Keskusrikospoliisi (KRP) on saanut valmiiksi esitutkinnan, joka koski Psykoterapiakeskus Vastaamon tietoturvaa ja -suojaa yhtiöön kohdistuneen tietomurron aikoihin.
Esitutkinta siirtyy syyteharkintaan kolmen yhtiössä tietoturvasta ja -suojasta vastanneen ihmisen osalta. Heitä epäillään tietosuojarikoksista, tarkemmin törkeästä huolimattomuudesta henkilötietojen käsittelyssä.
Tutkinnanjohtaja Marko Leponen sanoo, että kyse ei ole yksittäisestä teosta, vaan pidemmästä aikavälistä. Esitutkinnassa on hänen mukaansa tarkasteltu ajanjaksoa, joka alkaa yli kaksi vuotta ennen ensimmäistä tiedossa olevaa tietomurtoa.
– On tarkasteltu, mitä yrityksen sisällä on tapahtunut tietoturvan tai tietosuojan suhteen. On käyty läpi sitä, mitä on tehty, mitä olisi pitänyt tehdä ja mitä ei ole tehty, Leponen sanoo STT:lle.
Leposen mukaan Vastaamon tietoturva ja -suoja eivät ole olleet riittävällä tasolla.
– Kokonaisuutena on tultu siihen tulokseen, että se ei ole ollut riittävä suojaamaan näitä arkaluonteisia henkilötietoja.
Tietomurron ja kiristyksen tutkinta jatkuu
Vastaamoon kohdistui yhtiön mukaan tietomurto marraskuussa 2018 ja maaliskuussa 2019. Lokakuussa 2020 yhtiö kertoi joutuneensa kiristyksen kohteeksi. Asiakkaiden tietoja julkaistiin netissä ja heiltä vaadittiin lunnaita tietojen levittämisen uhalla.
Tätä puolta tutkitaan muun muassa törkeänä tietomurtona ja törkeänä kiristyksenä. Leponen sanoo, että tutkintaa tehdään edelleen aktiivisesti. Päätutkintalinja osoittaa Euroopan ulkopuolelle. Poliisi ei vielä kommentoi, mistä maasta tai maista on kyse tai montako epäiltyä tässä vaiheessa on.
Poliisin mukaan Vastaamon tietokannassa oli noin 33 000 ihmisen tiedot. Noin 22 000 ihmistä on tehnyt asiassa tutkintapyynnön, ja noin 6 000 on antanut täydentävän lausuman.
Poliisin tietoon on tullut noin sata tapausta vuodettujen tietojen väärinkäytöstä. Lisäksi poliisille on saapunut 10–15 rikosilmoitusta siitä, että kiristäjille on maksettu vaadittuja lunnaita.