Keskusrikospoliisin parhaat tutkijat kokosivat kahden vuoden ajan palapeliä siitä, miten Vastaamon johto oli päätynyt tilanteeseen, jossa aikamme synkin tietomurto pääsi tapahtumaan. Poliisi kuulusteli kymmeniä ihmisiä, teki teknistä tutkimusta ja kävi läpi asiakirjoja. Valtava, 2200-sivuinen esitutkinta-aineisto tarjosi syyttäjälle ja tuomioistuimelle kuvan nopeasti kasvaneesta, asiakkaiden synkkiä ajatuksia käsitelleestä yrityksestä, jonka toimitusjohtajalla oli salaisuus.
Esitutkinta-aineistosta ja todistajien kertomuksista selviää, että toimitusjohtaja oli vuosia säästänyt IT-kuluissa vastoin yhtiön juristin, tietosuojavastaavan ja IT-työntekijöiden suosituksia. Resurssien puute johti valtavaan tekniseen tietoturvavelkaan, joka osaltaan mahdollisti toistuvat tietomurrot. Nämä murrot huipentuivat potilastietojärjestelmän sotkemiseen, potilastietokannan päätymiseen hyökkääjän käsiin ja yhtiön asiakkaille vuonna 2019 lähetettyihin kiristysviesteihin. Tilanne mutkistui entisestään, kun toimitusjohtaja myi samana vuonna merkittävän osan Vastaamosta pääomasijoittajalle miljoonakaupassa.
Todistusaineisto viittaa siihen, että toimitusjohtajan valintoja ohjasi tavoite säästää potilaiden tietoturvan kustannuksella. Toisaalta taloudellinen motiivi saattoi vaikuttaa siihen, että ulkopuoliset asiantuntijat sekä merkittävät korjaukset ja investoinnit olisivat vaarantaneet yrityskaupan toteutumisen.
Vastaamon toimitusjohtajan tuomio 2023
Huhtikuun 18. päivänä 2023 Helsingin käräjäoikeus tuomitsi Vastaamon entisen toimitusjohtajan kolmen kuukauden ehdolliseen vankeusrangaistukseen tietosuojarikoksesta. Rikoslain 38 luvun 9 pykälä tuli voimaan vuonna 2018. Varsin uutta rikosnimikettä käytettiin tietääkseni ensimmäisen kerran.
Osallistuin alusta alkaen Vastaamon tietomurron selvittämiseen avustamalla yrityksen tietosuojavastaavaa, jota niin ikään epäiltiin aluksi tietosuojarikoksesta. Esitutkinnan valmistuttua syyttäjä katsoi, ettei tietosuojavastaavan ja toisen IT-työntekijän toiminta ylittänyt syytekynnystä. Tämän vuoksi tunnen tapauksen aineiston ja luin tarkkaan myös käräjäoikeuden tuomion. Analysoin tuomiota tässä kirjoituksessani, ja esitän huomioita, joista toivottavasti on yritysjohdolle ja tietosuojavastaaville apua.
Rikosprosessilla on useita eri tarkoituksia ja akateemikot ovat esittäneet erilaisia teorioita siitä, kuinka rikosoikeudellinen rangaistus on oikeutettavissa. Yksi tärkeä näkökulma on rikosprosessin ja rikoksesta tuomittavan rangaistuksen yleisestävä vaikutus. Tuomio ja sen perustelut toimivat tulevaisuudessa ohjeena muille samanlaisissa tilanteissa oleville kansalaisille heidän arjessaan vastaan tulevien valintojen tukena. Hyvin kirjoitetut tuomion perustelut auttavat välttämään muiden töppäilyt jatkossa.
Onnistuiko käräjäoikeus käsittelemään johdon vastuuta tietoturvasta oikein?
Miten hyvin prosessi meni? Kaikki alkoi varsin hyvin. Vastaamon hallituksen saatua tiedon kiristysviestistä, toimitusjohtaja ja IT-osasto laitettiin syrjään. Asiaa ryhtyi selvittämään joukko tietoturva-asiantuntijoita. Vastaamo käytti merkittävät resurssit tilanteen dokumentoimiseen. Tästä oli hyötyä myöhemmin poliisitutkinnassa. Poliisi käytti merkittävät resurssit esitutkintaan ja tämän seurauksena esitutkinta-aineisto oli erittäin kattava ja laadukas. Tutkinta oli laaja ja sen tekeminen kesti aikansa. Teosta tuomittavan matalan rangaistusmaksimin vuoksi jutussa piti nostaa syyte varsin ripeästi esitutkinnan valmistuttua.
