Psykoterapiakeskus Vastaamon toimitusjohtajan epäillään pimittäneen tietomurtoa 1,5 vuotta

Suomalaisten veronmaksajien rahoituksesta nauttiva Psykoterapiakeskus Vastaamo ponnahti mediakentän ykköspuheenaiheeksi poikkeuksellisen arkaluontoisen tietovuodon vuoksi.

Pääkirjoitukset

Ville Tapio on ollut perustamassa Vastaamon, hoitaen palvelun ohjelmistopuolen.

Psykoterapiakeskus Vastaamo on joutunut mittavan tietomurron kohteeksi. Lauantaina selvisi, että Vastaamon tietomurron uhreiksi joutuneet asiakkaat ja työntekijät ovat joutuneet myös henkilökohtaisen kiristyksen uhreiksi.

Jopa kymmenientuhansien asiakkaiden tiedot ovat päätyneet vääriin käsiin. Keskusrikospoliisi ilmoitti sunnuntaina tiedotustilaisuudessa, että se selvittää, onko Vastaamo laiminlyönyt tietosuojaan liittyviä velvoitteitaan. Tuhannet ihmiset ovat jo tehneet rikosilmoituksen.

Psykoterapiakeskus laiminlyönyt tietoturvan

Vuonna 2020 ei pitäisi tulla uutena tietona enää kenellekään, että verkkorikollisuus on arkipäivää, ja sen kohteina ovat aivan kaikki verkkoon liitetyt laitteet tietokantoineen. Kuitenkin keskellä Euroopan kyberturvallisuuskuukautta Suomessa paljastui poikkeuksellisen laaja ja vakava tietovuoto, jota seurasi välittömästi asianomistajien kiristyskampanja. Kuvattu tapaus ei ole Ilkka Remeksen romaanista, vaan se on raakaa todellisuutta tässä ja nyt. Kuinka tämä on mahdollista? Vastaus piilee siinä, että Psykoterapiakeskus Vastaamo on laiminlyönneillään toiminut vähintään yhtä rikollisesti, kuin sen korkannut hakkerikin.

Julkisessa keskustelussa syyllisten hakeminen on kuitenkin rajoittunut pahasti vain hakkeripiireihin. Eräs tietomurron asianomistaja on, niin absurdilta kuin se kuulostaakin, haastattelussaan penännyt vastuuta jopa tor-verkon kaltaiselta teknologialta. Ongelman alku ja juuri on ollut kuitenkin yksiselitteisesti Vastaamon ala-arvoisessa tietoturvassa.

Mediassa ja pimeässä verkossa esitettyjen väitteiden mukaan asiakasrekisteriin on päässyt käsiksi nelikirjaimisella salasanalla, joka on ollut samalla myös kirjautumistunnuksena. Jos käytössä olisi ollut edes tietoturvan alkeiden mukainen salasana, olisi todennäköisesti taitavakin hakkeri osannut luovuttaa ajoissa ja jättää aikeensa sikseen. Tapausta tutkivat tahot eivät ole kommentoineet vielä tätä tekstiä kirjoittaessa väitteiden paikkansapitävyyttä ”tutkinnallisista syistä”, mutta muun muassa Iltalehden mukaan Vastaamon hallituksen kokouspöytäkirja tammikuulta 2020 paljastaa, että yhtiön it-asiat ”eivät olleet kaikilta osin tip top ‑kunnossa”.

Vastaamon historia alkaa pienestä perheyrityksestä

Helsingin sanomien (HS) artikkelissa vuodelta 2017 kerrotaan, kuinka 27-vuotias ohjelmistokehittäjä Ville Tapio perusti firman äitinsä kanssa vuonna 2008. Tuolloin äiti ja poika yhdistivät voimansa: Ville Tapion luodessa omin käsin Vastaamon verkkopalvelun, Nina Tapio otti vastuulleen henkilöstön, hän muun muassa rekrytoi uudet työntekijät ja huolehtii työntekijöiden koulutuksesta.

Toimitusjohtaja Ville Tapio kertoi yhtiön kehittämästä potilastietojärjestelmästä Kauppalehdessä tammikuussa 2017:

”Olemme itse kehittäneet järjestelmän, jossa koko putki asiakashankinnasta ajanvarauksiin, resurssien hallintaan, laskutukseen ja raportointiin on digitalisoitu”, Tapio kertoi lehdelle.

