Kotimaa

Tämä kaikki Vastaamo-tapauksesta nyt tiedetään – avoimia kysymyksiä on vielä paljon alkaen rikoksen tekijöistä

Rikoskomisario Marko Leponen vastasi toimittajien kysymyksiin Vastaamon tietomurtoon liittyvässä Krp:n tiedotustilaisuudessa sunnuntaina.
Rikoskomisario Marko Leponen vastasi toimittajien kysymyksiin Vastaamon tietomurtoon liittyvässä Krp:n tiedotustilaisuudessa sunnuntaina.

Mikä on Vastaamo?

Vastaamo on psykoterapiakeskus, joka tarjoaa psykoterapia- ja psykiatrian palveluita 23 kaupungissa eri puolilla Suomea (Espoo, Helsinki, Hämeenlinna, Joensuu, Jyväskylä, Kauhava, Kokkola, Kotka, Kouvola, Kuopio, Lahti, Lappeenranta, Oulu, Pori, Porvoo, Riihimäki, Salo, Seinäjoki, Tampere, Turku, Vaasa ja Vantaa). Työntekijöitä on 260.

Palveluita annetaan paljon digitaalisina palveluina eli asiakkaan asuinkunnalla ei ole merkitystä, kun hän asioi etävastaanotolla. Tällä hetkellä Vastaamon asiakkaana on 18 000 potilasta.

Vahvasti kasvanut yritys on yksi suurimmista ketjuuntuneista palveluntarjoajista Suomessa. Yritys on noteerattu muun muassa Kauppalehden "Sata nopeinta kasvajaa" -listauksessa,

Suurin omistaja on pääomasijoittaja Interan Partners, joka osti enemmistön Vastaamosta vuosi sitten kesällä. Yrityksen omistajia ovat myös sen perustajat, toimitusjohtaja Ville Tapio ja hänen äitinsä, psykoterapeutti Nina Tapio. Ville Tapio sai ajatuksen Vastaamo.fi-palveluista vuonna 2008, jolloin hän toimi konsulttina Sitran kuntaohjelmassa palvelusetelihankkeessa.

Jatkuu mainoksen jälkeen
Mainos päättyy

Mikä on Kelan rooli?

Kela on hankkinut Vastaamolta palveluita vuodesta 2015 alkaen. Nyt noin 2000 Vastaamon potilasta saa Kelan kuntoutuspsykoterapiatukea. Enemmistö Kelan tukea saavista potilaista on juuri kuntoutuspsykoterapiassa. Lisäksi on vaativan lääkinnällisen kuntoutuksen asiakkaita.

Eri sairaanhoitopiirit ovat hankkineet potilailleen palveluita Vastaamosta.

Mikä B-luokan tietojärjestelmä?

Vastaamo on sosiaali- ja terveysalan valvontaviranomaisen Valviran hyväksymä ja valvoma palveluntuottaja. Vastaamo on itse kehittänyt potilastietojärjestelmänsä. Se on yksi Suomen 260:sta sosiaali- ja terveydenhuollon tietojärjestelmästä. Vastaamon tietojärjestelmä on asiakastietolaissa säädetty B-luokan tietojärjestelmä. Se tarkoittaa, että laki ei edellytä järjestelmälle ulkopuolista tietoturvan arviointia tai sertifiointia. B-luokan järjestelmä voi olla yrityksen itse valvoma tai ostettu ulkopuolelta.

A-luokan järjestelmille on tehty tietoturva-arviointi. A-järjestelmät on liitetty valtakunnalliseen terveystietojen Kanta-palveluun.

Nyt kun suuria ongelmia on ilmennyt, on todennäköistä, että lainsäädäntöön tehdään muutoksia.

Oletettavasti Vastaamon palvelimissa olevat ohjelmistoversiot eivät ole olleet ajantasaisia. On myös oletettu, että järjestelmässä on voinut olla heikot salasanat.

Keskusrikospoliisin päällikkö Robin Lardot oli paikalla Krp:n tiedotustilaisuudessa.
Keskusrikospoliisin päällikkö Robin Lardot oli paikalla Krp:n tiedotustilaisuudessa.