Syyttäjät olivat selvästi ymmärtäneet, mistä jutussa on kyse ja syyttäjiä oli jutussa kaksi. Tuomioistuimen tuomiosta selviää, että todistajien kuulemisessa syyttäjät onnistuivat. Tuomioon jäi kuitenkin elementtejä, jotka voivat antaa virheellisen kuvan johdon vastuusta. Avaan niitä seuraavaksi.
Ensiksikin kyse oli tietosuojarikoksesta. Rikoslain 38 luvun 9 §:n 2 momentin mukaan:
Tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä [tietosuoja-asetuksessa] säädetään henkilötietojen käsittelyn turvallisuudesta.
Käräjäoikeudessa kuulleet todistajat yhdenmukaisesti kertoivat, että toimitusjohtaja oli johtanut IT-toimintoja. Myös joukko sähköposteja ja skype-viestejä näyttivät, että toimitusjohtaja tiesi ongelmista ja kieltäytyi antamasta resursseja niiden korjaamiseksi. Tämä vaaransi potilaiden henkilötiedot. Syyttäjien teonkuvauksessa tämä on otettu huomioon laaja-alaisesti:
Teonkuvaus syytteestä: “Tapio on tekoaikana, tultuaan tietoiseksi edellä kuvatusta tietoturvaloukkauksesta, toiminut vastoin sitä, mitä yleisessä tietosuoja-asetuksessa säädetään henkilötietojen käsittelyn turvallisuudesta laiminlyömällä vastuunsa siitä, että Vastaamon toiminnassa noudatetaan organisaation ja teknisen toteutuksen osalta yleisen tietosuoja-asetuksen vaatimusta henkilötietojen eheästä ja luottamuksellisesta käsittelystä uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit huomioiden.
… Puutteita on tietoturvan käytännön toteuttamisessa ollut ainakin potilasrekisterin palomuurisuojauksessa, ylläpitotunnusten käytössä ja hallinnoinnissa sekä salasana- ja kirjautumiskäytännössä, VPN-yhteyksien toteuttamisessa, palvelimien eriyttämisessä, tietoturvapäivityksissä, tietoturvan seurannassa ja auditoinnissa.
15.3.2019 tapahtuneen tietoturvaloukkauksen johdosta tehdyt toimenpiteet ovat olleet riittämättömät ja siten potilastietokannan, joka on sisältänyt arkaluonteisia tietoja yksityisten henkilöiden asiakkuudesta ja hoitosuhteesta, turvallisuus on ollut vaarantunut 21.10.2020 saakka.“
Syyttäjät rakensivat todistajien vahvistaman kuvan siitä, että yrityksen IT-asiat olivat toimitusjohtajan pitkälti yksin johtamat. Oikeudenkäyntiaineistosta käy ilmi, että toimitusjohtaja on johtanut IT-kehitystä poukkoillen ja resursseja säästellen. Tämän takia potilastiedot vaarantuivat myös tietomurron jälkeen. On huomattava, että tekoaika alkoi 15.3.2019. Näin ollen käräjäoikeus ei käsitellyt tätä aikaisempia laiminlyöntejä tai tekoja.
Käräjäoikeus tarrasi tuomiossaan syyttäjän pitkästä tietoturvaongelmien listasta kiinni yhteen ainoaan tekniseen seikkaan: tietojen pseudonymisointiin. Oikeus totesi, että tämä oli toimitusjohtajan tehtävä.
Tapio on syyllistynyt tietosuojarikokseen, kun hän ei ole toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta.
Tämän tehtävän laiminlyönti johti rikosvastuuseen. Syyttäjät rakensivat juttunsa lukuisiin puutteisiin, laiminlyönteihin sekä tahallisiin tekoihin sillä ajatuksella, että näistä vastuun kantajana on yrityksen johto.
Käräjäoikeus pitää ongelmallisena asettaa vastaajalle velvoitteen noudattaa IT-alan “parhaat käytännöt” -tasoisia keinoja. Huomio on ymmärrettävä, ja se johtuu siitä, että rikosvastuun on oltava tarkkarajainen. Rikosvastuun perustaminen alan tuntemille, mutta kirjoittamattomille säännöille on ymmärrettävästi ongelmallista. Ne kun ovat ovat harkinnanvaraisia ja jatkuvasti kehittyviä.
