Skandaali paljasti puutteet

Kiristyksen uhriksi joutunut kansanedustaja haluaa tiukentaa lainsäädäntöä. Psykoterapiayritys Vastaamo toivoo poliisilta apua tietoturvaongelmiensa paikkaamiseen.

hakkerointi
Teksti
Matti Rämö
Julkaistu yli kolme vuotta sitten

Kansanedustaja Eeva-Johanna Eloranta (sd) sai lauantai-iltana 24. lokakuuta sähköpostin, joka on lähetetty jopa tuhansille Psykoterapiakeskus Vastaamon asiakkaille. Kiristäjä kertoi varastaneensa Elorannan potilas- ja henkilötietoja ja julkaisevansa ne verkossa, jos tämä ei maksa lunnaita.

Eloranta tapasi Vastaamon psykoterapeutin yhden kerran vuosia sitten.

”Halusin konsultoida psykoterapeuttia henkilökohtaisessa asiassa. Sain lähetteen eduskunnan työterveyslääkäriltä. Se ei ollut osoitettu tiettyyn paikkaan. Valitsin Vastaamon itse, sattumalta”, hän kertoo.

Elorannan mukaan skandaali pakottaa muuttamaan tietoturvaa koskevaa lainsäädäntöä. Hän aikoo tehdä lakialoitteen, jotta nykyistä useammassa sähköisessä palvelussa vaadittaisiin mobiilivarmenteen tai pankkitunnukset edellyttävää vahvaa tunnistautumista.

”Pelkän henkilötunnuksen avulla ihmisen nimissä voi ottaa pikavippejä, tilata tuotteita monista verkkokaupoista ja liittää ihmisen yrityksen hallitukseen.”

Kansanedustajan mielestä myös potilastietojen tallentamista voitaisiin arvioida uudelleen. ”Psykoterapeutti ei ole lääkäri ja hän tarjoaa lähinnä keskusteluapua. On syytä miettiä, kuinka kauan terapeutille kerrottua tietoa on syytä säilöä ja pitäisikö potilaan saada oikeus vaatia tietojaan poistettaviksi.”

Muutosvaatimuksia on kohdistettu myös sosiaali- ja terveydenhuollon tietojärjestelmävaatimuksiin.

 

Valvontaviranomainen Valvira luokittelee järjestelmät kahteen luokkaan. Ulkopuolinen asiantuntija arvioi A-luokan järjestelmien tietoturvan ja seuraa sitä säännöllisin väliajoin. B-luokan järjestelmään ei ole pakko tehdä ulkopuolista tietoturva-arviointia.

Vain A-järjestelmä voidaan yhdistää Kanta-palveluun, jonka avulla voidaan muun muassa välittää sähköisiä reseptejä. Vastaamon järjestelmä on B-luokkaa. Se on säästänyt rahaa.

”Koska ulkopuolista sertifiointia tai kovin yksityiskohtaisia vaatimuksia ei ole, voi B-luokan järjestelmän toteuttaa hyvinkin pienin resurssein”, kertoo Valviran yli-insinööri Antti Härkönen.

 

Vastaamon hallituksen puheenjohtajan Tuomas Kahrin mukaan yritys tuskin siirtyy ­A-järjestelmään jatkossakaan.

”Terapiatyötä ei toistaiseksi tarvitse kirjata Kantaan. Sikäli meillä ei ole tarvetta lähteä muuttamaan järjestelmää.”

Kahrin mukaan asiaa selvitetään myöhemmin. ”Nyt huolehditaan ensiksi siitä, että tietoturva on sillä tasolla, että toiminta jatkuu. Tällä hetkellä Nixu (tietosuojakonsultti) on tarkastanut tietojärjestelmät ja vahvistanut niiden suojausta.”

Kahri sanoo, että yrityksen henkilökunta keskittyy nyt avun antamiseen ihmisille, jotka ovat joutuneet “tämän hirveän rikoksen” uhreiksi.

“Yritämme saada kaikki mahdolliset resurssit, että saamme kaikki puhelut otettua vastaan, vastattua ihmisten huoliin, järjestettyä heille pääsy niihin potilastietoihin, joita he haluavat tarkastella.”

 

Vastaamo vaihtoi tietosuojavastaavansa viime viikolla. Kahrin mukaan tarkoituksena oli varmistaa, että tehtävään on riittävästi resursseja.

Ohjelmointitaustainen järjestelmäasiantuntija korvattiin asianajotoimisto Fondian lakimiehellä Elina Honkajuurella.

”Aluksi tutustumme kaikkiin mahdollisiin tietosuojasta ja tietoturvasta kertoviin dokumentteihin. Me vastaamme tietosuojasta. Tietoturvaan vahvistamiseksi kehotamme asiakasta hankkimaan tarvittaessa teknistä apua muualta”, Honkajuuri kertoo.

Tietosuojavastaava odottaa tietoturva-apua myös poliisin rikostutkinnasta.

”Uskoisin, että poliisit selvittävät ja käy asiantuntijoiden kanssa läpi tätä [tietomurtoa]. Siitähän jää sitten raportti, että onko [tietoturvassa] puutteita ja miten sitä pitää järjestää, sitä pystymme sitten seuraamaan.”

 

Vastaamon nykyinen pääomistaja on hakenut yrityksen entisen toimitusjohtajan Ville Tapion ja tämän vanhempien omaisuutta takavarikkoon lähes 10 miljoonan euron edestä, kertoo Ilta-Sanomat.

Hallituksen puheenjohtajan Kahrin mukaan Tapio on todennäköisesti tiennyt tietomurrosta jopa puolentoista vuoden ajan, mutta jättänyt kertomatta siitä perheyrityksen toiminnan ostaneelle Intera Partnersille. Yrityskauppa tehtiin keväällä 2019.

Tapio on kiistänyt Kahrin väitteen ja sanonut saaneensa tietää murrosta vasta lokakuussa 2020.

Valehteleeko entinen toimitusjohtaja siis sanoessaan, että olisi saanut tietää tietomurrosta vasta viimeisessä vaiheessa?

“En tiedä, mitä hän on sanonut. Kyse on kahdesta tietomurrosta, joista näyttää siltä, että 2019 maaliskuun tietomurrosta hän on ollut tietoinen. Tästä tietomurrosta ei ole kerrottu hallitukselle tai pääomistajille silloin kun on tehty yrityskauppaa tai ylipäätänsä missään yhteydessä sen jälkeen”, Kahri sanoo.