https://www.is.fi/digitoday/tietoturva/ ... 00336.html
17:04
Vastaamo: Toimitusjohtajalle potkut – toinenkin murto vuonna 2019, epäillään pimittäneen tietoja
Vastaamo kertoo irtisanoneensa toimitusjohtajansa. Hallituksen puheenjohtaja ottaa yhdessä johtoryhmän kanssa Vastaamon johdettavakseen. Samalla alkavat oikeustoimet.
Psykoterapiakeskus Vastaamon toimitusjohtaja pimitti tiedon yhtiön palvelimille tehdystä tietomurrosta yli puolentoista vuoden ajan. Vastaamon hallituksen puheenjohtaja Tuomas Kahri kertoo Ilta-Sanomille, että yhtiön toimitusjohtajana sen perustamisesta asti toiminut Ville Tapio on vapautettu tehtävistään.
Tämän lisäksi Vastaamon omistava Intera Partnetsin holding-yhtiö PTK Midco Oy on aloittanut siviilioikeudelliset toimenpiteet. Kahri on vaitonainen toimenpiteistä.
Toimenpiteen saattavat olla esimerkiksi omaisuuden turvaamistoimia. Käytännössä tämä voi tarkoittaa takavarikkoja ja hukkaamiskieltoja.
Tapio on ollut sivussa tehtävistään nyt noin puolentoista viikon ajan. Varsinainen irtisanominen tapahtui tänään maanantaina.
Tietoturvayhtiö Nixun tekemässä selvityksessä on käynyt ilmi, että Vastaamoon kohdistui myös toinen tietomurto. Tämä tapahtui maaliskuussa 2019.
– Tuossa kohtaa on hyvin todennäköistä, että asiasta on toimitusjohtaja tiennyt.
Vastaamo vaihtoi omistajaa. Kesäkuussa 2019. Intera Partnets osti Vastaamon osake-enemmistön. Kahrin mukaan toimitusjohtaja ei kertonut tietomurrosta uusille omistajille.
– Jos asiasta ovat muut Vastaamon sisällä tienneet, se on ollut hyvin pieni porukka.
Ostajataho Intera Partners toteutti keväällä Vastaamossa due diligence -tarkastuksen, eli suunnitellun yrityskaupan osapuolen suorittaman kohteen tarkastuksen. Tietojen vuotaminen ei käynyt ilmi tarkastuksessa.
– Tarkastuksen perusteella sijoitus uskallettiin tehdä.
Kahri sanoo Vastaamon toiminnan jatkuvan. Hän johtaa operatiivista toimintaa itse yhdessä johtoryhmän kanssa.
– Pyrimme tarjoamaan palveluita asiakkaille keskeytymättä.
Miten on luottamuspääoman takaisin saamisen kanssa?
– Vain jatkamalla työtä yhtiössä saamme luottamuspääoman palautettua.
Sanotte tarjoavanne ilmaista keskusteluapua asiakkaille. Avaatko tätä?
– Asiakkailla on mahdollisuus käydä keskustelemassa oman terapeutin kanssa ja saada kriisitukea itselleen.
Jos asiakkaat haluavat, ettei tapaamisista tehdä rekistereihin tulevia merkintöjä, onnistuuko tämä?
– Ne ovat keskusteluja, joista ei tarvitse tehdä merkintöjä. Ne eivät ole varsinaisia terapiakäyntejä. Ne ovat kriisiaputyyppistä keskustelua.
Oletteko nostamassa syytettä entistä toimitusjohtajaa vastaan?
– Ollaan käynnistämässä toimenpiteitä kauppaan liittyvissä asioissa.
Teillä oli IT-projekti 2020. Mistä oli kysymys?
– Siinä oli kysymys normaalista IT:n kehittämisestä. Suurin osa siitä liittyy muihin asioihin, vaikka mukana oli myös tietoturvan kehittämistä. Siinä oli esimerkiksi asiakasapplikaation ja laskutusrajapinnan kehittämistä.
– Toki tietoturvassakin on asioita, joita on pitänyt kehittää. Siitä tarpeesta myös tietoturva-asiat ovat nousseet roadmapille .
Tiedossa ei ollut, että tietoturva olisi ollut retuperällä ja sitä olisi korjattu?
– Ei. Minkäännäköistä indikaatiota menneisyyden ongelmasta ei ollut.
Asia tuli julki keskiviikkona. Miten tarjositte tukitoimia?
– Asiakaspalvelusta, jossa tarjottiin apua ja tukea kerrottiin heti, kun tämä on tapahtunut. Tukipuhelin lanseerattiin perjantaina.
Vaikka teillä on viestintästrategia mietitty kuntoon, onko asiakkaiden auttamisstrategiassa ollut viivettä ja onko päätöksiä tehty julkisen paineen alla?
– Tässä vaiheessa haluaisin kehua Vastaamon porukkaa, joka on tehnyt mielettömän määrän työtä. Normaalioloissa tulee noin 100 puhelua ja tiimissä on noin 10 hallinnollista henkilöä. Tämä tilanne ylittää resurssimäärän moninkertaisesti.
– Tiimi ei vaan kerta kaikkiaan ole pystynyt tuottamaan palvelua enemmän. Olemme vedonneet henkilökuntaamme, sieltä on saatu kivasti apua. Sieltä saatiin myös ehdotus ilmaisista keskusteluista. En ole kanssasi samaa mieltä siitä, että niihin on julkisen paineen alla suostuttu. Olemme yrittäneen miettiä tapoja ihmisten auttamiseen.
