Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio kiisti torstaina syytteen tietosuojarikoksesta Helsingin käräjäoikeudessa.
Syytteen mukaan Tapio laiminlöi riittävästä tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta.
Syyttäjän mukaan Vastaamoon kohdistui kaksi tietomurtoa, yksi vuonna 2018 ja toinen maaliskuussa 2019. Epäilynä on, että vuonna 2018 tehdyssä murrossa vietiin potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Syyttäjän mukaan Vastaamossa ei oltu tästä murrosta tietoisia.
Tapion syytteessä on kyse maaliskuun 2019 tietomurrosta ja sen jälkeisestä ajasta lokakuuhun 2020 asti. Syyttäjän mukaan ulkopuolinen taho murtautui 15. maaliskuuta 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti potilastietokantapalvelimelle kiristysviestin.
Syyttäjä sanoo, että Tapio tiesi tästä tietomurrosta ja Vastaamon tietoturvan huonosta tasosta. Syyttäjän mukaan motiivina salailuun oli turvata tuleva yrityskauppa. Pääomasijoittaja Intera Partners hankki osake-enemmistön Vastaamosta muutama kuukausi tietomurron jälkeen.
Syyttäjän mukaan tapahtuneen jälkeen Vastaamossa tehdyt toimenpiteet olivat riittämättömiä ja potilastietokannan turvallisuus oli vaarantuneena lokakuuhun 2020 saakka. Silloin Vastaamo kertoi joutuneensa kiristyksen kohteeksi ja sen jälkeen selvitys ja poliisitutkinta tapahtumista aloitettiin.
Tapiolle vaaditaan ehdollista vankeutta
Syyttäjän mukaan Vastaamon tietoturvan taso oli alkeellinen ja puutteita oli muun muassa salaus- ja kirjauskäytännöissä, palomuurisuojauksessa ja tietoturvapäivityksissä.
– Vastaamolla on ollut vartioitavana erittäin arkaluonteisia ihmisten yksityiselämään liittyviä tietoja. Arviointi tietoturvan tasosta on suhteutettava myös siihen, että minkälaista turvaa olisi tarvittu potilasrekisterin takia, syyttäjä Pasi Vainio sanoi oikeudessa.
Tapio kiistää syytteen kokonaisuudessaan. Tapion puolustuksen mukaan Vastaamon tietojärjestelmä olisi oikein käytettynä ollut turvallinen, mutta se vaarantui it-työntekijöiden virheen takia.
Tapion asianajaja Liina Kokko sanoi, että kaksi it-työntekijää avasi marraskuussa 2017 Vastaamon tietojärjestelmän suojaukset ja tietokantaportin internetiin ja jätti sen auki.
– Tietoturva-aukko on suljettu 15.3.2019 sen jälkeen, kun (työntekijät) ovat havainneet, että Vastaamon potilastietojärjestelmään on tunkeuduttu, potilastietokanta on sotkettu ja sen tilalle on jätetty kiristysviesti. Tapiota asiasta ei ole informoitu tuolloin eikä myöhemminkään, vaan Tapiolle on annettu asiasta se kuva, että palvelin oli kaatunut teknisen tietokantavirheen takia, puolustus sanoo.
Puolustuksen mukaan koska Tapiolla ei ollut tietoa tietomurrosta, hän ei voinut niitä myöskään viranomaisille antaa. Syyttäjän mukaan Tapio kertoi Valviralle, että kyseessä oli ollut huoltokatko ja huollossa tapahtunut virhe. Yhtiön sisäisessä viestinnässä puhuttiin palvelujen kaatumisesta ja teknisestä viasta.
Tietosuojarikoksesta voidaan tuomita sakkoja tai enintään vuosi vankeutta. Vainion mukaan tässä tapauksessa syyttäjä vaatii rangaistukseksi ehdollista vankeutta, mutta hän ei vielä kommentoinut sen määrää.
