Vastaamon entinen IT-työntekijä: "Jos jotain ei tehty kunnolla, niin se oli tietoturva"

Vastaamon entisen toimitusjohtajan Ville Tapion oikeudenkäynti tietosuojarikoksesta jatkuu edelleen Helsingin käräjäoikeudessa. Tänään oikeudessa on kuultu Vastaamossa IT-asioiden parissa työskennellyttä miestä.

Esitutkintavaiheessa miestä sekä toista Vastaamon IT-työntekijää epäiltiin Tapion rinnalla tietosuojarikoksesta. Syyttäjä ei kuitenkaan nostanut syytettä kaksikkoa vastaan, joten oikeudessa työntekijää kuultiin todistajana.

Mies kertoi käräjäoikeudelle pitkälti samaa, mitä syyttäjä on asiassa jo aiemmin väittänyt: Vastaamon tietoturva-asiat olivat hunningolla ja vastuu asioista on viime kädessä Ville Tapiolla.

"Aika hankala liittää tällaisia vastuita"

Tapio on kiistänyt syyllistyneensä mihinkään rikokseen ja syyttänyt yrityksen tietoturvafiaskosta entisiä alaisiaan, eli todistajana kuullutta miestä sekä hänen työkaveriaan.

IT-työntekijä totesi oikeudessa, ettei vastuu ongelmista voi olla hänen tai hänen kollegansa harteilla, sillä he työskentelivät firmassa nollatuntisopimuksella.

– Nollatuntisopimukseen on aika hankala liittää tällaisia vastuita ja velvollisuuksia, hän sanoi.

Mies kertoi myös, että kahden miehen IT-osaston työtehtävät ja roolit olivat sekavia, vaikka molemmilla miehistä olikin omat erikoisosaamisensa. Tekemistä ei johdettu selkeästi.

– Ville (Tapio) monesti juoksi päivisin business-tapaamisissa ja muissa, ja niistä päästyään lähetteli viestejä, että olisi kiva saada tällaisia ja tällaisia systeemejä, ja olisi kiva jos ne olisivat olleet valmiina jo eilen. Että saisiko.

"Rytmiä ei ollut"

Todistajan mukaan Tapio ei halunnut käyttää IT- tai tietoturva-asioihin rahaa, vaikka yritys avasi uusia toimipisteitä ja palkkasi uusia työntekijöitä.

Sen sijaan Tapio keskittyi todistajan mukaan siihen, että yritys saa laskutukset hoidettua ja rahaa tulee sisään.

– Rytmiä ei ollut lukuun ottamatta laskutuksen delegointia.

– Jos jotain ei tehty Vastaamon tapauksessa kunnolla, niin se oli tietoturva, hän summasi.

Hyvin heikko tietoturva

Mies kertoi oikeudessa myös konkreettisista tietoturvapuutteista, jotka hän työssään kohtasi. Hän kuvaili esimerkiksi yrityksen potilastietojärjestelmän turvallisuutta hyvin heikoksi.

– Se oli rakennettu web-teknologialla. Symphonyllä [ohjelmisto], ja vielä sen vanhalla versiolla. Sitten Ville halusi, että sitä pääsee kaikki käyttämään tosi kätevästi ulkopuolelta.

Palvelu oli auki internetiin, eikä sen käyttämiseen vaadittu turvallista VPN-yhteyttä. IT-työntekijä kertoi, että VPN-asioista oli puhuttu Tapion kanssa useaan otteeseen, mutta turhaan.

Työntekijä kertoi myös, että Tapiolla itsellään oli tapana käydä tekemässä muutoksia suoraan palvelun koodiin verkon välityksellä.

Näin ei tavallisesti toimita, vaan muutokset tulisi yleensä tehdä erillisen versionhallintapalvelun kautta. IT-työntekijän mukaan versionhallintaa ei voinut Vastaamossa käyttää, koska Tapio muutteli "tuotannossa" eli käytössä olevaa koodia lennosta.

