa 2019. Jälkimmäisellä kerralla yhtiön potilastietokanta oli tuhottu ja tilalle oli jätetty kiristysviesti.
Yhtiön tietoturvaongelmat tulivat kuitenkin julkisuuteen vasta syksyllä 2020, kun psykoterapiassa käyneiden asiakkaiden arkaluontoisia terapiakertomuksia ja henkilötietoja vuodettiin pimeään Tor-verkkoon. Asiakkailta myös kiristettiin ja yritettiin kiristää rahaa tietojen julkaisun uhalla.
Yrityksen tietokannassa oli tapahtumien aikaan noin 33 000 asiakkaan tiedot. Kyse oli yhteystiedoista, henkilötiedoista sekä asiakaskäyntimerkinnöistä, jotka olivat kaikki yhdistettävissä toisiinsa. Tietokannasta löytyi esimerkiksi asiakkaiden henkilökohtaisia terapiakertomuksia, jotka olivat kaikki yhdistettävissä ihmisiin heidän nimillään. Noin 22 000 on tehnyt tapahtuneesta rikosilmoituksen.
On arvioitu, että vakava tietomurto onnistui, koska psykoterapiakeskuksen tietoturva-asiat olivat retuperällä.
Entistä toimitusjohtajaa Ville Tapiota syytetäänkin nyt siitä, ettei hän olisi työssään suhtautunut yhtiön tietoturvaongelmiin tai -puutteisiin vaaditulla vakavuudella.
Syyttäjä: Tapio valehteli viranomaisille tietomurrosta
Syyttäjien mukaan Tapio tuli tietoiseksi yhtiön tietoturvaongelmista viimeistään, kun yrityksen palvelimelle murtauduttiin maaliskuussa 2019. Tapio ei kuitenkaan raportoinut tietomurrosta viranomaiselle.
Syyttäjien mukaan toimitusjohtaja väitti tietosuojaviranomaiselle tehdyssä raportissa, että maaliskuussa 2019 havaittujen ongelmien taustalla olisi ollut järjestelmähuollon aiheuttama käyttökatkos.
Syyttäjien sanojen mukaan yhtiön tietoturva-asiat olivat tapahtumien aikaan kaaoksessa, vaikka joitain parannuksia tehtiinkin vuoden 2019 tietomurron jälkeen.
Oikeudessa kuultiin syyttäjien kertomana esimerkiksi, että syytteessä kuvattujen tapahtumien aikaan yhtiön palvelimien palomuuri päästi läpi kaiken liikenteen. Palvelimille oli myös jätetty auki MySQL-tietokannan tietoliikenneportti, johon ei normaalisti pitäisi olla pääsyä internetin kautta. Lisäksi muun muassa yhtiön salasalanakäytännöissä oli puutteita.
Tietoturvan sijaan panostettiin kasvuun
Syyttäjien mukaan Vastaamossa sivuutettiin IT-asioiden budjetointi ja hoitaminen. Sen sijaan yritys panosti kasvuun.
Yrityksellä oli erillisiä IT-työntekijöitä, mutta syyttäjien näkemyksen mukaan liian vähän. Työntekijät olivat ylityöllistettyjä ja heidän vastuissaan ja roolien jaossa oli sekavuutta.
Syyttäjien mukaan yrityksen IT-asioista ja IT-budjetista päätti yksin toimitusjohtaja Ville Tapio, joka oli myös hyvin perillä yhtiön järjestelmistä, sillä oli itse kehittämässä niitä.
Syytteessä on siis kaiken kaikkiaan kyse siitä, että Tapio olisi käsitellyt yrityksensä hallussa olleita henkilötietoja tahallaan tai törkeän huolimattomasti niin, että ne päätyivät lopulta vääriin käsiin.
– Johdon vastuulla on ollut rekisterinpitäjän eli Vastaamon laillisista velvollisuuksista huolehtiminen, syyttäjä Pasi Vainio sanoi oikeussalissa.
Syytteen tekoaika alkaa maaliskuusta 2019. Syyttäjien mukaan asiakkaiden tietoturva oli vaarantunut kuitenkin jo ennen tätä.
Syyttäjien oikeudessa esiin nostama maaliskuun 2019 tietomurto ei ole syyttäjien käsityksen mukaan sama tietomurto, jossa potilaiden potilastiedot varastettiin ja myöhemmin vuodettiin Tor-verkkoon, vaan kyse on erillisestä tapauksesta.
Tapio kiistää kaiken
Ville Tapion puolustuksen mukaan yhtiön tietoturvaongelmista vastuussa olivat yhtiön työntekijät, eikä Tapio tiennyt ongelmista ennen syksyä 2020.
Puolustus lähtee siitä, että hakkeri pääsi murtautumaan yrityksen palvelimelle ja käsiksi yhtiön asiakkaiden tietoihin yrityksen työntekijöiden virheiden takia, ei Tapion toimien takia.
Puolustuksen mukaan yhtiön työntekijät eivät ilmoittaneet tietoturvaongelmista Tapiolle lainkaan. Tapion mukaan tietoturva-asiat oli delegoitu työntekijöiden hoidettaviksi, ja joka tapauksessa yrityksen tietoturvan taso oli "asianmukainen".
Tapio kiistää myös syyttäjän väitteet siitä, että hän olisi ilmoittanut maaliskuussa 2019 tapahtuneesta tietomurrosta viranomaisille väärin ja salannut tietomurron viranomaisilta.
Puolustuksen mukaan ilmoitus laadittiin yhteistyössä yrityksen tietosuoja- ja tietoturvatoimikunnassa, johon kuului myös työntekijöitä. Puolustuksen mukaan "Tapio ei ole salannut mitään keneltäkään".
Tapio vetoaa oikeudessa myös siihen, että syyttäjien esittämä tietosuojarikos olisi jo vanhentunut.
Lue myös: Poliisi kertoo MTV:lle, miten iso takavarikko Tuusulassa paljasti Vastaamo-jutun pääepäillyn – tietomurtajaa vastaan on vahvaa näyttöä
Tietomurron tutkinta yhä kesken
Oikeudenkäyntiä varten on varattu kaikkiaan yli 10 istuntopäivää. Asia on määrä saada käsiteltyä maaliskuun loppuun mennessä. Käräjäoikeus antaa ratkaisun asiassa myöhemmin.
Tietosuojarikoksesta, jollaisesta ex-toimitusjohtajaa syytetään, voidaan tuomita sakkoja tai enintään vuosi vankeutta. Syyttäjät vaativat Tapiolle vankeusrangaistusta.
Tietojen vuotamiseen syksyllä 2020 johtaneen tietomurron osalta poliisin esitutkinta on vielä kesken.
KRP uskoo, että vyyhdin taustalla oli parikymppinen tietoverkkorikollinen Aleksanteri Kivimäki.
Nuorukainen pakoili viranomaisia kuukausien ajan, kunnes hänet löydettiin Ranskasta helmikuun alussa ja tuotiin Suomeen viime perjantaina.
Kivimäki määrättiin tutkintavankeuteen Länsi-Uudenmaan käräjäoikeuden päätöksellä tiistaina.
1:34
Vastaamon tietomurrosta epäilty Aleksanteri Kivimäki passitettiin tutkintavankeuteen tiistaina. MTV Uutiset oli paikalla vangitsemisoikeudenkäynnissä. Katso yltä, miten rikoksista epäilty nuorukainen reagoi toimittajien läsnäoloon.