Psykoterapiakeskus Vastaamo on joutunut tietomurron ja kiristyksen kohteeksi. Yhtiö kertoi asiasta keskiviikkona tiedotteessa .
Joidenkin asiakkaiden luottamuksellisia tietoja on yhtiön mukaan varastettu. Marraskuun 2018 jälkeen kirjatut asiakastiedot eivät tämänhetkisen tiedon mukaan ole vaarantuneet.
Vastaamon mukaan tuntematon vihamielinen osapuoli on ollut yhteydessä yhtiöön ja väittänyt saaneensa haltuun sen asiakkaiden luottamuksellisia tietoja.
STT tavoitti Vastaamon hallituksen puheenjohtajan Tuomas Kahrin, joka ei tarkentanut, millaisista asiakastiedoista on kyse.
Ilta-Sanomien ja Talouselämän mukaan verkossa olisi julkaistu väitettyjä potilastietoja, jotka ovat olleet luonteeltaan hyvin henkilökohtaisia ja joissa on näkynyt asiakkaan nimi. Kahri sanoo, ettei hän ole tällaisia tietoja nähnyt, eikä näin ollen pysty vahvistamaan tietoa.
– Traficomin Kyberturvallisuuskeskus pyrkii poistamaan kaikki tiedot, jos sellaisia julkisuuteen leviää. Niiden levittäminenhän on jo itsessään myös rikos, Kahri sanoo.
Rikostutkinta aloitettu
Keskusrikospoliisi on aloittanut asiasta rikostutkinnan, minkä vuoksi Vastaamo ei ole aiemmin saanut viestiä asiasta, Kahri sanoo.
Tapahtumasta on tehty myös ilmoitukset Suomen kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle. Asiaa on lisäksi selvitetty ulkopuolisten ja riippumattomien tietoturva-asiantuntijoiden kanssa.
Vastaamon mukaan yhtiön tietojärjestelmiä on tarkistettu, ne ovat vahvasti suojattuja ja tietoturva-ammattilaiset valvovat niiden käyttöä nyt tehostetusti.
Talouselämän mukaan tietovuotajana esiintynyt henkilö olisi kertonut anonyymillä keskustelupalstalla yrittäneensä kiristää Vastaamon toimitusjohtajalta Ville Tapiolta 400 000 euron edestä virtuaalivaluutta bitcoineja. Henkilö oli julkaissut myös väitettyä sähköpostikirjeenvaihtoaan Tapion kanssa.
Tuomas Kahri sanoo STT:lle, ettei meneillään olevan poliisitutkinnan vuoksi voi kertoa lisätietoja tietomurron ajankohdasta tai kiristyksen yksityiskohdista.
– Psykoterapiapalveluita tarjoavalle yhtiölle asioiden luottamuksellisuus on äärettömän tärkeää ja ihan olennainen osa toimintaa. Pahoittelemme syvästi tietomurtoa, Kahri sanoo.
Myös rekisterinpitäjä voi joutua vastuuseen
Tietosuojavaltuutetun toimistosta kerrotaan, että tietoja säilyttävän tahon tulee suojata laajasti luottamukselliset tiedot, kuten terveys- ja pankkitiedot. Apulaistietosuojavaltuutettu Jari Råman kommentoi STT:lle yleisellä tasolla, että erityisesti terveydentilaa koskevia tietoja on suojattava huolellisemmin kuin monia muita tietotyyppejä.
– Tokihan tässä aina on se ongelma, että sen, joka tietoja pyrkii suojaamaan, pitäisi pyrkiä tilkitsemään kaikki mahdollinen. Sen, joka tietoihin pyrkii kiinni pääsemään, ei tarvitse löytää kuin yksi haavoittuvuus, Råman sanoo.
– Välttämättä koskaan ei kaikkia mahdollisia haavoittuvuuksia voida tukkia, mutta yleisimmät kuitenkin pitäisi aina pyrkiä tukkimaan.
Jos luottamuksellisia tietoja vuotaa julki, on periaatteessa mahdollista, että vastuuseen joutuu myös rekisterinpitäjä eli se taho, joka tietoja on säilyttänyt. Råmaninkin tiedossa on joitain tapauksia, joissa tuomioistuin on määrännyt rekisterinpitäjän maksamaan korvauksia henkilötietojen epäasianmukaisesta käsittelystä.
Tiedot voivat liikkua verkossa vuosien ajan
Jos tietovuoto voi aiheuttaa korkeaa riskiä rekisteröidyn oikeuksille, rekisterinpitäjä on velvollinen ilmoittamaan asiasta henkilökohtaisesti niille, joiden tietoja on joutunut julki. Jos epäilee, että omia tietoja on vuotanut eikä yhteydenottoa ole kuulunut, kannattaa itse ottaa yhteyttä rekisterinpitäjään.
Vuotaneita tietoja voi Råmanin mukaan liikkua verkon markkinapaikoilla todella pitkään, kun aineistoja kaupataan eteenpäin.
– Niiden pois saaminen kokonaisuudessaan voi olla äärimmäisen hankalaa, Råman sanoo.
– Mitä on vuotanut nettiin, kokonaan sitä ei välttämättä koskaan pois saa.
Varsinkin sellaisilla tiedoilla, joista on rikolliselle taloudellista hyötyä tai joita pystyy käyttämään hyväksi jatkorikoksissa, on taipumus ilmaantua uudelleen.
Esimerkiksi vuonna 2011 Itä-Suomen yliopiston ja Työtehoseuran tietokannoista varastettiin tuhansia henkilötietoja, joilla on tehty petoksia vielä vuosia myöhemmin.