Uutiset

Vastaamo erotti toimitusjohtajan – Pimitti tietomurtoa puolitoista vuotta

Yhtiön pääomistaja on aloittanut oikeudelliset toimenpiteet tapauksen vuoksi.
Vastaamon mukaan selvitysten perusteella on todennäköistä, että tietomurto on tapahtunut marraskuussa 2018. Kuva: Arttu Laitala
Vastaamon mukaan selvitysten perusteella on todennäköistä, että tietomurto on tapahtunut marraskuussa 2018. Kuva: Arttu Laitala

Psykoterapiakeskus Vastaamon toimitusjohtaja Ville Tapio on irtisanottu tehtävästään. Tehtävästään maanantaina vapautettu toimitusjohtaja on jättänyt kertomatta yhtiön palvelimille tehdyistä tietomurroista ja tietoturvapuutteista.

Tämän hetkisten tietojen mukaan toimitusjohtaja on pimittänyt tietoja puolentoista vuoden ajan.

Yhtiön teettämässä sisäisestä selvityksestä on käynyt ilmi, että järjestelmään on voitu tunkeutua maaliskuun 2019 puoliväliin asti. Toimitusjohtaja ei ole kuitenkaan kertonut tiedoistaan yhtiön hallitukselle tai omistajalle.

– Vaikuttaa ilmeiseltä, että yhtiön toimitusjohtaja on ollut tietoinen tietomurrosta ja saanut tietoonsa Vastaamon tietoturvapuutteet. Yhtiön nykyiselle hallitukselle ja pääomistajalle ei ole kerrottu maaliskuun 2019 tietomurrosta eikä yhtiön järjestelmissä olleista tietoturvapuutteista, yhtiön tiedotteessa kerrotaan.

Yhtiön operatiivisesta toiminnanjohtamisesta vastaa toistaiseksi hallituksen puheenjohtaja Tuomas Kahri yhdessä yhtiön johtoryhmän kanssa.

Oikeustoimet edessä

Vastaamon hallituksen mukaan yhtiön pääomistaja on maanantaina käynnistänyt oikeudellisia toimenpiteitä, jotka liittyvät toukokuussa 2019 allekirjoitettuun yrityskauppaan Vastaamosta.

Vastaamon suurin omistaja on pääomasijoittaja Interan Partners, joka osti enemmistön Vastaamosta vuosi sitten kesällä. Intera omistaa hankkimansa osakkeet holdingyhtiö PTK Midco oy:n kautta.

Yrityksen omistajia ovat myös sen perustajat, irtisanottu toimitusjohtaja Ville Tapio ja hänen äitinsä, psykoterapeutti Nina Tapio.

Ville Tapio sai ajatuksen Vastaamo.fi-palveluista vuonna 2008, jolloin hän toimi konsulttina Sitran kuntaohjelmassa palvelusetelihankkeessa.

Vastaamo teetti oman selvityksen

Vastaamo sai tiedon kirityksestä syyskuun lopussa, kun kiristäjä lähestyi kiristysviestillä kolmea psykoterapiakeskuksen työntekijää.

Vastaamo ilmoitti asiasta Keskusrikospoliisille, joka aloitti asiasta rikostutkinnan. Lisäksi tapahtuneesta ilmoitettiin Suomen kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle.

Yhtiö aloitti omat sisäiset selvitykset tapahtuneesta kyberturvayhtiö Nixun kanssa. Näiden selvitysten perusteella on todennäköistä, että asiakastietokannan varastamiseen johtanut tietomurto on tapahtunut marraskuussa 2018.

Silloin Vastaamon asiakastietojärjestelmän suojauksessa on ollut puute, jota hyödyntämällä rikolliset ovat päässeet käsiksi silloiseen asiakastietokantaan.

– Nykytiedon mukaan järjestelmään on voitu tunkeutua myös maaliskuun 2019 puoliväliin asti. Tiedossamme ei ole, että tietokanta olisi varastettu marraskuun 2018 jälkeen, mutta on mahdollista, että yksittäisiä tietoja on tarkasteltu tai kopioitu, yhtiö kertoo.

Yhtiön mukaan selvitystyössä ei ole kuitenkaan mahdollisuutta saa täyttä varmuutta asioiden kulusta.

– Sen perusteella on kuitenkin ilmeistä, että Vastaamon tietoturvassa on ollut puutteita, joiden myötä rikolliset ovat päässeet tunkeutumaan tietokantaan maaliskuun puoliväliä 2019 edeltävänä ajankohtana.

Toisen tietoturvaan liittyvässä tarkastuksessa havatiin kehityskohteita, mutta ei kriittisiä puutteita tietoturvassa.

– Tässä selvityksessä ilmeni useita kehityskohteita, mutta ei kriittisiä tietoturvapuutteita. Vastaamon tietojärjestelmien kehitystyö on sen jälkeen ollut jatkuvaa.

Päivän lehti

24.11.2020

Fingerpori

comic