Ovatko kiristäjät ja tietomurron tekijät samoja?

Vastaamo teki poliisille rikosilmoituksen tietomurrosta ja kiristyksestä 29. syyskuuta. Vielä ei tiedetä, milloin tietomurto on tehty. Ei myöskään tiedetä, onko tietomurron tekijä ja tiedoilla kiristäjä sama taho.

Ei myöskään tiedetä, onko asialla yksi vai useampi tekijä, eikä sitä onko/ovatko he suomalaisia vai ulkomaalaisia. Koska kyse on verkossa tapahtuvasta rikollisuudesta, tutkimusalueena on poliisin mukaan koko maapallo.

Tietoja on julkaistu ainakin salatussa Tor-verkossa, mutta on uhka, että ne leviävät myös muille alustoille. Julkisuuteen vuodettuja salaisia tietoja lukeva voi syyllistyä rikokseen.

Jatkuu mainoksen jälkeen
Mainos päättyy

Kiristäjät ovat uhanneet julkaista joka päivä sadan henkilön tiedot, jos he eivät saa lunnaita. He ovat vaatineet 40 bitcoinin eli 400 000 euron lunnaita. Bitcoin on "kryptovaluutta" eli tietoverkkojen yli toimiva maksuväline ja -järjestelmä, joka on vain käyttäjiensä hallinnassa.

Onko Vastaamo syyllinen?

Lauantaina selvisi, että Vastaamon tietomurron uhreiksi joutuneet asiakkaat ja työntekijät ovat joutuneet myös henkilökohtaisen kiristyksen uhreiksi.

Jopa kymmenientuhansien asiakkaiden tiedot ovat päätyneet vääriin käsiin. Keskusrikospoliisi ilmoitti sunnuntaina tiedotustilaisuudessa, että se selvittää, onko Vastaamo laiminlyönyt tietosuojaan liittyviä velvoitteitaan. Tuhannet ihmiset ovat jo tehneet rikosilmoituksen.

Poliisi on kertonut, että se saa apua niin kutsutuilta valkohattuhakkereilta eli hakkereilta, jotka selvittävät tietoturvaongelmia hyvässä tarkoituksessa. Suomen poliisi tekee yhteistyötä myös eri viranomaisten ja Euroopan poliisiviraston Europolin kanssa.

Miten maan johto on reagoinut?

Sisäministeri Maria Ohisalo (vihr) kuvasi tietomurtorikosta ja sillä kiristystä "vakavaksi, törkeäksi ja raukkamaiseksi". Ohisalo ja hallituksen kuusi muuta ministeriä: sosiaali- ja terveysministeri Aino-Kaisa Pekonen (vas), perhe- ja peruspalveluministeri Krista Kiuru (sd), liikenneministeri Timo Harakka (sd), kuntaministeri Sirpa Paatero (sd), oikeusministeri Anna-Maja Henriksson (r) ja puolustusministeri Antti Kaikkonen (kesk) olivat koolla sunnuntaina.

Ohisalo on keskustellut asiasta myös pääministeri Sanna Marinin (sd) kanssa. Koko hallitus käsittelee asiaa vielä tämän viikon keskiviikkona iltakoulussaan.

Myös tasavallan presidentti Sauli Niinistö on ottanut kantaa asiaan. Niinistö sanoi Ylen haastattelussa tekoa säälimättömän julmaksi. Niinistön mukaan teko korostaa kyberturvallisuuden, tietojen suojaamisen ja kansalaisten kriittisyyden merkitystä.

Jatkuu mainoksen jälkeen
Mainos päättyy
Haluatko käyttää

Osallistuaksesi keskusteluihin ole hyvä ja kirjaudu TS-tunnuksillasi

Olet kirjautuneena yritystunnuksella. Yritystunnuksella ei voi osallistua keskusteluihin.
Kirjoita uusi viesti
Viesti

Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Uudet näkökulmat keskustelussa vievät asioita eteenpäin. Siksi Turun Sanomat kannustaa verkkosivuillaan aktiiviseen ja rakentavaan keskusteluun.