Mitkä ovat konkreettiset keinot, joilla Vastaamo auttaa asiakkaitaan?
– Tietosuojalainsäädäntöön liittyvät viestit lähetettiin heti ja toteutusmallista keskusteltiin tietosuojavaltuutetun toimiston kanssa. Se toteutettiin heti, kun poliisin asettama ilmaisukielto oli poistunut.
– Kun kiristys tuli julki, aloimme kerätä nettisivuillemme tietoa siitä, millaisia palveluja on tarjolla ja miten tulee toimia. Tarjolla on myös tietoa siitä, miten omia tietoja pääsee tarkastelemaan.
– Tämän lisäksi olemme ottaneet käyttöön terapeuttikeskustelut. Olemme pyrkineet siihen, että joka yksikössä olisi ihminen, jonka kanssa keskustella. Tämän työn määrä on niin suuri, että sitä on vaikea käsittää. Olemme kertoneet halukkuutemme tehdä työtä Punaisen ristin ja Rikosuhripäivityksen kanssa.
Antavatko terapeutit keskusteluapua ilman palkkaa?
– Olemme tekemässä mallin, josta he saavat pienen palkkion. Se ei ole samanlaista kuin täällä tehtävä terapiatyö.
Kuinka pitkälle tämä tuki kantaa? Onko ihminen oikeutettu useampaan keskustelukertaan?
– Tähän en pysty ottamaan kantaa. Se on terapeutin ratkaisu.
Teillä oli siis valmis auttamissuunnitelma, mutta terapeuttien apu kehitettiin myöhemmin?
– Meillä oli heti asiakastuki, josta sai prosessineuvoja ja sen jälkeen kriisipuhelin, josta sai muuta apua. Sen lisäksi lisättiin mahdollisuus, että terapeutti ottaa asiakkaitaan vastaan.
Pitääkö Vastaamo tätä riittävänä?
– Tutkimme vielä sitä, saammeko apua luottotietoja tarkastavista yhtiöistä, jotta voisimme tarjota palvelumallia [luottojen ottamisen estämiseen].
Muutto- ja luottotietoestot vaativat vaivaa ja ovat määräaikaisia. Nyt uhrit joutuvat maksamaan ajallaan ja rahallaan. Miten Vastaamo tulee vastaan?
– Pyrimme saamaan tämän palvelun [luottojen ottamisen estäminen] käyttöön ihmisille veloituksetta.
Entä muut estot, kuten Postin muuttotieto? Tarjoatteko toistaiseksi vain luottotietopalvelua?
– Toistaiseksi muta estoja ei ole käyty läpi.
Aiotteko tarjota niitä?
– Tässä vaiheessa sitä on liian aikaista sanoa.
Netissä olevaa tietosuojaselostettanne on muutettu ja nimiä poistettu. Miksi?
– Tässä on suojeltu ihmisiä ja siihen on lisätty asioita, joita halutaan ihmisten löytävän.
Onko teille tullut uhkailuja?
– Esimerkiksi minulle tulee henkilökohtaisesti jonkin verran uhkauksia.
Miten menettelet niiden kanssa?
– Olen ilmoittamassa ne poliisille könttänä.
Onko tämä koskettanut sinua muuten henkilökohtaisesti?
– Läheisiäni on ollut tietokannassa ja heille on tullut kiristysviestejä.
Oletko ollut missään yhteydessä toimitusjohtajaan keskiviikon jälkeen?
– Olen. Olemme kantaneet huolta myös siitä, että hän pysyy henkisesti voimissaan. Olemme pyrkineet tukemaan myös häntä.
Vastaamon brändi on ottanut melkoisen iskun. Miten saatte sen rakennettua takaisin?
– Keskitytään tässä vaiheessa siihen, että saadaan apua ihmisille.
Viestintästrategianne on ollut varsin maltillinen. Klassisen kriisiviestinnän neuvo on: kerro kaikki ja kerro heti.
– Tiimimme on pieni ja olemme työskennelleet koko ajan saadaksemme ihmisille apua. Lisäksi tieto, jonka nyt kerromme, on nyt vasta siinä kunnossa että sen voi julkaista.
Meillä on tiedossamme että työskentelette [viestinnässänne] Tekirin kanssa.
– Emme kommentoi, kenen kanssa työskentelemme. Meidänkin oppimme on, että kerro heti ja kerro kaikki. Mutta kerro kaikki vasta, kun tiedät. Olemme tehneet kaikki asiat niin nopeasti ja avoimesti kuin sen voi tehdä.
Tuolla ulkona on paljon vihaa ja raivoa. Miten kommentoit tätä?
– Kaikkien tulisi keskittyä siihen, että kiristyksen ja tietomurron tehnyt tehnyt taho saataisiin kiinni. Lisäksi selvitetään, mitä on tapahtunut niin yhtiön toiminnassa kuin koko konaisuudessa.
Mikä on Vastaamon vastuu tapahtumassa? Kiristäjä syytteli Vastaamoa. Millainen osavastuu teillä on?
– Rikollisen vastuu on huomattavan suuri. Haemme vielä tietoa sitä, mitä on tapahtunut. Se määrittelee myöhemmin vastuukysymyksiä.
Kantaako Vastaamo vastuunsa laiminlyönneistä, vaikka ne olisivat tapahtuneet edellisen johdon aikana?
– Selvitetään ensin, mitä on tapahtunut. Tässä kohden pyydän anteeksi, että tietoturvassa on ollut puutteita, joiden inhimmillinen hinta on tullut äärimmäisen raskaaksi.