Vastaamo on kertonut yhteiskunnalliseksi tavoitteekseen hyvän mielenterveyden edistämisen, ongelmien ennaltaehkäisyn sekä hoidon ja kuntoutuksen.

Business Finlandilta Vastaamo sai tämän vuoden keväällä 100 000 euroa tukia.

Kuvio vaikuttaa selvältä: sen sijaan, että asiakkaiden tietosuoja olisi taattu asianmukaiselle tasolle, kultasuoneen iskenyt yritys on pyrkinyt mieluummin repimään sairaan yhteiskuntamme heikko-osaisimmista koostuvasta asiakunnastaan viimeisetkin rahat irti kalliilla vastaanottomaksuilla.

Tuoreimpien tietojen mukaan toimitusjohtaja Ville Tapio ”on vapautettu tehtävistään” yhtiön omasta aloitteesta, koska tämä on pimittänyt tiedon yhtiön palvelimille tehdystä tietomurrosta jo puolitoista vuotta, vaikka lain mukaan tietoturvaloukkauksista pitää ilmoittaa valvontaviranomaiselle 72 tunnin kuluessa.

Kesäkuussa 2019 Vastaamo vaihtoi omistajaa Intera Partnersiin. Intera Partnersin Tuomas Kahrin mukaan toimitusjohtaja ei kertonut tietomurrosta uusille omistajille.

Suomalaiset veronmaksajat ovat joutuneet tietämättään rahoittamaan Vastaamon toimintaa, uutisoi Iltalehti. Julkisen sektorin eläkkeitä hoitava Keva ja valtiovarainministeriön ohjaama Valtion Eläkerahasto ovat sijoittaneet Vastaamoon juuri Intera Partnersin pääomarahaston kautta. Luokattoman huonon yhtiön saama julkinen rahoitus osoittaa kuvaavasti, miten monimutkaisten finanssijärjestelyiden taakse piilotettu suomalainen 2000-luvun korruptio toimii.

Tietovuoto kiinnostuksen kohteena

Vuotaneet nimitiedot ja potilaiden arkaluontoiset kertomukset ovat kiinnostaneet muitakin kuin pimeän verkon vakiokäyttäjiä: muun muassa HS on 24.10. myöntänyt nähneensä listauksen, jossa oli noin 300 ihmisen nimitietoja ja heihin liitettyjä tiedostoja, vaikka pelkästään nimitiedot ovat yhtä lailla salaiseksi määriteltyä materiaalia, ja täten niidenkin selaaminen on rikollista toimintaa. Samaan hengenvetoon muistettiin toki vakuuttaa, että HS ei ole avannut listan takaa avautuvia muita tietoja, kuten potilaskertomuksia. Uskokoon ken tahtoo.

Maamme vasemmistohallituskaan ei ole puuttunut skandaaliin uskottavalla tavalla, vaikka tapauksessa on hahmotettavissa vastuuttoman riistokapitalismin malliesimerkki. Jää nähtäväksi, reagoiko maamme poliittinen eliitti tähänkään skandaaliin muuten kuin käyttämällä sitä keppihevosena entistä orwellilaisempaan lainsäädäntöön.

Business Finland Hyvinvointi Intera Partners Kotimaa Mielenterveys Pääkirjoitukset Psykopatia Psykoterapiakeskus Vastaamo Rikos Teknologia Terapia Tietoturva Tietovuoto Ville Tapio Yhteiskunta

Keskustelu

7 kommenttia

Partisaani ei väitä eikä takaa, että kommenttien sisältämä tieto olisi virheetöntä tai täydellistä.

  • ensvaikutelma

    Vastaa

    Tuon toimarin ulkoasu antaa ymmärtää että se on metroseksuali.

    • Nimetön

      Vastaa

      Toimitusjohtajan kuva palauttaa mieleeni takavuosien ”monsterit” tv-sarjan.

  • sotatila

    Vastaa

    Tällaiset tietomurto iskut ovat osa nykyajan sissi toimintaa, sotatilaa.