Verkkokeskusteluun osallistuminen edellyttää rekisteröitymistä (jonka pääset tekemään tästä). Rekisteröityminen ei edellytä lehden tilaamista.

Keskusteluun voit kirjoittaa omalla nimelläsi tai nimimerkillä. Suosittelemme oman nimen käyttöä, sillä on arvokasta seistä mielipiteidensä takana. Ole kriittisenäkin kohtelias ja kunnioita muita. Epäasiallinen käytös estää osallistumisen keskusteluun.

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä, ja julkaisusta päättää toimitus. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda äläkä kiroile.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta. Tekstin yhteyteen voi liittää teemaan liittyviä asiallisia linkkejä, jotka toimitus tarkistaa ennalta. Mainoksia emme julkaise.

Verkon keskustelut ovat osa Turun Sanomien sisältöä, josta olemme vastuussa. Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Aiemmat viestit (2)

Vanhimmat ensin
Vastaa
Teppo Vanamo
Suomessa on koko tietoturva-ajattelu retuperällä
Onhan tässä lainsäädännössäkin norsun mentäviä aukkoja, mutta kyllä yritystenkin pitäisi käsittää, että jotkin tiedot ovat sellaisia, ettei niiden leväperäistä käsittelyä voida hyväksyä missään tapauksessa, ei ainakaan salaamattomana. Salaaminen ja käyttäjien autentikointi ovat jo niin peruskauraa, ettei tällainen tunaroiminen ole missään tapauksessa hyväksyttävää toimintaa. Voidaanko tätä perustellusti kutsua edes tietomurroksi, tiedothan olivat käsittääkseni kenen tahansa saatavilla.
Haluatko käyttää
Olet kirjautuneena yritystunnuksella. Yritystunnuksella ei voi osallistua keskusteluihin.
Kirjoita vastaus viestiin
Viesti

Viesti lähetetty!

Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22.
Virhe viestin lähetyksessä.
TS:n verkkokeskustelun säännöt

Uudet näkökulmat keskustelussa vievät asioita eteenpäin. Siksi Turun Sanomat kannustaa verkkosivuillaan aktiiviseen ja rakentavaan keskusteluun.

Verkkokeskusteluun osallistuminen edellyttää rekisteröitymistä (jonka pääset tekemään tästä). Rekisteröityminen ei edellytä lehden tilaamista.

Keskusteluun voit kirjoittaa omalla nimelläsi tai nimimerkillä. Suosittelemme oman nimen käyttöä, sillä on arvokasta seistä mielipiteidensä takana. Ole kriittisenäkin kohtelias ja kunnioita muita. Epäasiallinen käytös estää osallistumisen keskusteluun.

Turun Sanomien verkkokeskusteluun tulevat viestit tarkastetaan ennakolta. Siksi viestit julkaistaan viiveellä, ja julkaisusta päättää toimitus. Keskusteluja julkaistaan arkisin kello 9–23 ja viikonloppuisin kello 8–22. Toimitus voi lyhentää ja muokata kirjoituksia.

Kirjoittaja on juridisessa vastuussa viestinsä sisällöstä. Rasistisia, herjaavia tai ihmisten yksityisyyttä loukkaavia viestejä ei julkaista. Muista hyvät tavat, älä huuda äläkä kiroile.

Kirjoita napakasti. Emme julkaise yli 1 800 merkin viestejä. Pysy keskusteluketjun aihepiirissä. Älä yritä muuttaa aihetta. Tekstin yhteyteen voi liittää teemaan liittyviä asiallisia linkkejä, jotka toimitus tarkistaa ennalta. Mainoksia emme julkaise.

Verkon keskustelut ovat osa Turun Sanomien sisältöä, josta olemme vastuussa. Toimitus voi harkintansa mukaan sulkea keskusteluketjun.

Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.
Leif Michaelsson
Vast: Suomessa on koko tietoturva-ajattelu retuperällä
Vähintä olisi pitää tiedot sellaisessa koneesa joka ei ole netissä.
Tee ilmoitus sopimattomasta viestistä

Ilmoituksesi on siirtynyt käsittelyyn.
Virhe ilmoituksen lähetyksessä.