Tiesikö Tapio tietomurrosta?

Syyttäjä siis vaatii Ville Tapiolle ehdollista vankeusrangaistusta tietosuojarikoksesta. Syytteen mukaan Tapio ei Vastaamon toimitusjohtajana huolehtinut tarpeeksi yrityksensä tietoturva- ja tietosuoja-asioista.

Oikeusjutun yhtenä keskeisenä kysymyksenä on se, tiesikö Ville Tapio jo maaliskuussa 2019, että yhtiön tietoturva on kriittisesti vaarantunut.

Tuolloin yrityksen palvelimelle tunkeuduttiin ja potilastietokanta tuhottiin. Tilalle oli jätetty kiristysviesti, jossa vaadittiin parinsadan euron edestä virtuaalivaluuttaa.

Tapio on kiistänyt tienneensä tietomurrosta ja arvellut, että yrityksen IT-työntekijät yrittivät peitellä asiaa häneltä.

Syyttäjä puolestaan lähtee siitä, että Tapio pyrki itse peittelemään tapahtunutta.

Myös todistajana kuullun IT-työntekijän mukaan Tapio tiesi tietomurrosta varhaisessa vaiheessa ja oli jopa itse mukana selvittämässä tapahtunutta IT-työntekijöiden kanssa.

"All good"

Työntekijä arveli oikeudessa, että Tapio halusi salata tapahtuneen, koska pian tapahtuneen jälkeen Vastaamo myytiin Intera Partners -yhtiölle useiden miljoonien eurojen hintaan. Tietomurto ei olisi miehen mukaan "näyttänyt hyvältä".

Miehen mukaan Tapio laatikin tietoturvapoikkeamasta valheelliset raportit viranomaisille. Raporteissa väitettiin, että Vastaamon palveluissa olisi ollut vain käyttökatko. Tietomurrosta ei mainittu sanallakaan.

– Niissä oli hyvin siloiteltu kuva siitä, että järjestelmä on kaatunut ja se nostetaan pystyyn. Että ”all good”, työntekijä kertoi käräjäoikeudelle.

Työntekijän mukaan hän itse oli huolissaan tapahtuneesta ja sitä mieltä, että asiasta pitäisi kertoa.

Tapio lähti hänen mukaansa siitä oletuksesta, että kun mikään ei viitannut yrityksen potilastietojen vuotaneen, sitä ei tapahtunut.

– Olin huolissani siitä, että oli tapahtunut mahdollinen potilastietovahinko.

– Että ei tiedetä mikä on tilanne, mutta se pitää silti kirjata sinne.

Työntekijän mukaan Tapio käski IT-väen keskittyä asiasta murehtimisen sijaan kadonneiden potilastietojen palauttamiseen.

"Mitä hemmettiä täällä tapahtuu?"

Syksyllä 2020 viimein paljastui, että yrityksen potilastiedot oli anastettu. Yritystä alettiin kiristää tietojen julkaisemisen uhalla, ja pian tiedot vuodettiin pimeään Tor-verkkoon.

Viranomaiset arvelevat, että tiedot varastettiin jo vuonna 2018 toisessa tietomurrossa, josta Vastaamossa ei oltu edes tietoisia.

IT-työntekijä muisteli tilannetta, jossa Ville Tapio sai tietää tapahtuneesta. Hänen mukaansa Tapio kutsui IT-työntekijät ensin kotiinsa Helsingin Tammisaloon.

– Ville oli ihan stressaantunut ja sanoi, että toimitusjohtajana kai tässä täytyy ottaa vastuu.

Pian suunnitelma olikin muuttunut. 

– Ville soitti muutamaa päivää myöhemmin, että jonkun täytyy ottaa tapahtuneesta syyt niskoilleen.

IT-työntekijän mukaan Tapio ilmoitti, että toinen IT-työntekijä tulisi olemaan "ensimmäinen joka kaatuu".

– Olin, että mitä hemmettiä täällä tapahtuu.

Lue myös:

    Uusimmat