Vaikka kyse ei ollut valtionsalaisuuksista, tietojen suojaamisen olisi tullut olla erittäin korkeatasoista ja ennen kaikkea suunnitelmallista.
Vastaavasti tietosuoja lähtee siitä, että erilaisiin järjestelmiin tulee ottaa käyttöön erilaiset suojakeinot. Isoihin järjestelmiin, joissa käsitellään arkaluonteisia tietoja, tulee panostaa enemmän kuin pieniin, vähemmän arkaluontoisiin järjestelmiin. Tämän vuoksi rekisterinpitäjän tulee tehdä selvitykset toiminnastaan ja arvioida sen sisältämät riskit. Ja tietysti toimia niiden vähentämiseksi. On selvää, että Vastaamo oli iso palvelu täynnä erittäin arkaluonteista tietoa. Vaikka kyse ei ollut valtionsalaisuuksista, tietojen suojaamisen olisi tullut olla erittäin korkeatasoista ja ennen kaikkea suunnitelmallista.
Oikeudessa esitettiin Nixu Oyj:n tekemä auditointi Vastaamon järjestelmiin. Se oli tehty heti kiristysviestin tultua julki. Nixun asiantuntijan tekemä lista puutteista oli mittava. Käräjäoikeus katsoi, että tämä lista ei kuitenkaan ollut osoitus siitä, ettei Vastaamon tietoturva olisi ollut teknisesti ja organisatorisesti asianmukaisesti toteutettu. Vähempikin riittäisi.
Rikollisen puuttellinen johtaminen vai tekniikka?
Oikeus katsoi toimien riittävyydestä merkiksi erityisesti sen, että tietomurtoa ei ollut tapahtunut 2019 jälkeen. Tämän estämisen oikeus katsoo olleen konsultin kanssa tehdyn sopimuksen ansiota.
Vastaamo on tehnyt NSM:n kanssa 25.3.2019 päivätyn sopimuksen, jonka mukaan kaikilta palvelimilta tarkistetaan jatkuvasti saatavuutta niin verkkoyhteyden kuin sivulatauksen osalta sekä resurssien riittävyyttä muutaman minuutin välein ja mikäli rajat ylittyvät lähtee päivystäjälle hälytys. Käyttöjärjestelmät ja oheisohjelmat päivitetään kerran kuukaudessa olevassa huoltoikkunassa. Kriittiset haavoittuvuudet korjataan ensimmäisessä mahdollisessa tilanteessa ylimääräisessä huoltoikkunassa. Käräjäoikeus katsoo näiden toimenpiteiden joka tapauksessa vastaavan yleisen tietosuoja-asetuksen 32 artiklan d) kohtaa, oli sen soveltamista sitten pidettävä pakollisena tai ei.
Tässä kohtaa käräjäoikeus menee pahasti metsään. Kuulostaa siltä, että kuvattu palvelu testaa, onko verkkosivu pystyssä. Vastaavan palvelun voi ostaa sadalla dollarilla vuodessa. Palvelu ei kuitenkaan tee lainkaan toimia järjestelmän tietoturvan parantamiseksi tai testaamiseksi. On myös epäselvää, testaako tämä palvelu ainoastaan verkkosivujen palvelinta vai myös potilastietojärjestelmän palvelinta ohjelmointivirheiden varalta. Palvelu ei testaa avoimina olevia portteja tai tietokantojen salasanoja, eikä myöskään tarkasta, ovatko järjestelmät väärin konfiguroitu tai minkälaisilla salasanoilla järjestelmää voidaan käyttää.
Uskon, että murto olisi tapahtunut, vaikka tämä ostopalvelu olisi ollut alusta asti käytössä. Käräjäoikeus katsoi sen sijaan, että kun NSM:n palvelu otettiin käyttöön, eikätietomurtoja tapahtunut sen jälkeen, niin kaikki oli kunnossa.
Todistajien kertomukset, kirjalliset todisteet ja asiantuntijalausunnot näyttävät muuta. Vastaamon turvallisuuskulttuuri ja johtaminen olivat yhtä retuperällä kuin aikaisemminkin.
Fiksu hyökkääjä ei kaada palvelinta.
