Psykoterapiakeskus Vastaamon entiselle toimitusjohtajalle luettiin torstaina syyte tietosuojarikoksesta Helsingin käräjäoikeudessa.
Syyttäjä sanoo, että Ville Tapio laiminlöi riittävästä tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta. Syyttäjän mukaan motiivina salailuun oli turvata tuleva yrityskauppa. Pääomasijoittaja Intera Partners hankki osake-enemmistön Vastaamosta keväällä 2019.
Tapio kiistää syytteen ja sanoo, ettei itsekään tiennyt tietomurrosta.
Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.
Tapion syytteessä on kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti. Syyttäjän mukaan ulkopuolinen taho murtautui 15. maaliskuuta 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti potilastietokantapalvelimelle kiristysviestin.
Syyttäjän mukaan tapahtuneen jälkeen Vastaamossa tehdyt toimenpiteet olivat riittämättömiä ja potilastietokannan turvallisuus oli vaarantuneena lokakuuhun 2020 saakka. Silloin Vastaamo kertoi joutuneensa kiristyksen kohteeksi ja sen jälkeen selvitys ja poliisitutkinta tapahtumista aloitettiin.
Syyttäjän mukaan Vastaamon tietoturvan taso oli "alkeellinen".
– Vastaamolla on ollut vartioitavana erittäin arkaluonteisia ihmisten yksityiselämään liittyviä tietoja. Arviointi tietoturvan tasosta on suhteutettava myös siihen, että minkälaista turvaa olisi tarvittu potilasrekisterin takia, syyttäjä Pasi Vainio sanoi oikeudessa.
Tapiolle vaaditaan ehdollista vankeutta
Syyttäjän mukaan Tapio kertoi Valviralle, että maaliskuussa 2019 kyseessä oli ollut huoltokatko ja huollossa tapahtunut virhe. Yhtiön sisäisessä viestinnässä puhuttiin palvelujen kaatumisesta ja teknisestä viasta.
– Tapion päähuolenaiheena on ollut, että järjestelmä saadaan nopeasti palautettua, tiedot pitää palauttaa ja kaikki kiristykseen viittaavat tiedot tulee salata ja tähän liittyvät asiat peittää. Tapio neuvoi (työntekijöitä), että asiasta annetaan tietoa "datakatkoksena" ja toiminnanohjausjärjestelmän häiriönä. Hän määräsi kaiken tietomurtoon liittyvän datan tuhottavaksi, syyttäjä sanoo.
Tietosuojarikoksesta voidaan tuomita sakkoja tai enintään vuosi vankeutta. Vainion mukaan tässä tapauksessa syyttäjä vaatii rangaistukseksi ehdollista vankeutta, mutta hän ei vielä kommentoinut sen määrää.
Puolustus: Järjestelmä oli oikein käytettynä turvallinen
Tapio kiistää syytteen kokonaisuudessaan. Hän sanoo, että yrityksen tietoturvasta vastasi kaksi it-osaston työntekijää eikä heistä kumpikaan kertonut hänelle maaliskuun 2021 tietomurrosta sen tapahtuma-aikaan.
Työntekijöitä epäiltiin esitutkinnassa tietosuojarikoksesta Tapion ohella. Syyttäjä jätti kuitenkin syytteet nostamatta, koska hänen mukaansa heidän syyllisyytensä tueksi ei ollut todennäköisiä syitä.
Tapion puolustuksen mukaan työntekijät yrittävät vierittää vastuuta omista virheistään Tapiolle. Tapion asianajaja Liina Kokko sanoi, että työntekijät avasivat marraskuussa 2017 Vastaamon tietojärjestelmän suojaukset ja tietokantaportin internetiin ja jättivät sen auki.
– Tietoturva-aukko on suljettu 15.3.2019 sen jälkeen, kun (työntekijät) ovat havainneet, että Vastaamon potilastietojärjestelmään on tunkeuduttu, potilastietokanta on sotkettu ja sen tilalle on jätetty kiristysviesti. Tapiota asiasta ei ole informoitu tuolloin eikä myöhemminkään, vaan Tapiolle on annettu asiasta se kuva, että palvelin oli kaatunut teknisen tietokantavirheen takia, puolustus sanoo.