    Jospa valtio onkin tämän tietomurron takana, tai se on tehty tilaustyönä valtion puolesta ja tällä haetaan lisävaltuuksia puuttua ihmisten vapauksiin ja oikeuksiin. Voi olla lavastettu juttu. Mihinkään mitä hallituksen edustajat ja viranomaiset sanovat ei pääsääntöisesti pidä luottaa.

    • Edullinen pilvi

      Vastaa

      Ehkä se on enemmän tyhmyyttä. Tungetaan kaikki data pilvipalveluihin ja kuvitellaan että ollaan ainoita joilla on oikeudet niitä lukea. Ja sitten ollaan pöristyneitä kun pilvipalvelu-operaattorit tekevät mokia joissa kaikkien data on kaikille näkyvissä. Niitä on useita jo ihan parin viimevuodenkin aikana.

      Joo, kuinka monta yritystä tiedätte joill on omat serverit? Siis sähköpostiserveritä lähtien? Siihen tulee heti vaikeusasteita lisää kun välissä on palomuuri ja proxy. Ja logit joita oikeasti luetaan/seurataan.

    • Rauhoitu

      Vastaa

      Oli kyllä taas melko kaukaa haettu salaliittoteoria, eiköhän kyse ollut ihan olemattoman surkeasta tietoturvasta yrityksellä, jonka pitäisi suojata asiakkaitensa tiedot äärimmäisin toimin. Eipä tuossa ole hirveästi murtamista tarvinnut harrastaa jos amatöörimäinenkin ”hakkeri” on päässyt näihin tietoihin käsiksi käyttäen käyttiksenä ja salasanana ”root”-sanaa. Ihmisten henkilötietojen, varsinkin potilastietojen suojaamiseen pitäisikin puuttua kovalla kädellä, kun ne selvästi ovat näin retuperällä.

  • sotatila

    Vastaa

    Vakava tietomurto Ruotsissa uhkaa mm. pankkien ja parlamentin turvallisuutta.

    Gunnebo-konsernia kuvataan merkittäväksi toimijaksi turvallisuuden, hälytyslaitteiden ja valvonnan alalla maailmanlaajuisesti.

    Laajat tietovuodot yhtiön palvelimilta sisältävät piirustukset hälytysjärjestelmistä ja valvontakameroista SEB:n toimistossa Ruotsissa. Niihin kuuluvat turvaluokitellut piirustukset Ruotsin veroviraston uudesta toimistosta Sundbybergissä, Gunnebon ja Riksdagin hallinnon välisen sopimuksen, joka paljastaa yksityiskohdat parlamentin suojauksesta.

    Piirustuksissa on myös mm. yksi Tukholman ylellisimmistä koruliikkeistä, joissa on merkinnät turvaholvin sijainnista ja piirustukset vähintään kahden saksalaisen pankin holvivarastoista sekä valokuvat, jotka osoittavat pankkiautomaattien asennukset Ruotsissa.

    Sectra Communicationsin tietoturva-asiantuntijan Leif Nixonin mukaan fyysisiä tiloja koskevat vuodot ovat erityisen ongelmallisia.

    ”Tästä on vaikea toipua, kyse on niin monista fyysisistä rakennuksista, jotka jouduttaisiin rakentamaan uudelleen”, hän sanoo Dagens Nyheterille.

    https://mvlehti.net/2020/10/27/vakava-tietomurto-ruotsissa-uhkaa-mm-pankkien-ja-parlamentin-turvallisuutta/

    Tämä on nykyajan sissi toimintaa. Todellista vastarintaa rikollista eliittiä vastaan. Nyt nähdään että myös rikollinen eliitti ja niiden järjestelmät ovat haavoittuvaisia.

    Tällaisia iskuja tarvitaan paljon enemmän mikäli aiotaan taistella. On tärkeää että ihmiset huomaavat että vihollinen on lyötävissä.

  • Roktolooki

    Vastaa

    Pitaa muistaa, etta aina, kun jotain asiaa, oli sitten kysymyksessa tietoturva tai mika muu siihen verrattavissa oleva asia hyvansa, hoitaa ihminen, se on aina ketjun heikoin lenkki ja lahjottavissa, koneiden kanssa nain ei ole. Tutkikaa ex toimaria mikroskoopilla, siella se vastaus on.

  • Vastaa

    Kommentit julkaistaan viiveellä eivätkä näy heti.

    Sähköpostiosoitettasi ei julkaista.

    Lue seuraavaksi