Lisäksi se seikka, että palvelin pysyi pystyssä, ei vielä ollut merkki siitä, ettei järjestelmässä olisi ollut hyökkääjiä. Fiksu hyökkääjä ei kaada palvelinta. Hyökkääjän kannattaa mielummin pitää palvelin toiminnassa ja jopa estää muilta hyökkääjiltä pääsy palvelimelle korjaamalla tietoturva-aukkoja. Näin palvelimen käyttöönsä saanut hyökkääjä voi kerätä siltä tietoa ja käyttää palvelinresursseja hyödykseen.
Ei ole kestävää ajatella, että tuomiossa kuvatut sopimukseen sisältyneet toimet täyttäisivät tietosuoja-asetuksen rekisterinpitäjälle asettamat vaatimukset:
Yleisen tietosuoja-asetuksen 32 artiklan 1 kappaleen mukaan ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Käräjäoikeus erikoisesti asetti erityistä painoarvoa pseudonymisoinnille:
Vaikka artiklan luettelo onkin katsottu olleen esimerkinomainen eikä pakottava, on siinä käsittelyn turvallisuuden kannalta ensimmäisenä toimenpiteenä nimenomaisesti mainittu henkilötietojen pseudonymisointi ja salaus.
Säännöksen sisältämän listan järjestyksellä ei ole lainsäädännössä erityistä merkitystä, ellei näin ole erikseen mainittu. Todennäköisempää on, että käräjäoikeus ei ymmärtänyt muista toimenpiteistä tai ajatteli, että yhden listakohdan täyttyessä asia on selvä – rikosvastuu täyttyy. Käräjäoikeus esimerkiksi jätti ratkaisematta kysymyksen siitä oliko toimitusjohtaja tietoinen aikaisemmista tietomurroista. Tästä syyttäjä esitti merkittävän määrän näyttöä.
Tässä syyttäjä epäonnistui käräjäoikeuden kanssa.
Pseudonymisointi on listan muista kohdista selkeäsi poikkeava kohta. Se on selkeä toimenpide, kun sen sijaan muut listan kohdat ovat kykyjä tai prosesseja. On selvää, että tuomioistuin olisi tarvinnut tässä asiantuntijoiden apua. Tässä syyttäjä epäonnistui käräjäoikeuden kanssa.
Toimien riittävyyttä tosiaan arvioidaan suojatun palvelun luonteen perusteella. Tämän vuoksi lätkäjoukkueen verkkosivuja arvioidaan eri mittareilla kuin psykoterapiakeskuksen potilastietoja. Johtamiseen ei tarvita kummallista teknistä osaamista. Johdonmukaisuus ja järjestelmällisyys auttavat pitkälti kehittämään turvallisuuskulttuuria ja tietoturvaa.
Apuna tässä työssä on tietoturvan johtamisjärjestelmät. Tällaisista toimiva ja varsin kevyt järjestelmä on ISO 27001 -standardi. Sen avulla arvioidaan ja dokumentoidaan yrityksen tietoturva ja rakennetaan sille johtamisraamit. Tällaista raamia Vastaamolla ei ollut. Tämä on puute, jonka myös Nixun asiantuntija toi esille, mutta jonka käräjäoikeus jätti huomioimatta.
Johdon valinnat yksittäisten tekniikoiden käyttöönotosta tai siitä, miten ne asennetaan käyttöön, ovat sattumanvaraisia ja voivat osoittautua jälkikäteen vääriksi. Näistä valinnoista johtoa ei tulisi pitää vastuullisena. Sen sijaan järjestelmällisen johtamisen puute on asia, joka johti turvallisuuden vaarantumiseen Vastaamon tapauksessa. Johdonmukainen johtaminen olisi vienyt palveluiden tietoturvan kehitystä eteenpäin, auttanut palautumaan ongelmista ja osoittanut, että johto on ottanut tietoturvan vakavasti.
Toistelu siitä, että tietoturva on yksittäisen keinon sijasta prosessi ei tällä päätöksellä toteudu.
Oikeustieteellisessä oikeuslähdeopissa sallittuja oikeuslähteitä on alan tapa. Tapa on teknisellä alalla kirjattu standardeihin. ISO 27001 noudattaminen ja siinä omaksutut hyvät toimintatavat mahdollistavat erilaisten perusteltujen turvatasojen ja ratkaisujen hyväksymisen. Mikäli tällaisia valintoja ei ole perustellusti tehty tai ainoa perustelu on kustannusten säästäminen, oikeuden tulisi ottaa tämä huomioon tuomiossaan. Toistelu siitä, että tietoturva on yksittäisen keinon sijasta prosessi ei tällä päätöksellä toteudu. Ehkä hovioikeus korjaa tilanteen.