Tämä kaikki Vas­taa­mo-ta­pauk­ses­ta nyt tie­de­tään – Avoimia ky­sy­myk­siä on vielä paljon alkaen ri­kok­sen te­ki­jöis­tä

Onko Vastaamo laiminlyönyt tietosuojaan liittyviä velvoitteitaan, sitäkin tutkitaan.

Rikoskomisario Marko Leponen vastasi toimittajien kysymyksiin Vastaamon tietomurtoon liittyvässä KRP:n tiedotustilaisuudessa sunnuntaina.
Rikoskomisario Marko Leponen vastasi toimittajien kysymyksiin Vastaamon tietomurtoon liittyvässä KRP:n tiedotustilaisuudessa sunnuntaina.
Kuva: Mauri Ratilainen

Mikä on Vastaamo?

Vastaamo on psykoterapiakeskus, joka tarjoaa psykoterapia- ja psykiatrian palveluita 23 kaupungissa eri puolilla Suomea (Espoo, Helsinki, Hämeenlinna, Joensuu, Jyväskylä, Kauhava, Kokkola, Kotka, Kouvola, Kuopio, Lahti, Lappeenranta, Oulu, Pori, Porvoo, Riihimäki, Salo, Seinäjoki, Tampere, Turku, Vaasa ja Vantaa). Työntekijöitä on 260.

Palveluita annetaan paljon digitaalisina palveluina eli asiakkaan asuinkunnalla ei ole merkitystä, kun hän asioi etävastaanotolla. Tällä hetkellä Vastaamon asiakkaana on 18 000 potilasta.

Vahvasti kasvanut yritys on yksi suurimmista ketjuuntuneista palveluntarjoajista Suomessa. Yritys on noteerattu muun muassa Kauppalehden "Sata nopeinta kasvajaa" -listauksessa,

Suurin omistaja on pääomasijoittaja Interan Partners, joka osti enemmistön Vastaamosta vuosi sitten kesällä. Yrityksen omistajia ovat myös sen perustajat, toimitusjohtaja Ville Tapio ja hänen äitinsä, psykoterapeutti Nina Tapio. Ville Tapio sai ajatuksen Vastaamo.fi-palveluista vuonna 2008, jolloin hän toimi konsulttina Sitran kuntaohjelmassa palvelusetelihankkeessa.

Mikä on Kelan rooli?

Kela on hankkinut Vastaamolta palveluita vuodesta 2015 alkaen. Nyt noin 2000 Vastaamon potilasta saa Kelan kuntoutuspsykoterapiatukea. Enemmistö Kelan tukea saavista potilaista on juuri kuntoutuspsykoterapiassa. Lisäksi on vaativan lääkinnällisen kuntoutuksen asiakkaita.

Eri sairaanhoitopiirit ovat hankkineet potilailleen palveluita Vastaamosta.

Mikä B-luokan tietojärjestelmä?

Vastaamo on sosiaali- ja terveysalan valvontaviranomaisen Valviran hyväksymä ja valvoma palveluntuottaja. Vastaamo on itse kehittänyt potilastietojärjestelmänsä. Se on yksi Suomen 260:sta sosiaali- ja terveydenhuollon tietojärjestelmästä. Vastaamon tietojärjestelmä on asiakastietolaissa säädetty B-luokan tietojärjestelmä. Se tarkoittaa, että laki ei edellytä järjestelmälle ulkopuolista tietoturvan arviointia tai sertifiointia. B-luokan järjestelmä voi olla yrityksen itse valvoma tai ostettu ulkopuolelta.

A-luokan järjestelmille on tehty tietoturva-arviointi. A-järjestelmät on liitetty valtakunnalliseen terveystietojen Kanta-palveluun.

Nyt kun suuria ongelmia on ilmennyt, on todennäköistä, että lainsäädäntöön tehdään muutoksia.

Oletettavasti Vastaamon palvelimissa olevat ohjelmistoversiot eivät ole olleet ajantasaisia. On myös oletettu, että järjestelmässä on voinut olla heikot salasanat.

Ovatko kiristäjät ja tietomurron tekijät samoja?

Vastaamo teki poliisille rikosilmoituksen tietomurrosta ja kiristyksestä 29. syyskuuta. Vielä ei tiedetä, milloin tietomurto on tehty. Ei myöskään tiedetä, onko tietomurron tekijä ja tiedoilla kiristäjä sama taho.

Ei myöskään tiedetä, onko asialla yksi vai useampi tekijä, eikä sitä onko/ovatko he suomalaisia vai ulkomaalaisia. Koska kyse on verkossa tapahtuvasta rikollisuudesta, tutkimusalueena on poliisin mukaan koko maapallo.

Keskusrikospoliisin päällikkö Robin Lardot oli paikalla KRP:n tiedotustilaisuudessa.
Keskusrikospoliisin päällikkö Robin Lardot oli paikalla KRP:n tiedotustilaisuudessa.

Tietoja on julkaistu ainakin salatussa Tor-verkossa, mutta on uhka, että ne leviävät myös muille alustoille. Julkisuuteen vuodettuja salaisia tietoja lukeva voi syyllistyä rikokseen.

Kiristäjät ovat uhanneet julkaista joka päivä sadan henkilön tiedot, jos he eivät saa lunnaita. He ovat vaatineet 40 bitcoinin eli 400 000 euron lunnaita. Bitcoin on "kryptovaluutta" eli tietoverkkojen yli toimiva maksuväline ja -järjestelmä, joka on vain käyttäjiensä hallinnassa.

Onko Vastaamo syyllinen?

Lauantaina selvisi, että Vastaamon tietomurron uhreiksi joutuneet asiakkaat ja työntekijät ovat joutuneet myös henkilökohtaisen kiristyksen uhreiksi.

Jopa kymmenientuhansien asiakkaiden tiedot ovat päätyneet vääriin käsiin. Keskusrikospoliisi ilmoitti sunnuntaina tiedotustilaisuudessa, että se selvittää, onko Vastaamo laiminlyönyt tietosuojaan liittyviä velvoitteitaan. Tuhannet ihmiset ovat jo tehneet rikosilmoituksen.

Poliisi on kertonut, että se saa apua niin kutsutuilta valkohattuhakkereilta eli hakkereilta, jotka selvittävät tietoturvaongelmia hyvässä tarkoituksessa. Suomen poliisi tekee yhteistyötä myös eri viranomaisten ja Euroopan poliisiviraston Europolin kanssa.

Miten maan johto on reagoinut?

Sisäministeri Maria Ohisalo (vihr.) kuvasi tietomurtorikosta ja sillä kiristystä "vakavaksi, törkeäksi ja raukkamaiseksi". Ohisalo ja hallituksen kuusi muuta ministeriä: sosiaali- ja terveysministeri Aino-Kaisa Pekonen (vas.), perhe- ja peruspalveluministeri Krista Kiuru (sd.), liikenneministeri Timo Harakka (sd.), kuntaministeri Sirpa Paatero (sd.), oikeusministeri Anna-Maja Henriksson (r.) ja puolustusministeri Antti Kaikkonen (kesk.) olivat koolla sunnuntaina.

Ohisalo on keskustellut asiasta myös pääministeri Sanna Marinin (sd.) kanssa. Koko hallitus käsittelee asiaa vielä tämän viikon keskiviikkona iltakoulussaan.

Myös tasavallan presidentti Sauli Niinistö on ottanut kantaa asiaan. Niinistö sanoi Ylen haastattelussa tekoa säälimättömän julmaksi. Niinistön mukaan teko korostaa kyberturvallisuuden, tietojen suojaamisen ja kansalaisten kriittisyyden merkitystä.