Puolustuksen mukaan Vastaamon tietojärjestelmä olisi oikein käytettynä ollut turvallinen.
Puolustus sanoo, että Tapiolla ei ole ollut asiassa mitään salaamispyrkimyksiä, mistä kertoo puolustuksen mukaan myös hänen toimintansa syksyllä 2020.
– Kun kiristäjä otti yhteyttä syyskuussa 2020, Tapio oli välittömästi yhteydessä hallituksen puheenjohtajaan ja teki tutkintapyynnön. Hän käynnisti itse (ulkopuolisen yhtiön) tutkimukset ja antoi kaikki valtuudet tiedon välittämiseksi esitutkintaviranomaisille, Kokko sanoi.
Myös syyttäjän väite, että Tapio olisi määrännyt dataa tuhottavaksi, kiistetään kiivaasti.
– Väite on aivan älytön ja Tapiota henkilönä leimaava. Data on tallella ja se on meillä täällä todisteena, Kokko sanoi.
Mikä oli Tapion rooli Vastaamon it-asioissa?
Syyttäjä ja puolustus ovat erimielisiä myös siitä, missä määrin it-asiat ylipäänsä kuuluivat Tapion vastuulle. Syyttäjä viittasi Tapion taustaan ohjelmistokehittäjänä ja teknologiajohtajana ennen aloittamistaan Vastaamon toimitusjohtajana vuonna 2013.
– Tapio ehkä tällaiseen ulkopuolelta tulleeseen toimitusjohtajaan nähden eroaa siinä, että hän on ollut paljon (Vastaamon) järjestelmän kanssa tekemisissä ja kehittänyt sitä. Kun hänen tietämystään arvioidaan, tämä kannattaa ottaa huomioon, syyttäjä Vainio sanoi.
Esitutkinnassa Vastaamon työntekijät kertoivat Tapion tehneen itsekin tietotekniikkaan liittyviä työtehtäviä sekä johtaneen ja osallistuneen vahvasti it-asioihin yrityksessä.
Puolustuksen mukaan Tapio delegoi tehtäviä organisaation sisällä ja tietoturva oli selkeästi delegoitu kahden aiemmin mainitun it-työntekijän vastuulle.
Puolustuksen mukaan Tapion rooli Vastaamossa myös supistui sen jälkeen, kun Intera Partners osti yrityksen. Sitä myötä Tapio oli huomattavasti aikaisempaa vähemmän tekemisissä it-osaston kanssa eikä ainakaan enää toukokuusta 2020 lähtien osallistunut sen toimintaan tai toiminut it-henkilöiden esimiehenä, puolustus sanoo.
Tietomurrosta epäilty mies vangittiin aiemmin tällä viikolla
Länsi-Uudenmaan käräjäoikeus vangitsi tiistaina 25-vuotiaan miehen epäiltynä Vastaamoon kohdistuneesta törkeästä tietomurrosta. Epäilty Aleksanteri Kivimäki on asianajajansa välityksellä kiistänyt rikosepäilyt.
Vangitsemisen perusteena oli yhteensä kahdeksan epäiltyä rikosta. Häntä epäillään myös muun muassa törkeästä yksityiselämää loukkaava tiedon levittämisestä.
Kivimäki vangittiin Suomessa poissaolevana jo lokakuussa, ja samoihin aikoihin hänestä annettiin eurooppalainen pidätysmääräys. Hänet otettiin kiinni Ranskassa helmikuun alussa.
STT on julkaissut Kivimäen nimen poikkeuksellisesti jo esitutkintavaiheessa, sillä hän on aiemmin syyllistynyt vastaaviin vakaviin rikoksiin. Hänet on aiemmin tuomittu muun muassa American Airlines -lentoyhtiöön ja yhdysvaltalaisviranomaisiin kohdistuneista huijauksista. Lisäksi Vastaamon tietomurrolla on ollut laajaa yhteiskunnallista merkitystä.