Vastaamon tietovuoto – 13 avointa kysymystä

Jaakko Kilpeläinen
Kirjoittaja
Jaakko Kilpeläinen
Julkaistu
24.10.2020

PÄIVITYS 25.10.2020: Tilanne on muuttunut tämän bloggauksen tehtyäni vielä vakavammaksi. Nyt kiristäjä on lähestynyt sähköpostitse suoraan niitä Vastaamon asiakkaita, joiden tiedot ovat vuotaneet pimeään verkkoon. Minäkin sain kyseisen kiristysviestin. Koska Vastaamo ei itse ole antanut asiakkailleen selviä toimintaohjeita, niitä on listattu toisaalle. Yksi selkeä ohjeisto suositeltavista, akuuteista käytännön toimista linkkeineen löytyy tämän bloggauksen alusta. Hae myös rohkeasti apua, jos tilanne ahdistaa, em. bloggauksessa on myös parin paikan yhteystiedot. Ymmärrän, jos avun hakemisen kynnys on vähän aiempaa korkeampi tietovuodon aiheuttaman luottamuspulan takia, mutta uskon että tämän katastrofin johdosta avuntarjoajien tietosuoja on aiempaa paremmalla tasolla.

Tästä alkaa eilinen bloggaukseni:

Tämä on rakenteeltaan, sisällöltään ja sävyltäänkin poikkeuksellinen blogikirjoitus, ainakin minun mittapuullani. Tekstin rakenne on vähän hajanainen, ja kerron tässä henkilökohtaisempia asioita kuin julkisilla nettifoorumeilla yleensä.

En myös jaksa esittää objektiivista peitellen niitä kielteisiä tunteita, joita tämä tällä viikolla paljastunut katastrofi minussa herättää. Tällä hetkellä nimittäin näyttää parempien (eli asianosaisilta itseltään saatujen) tietojen puuttuessa siltä, että tuhansien ihmisten yksityisimmät salaisuudet ovat vuotaneet nettiin siksi, että niitä on säilytetty kryptaamattomina jossain vanhentuneessa, laiminlyödyssä karvalakkijärjestelmässä, eräiden väitteiden mukaan helposti arvattavan default-salasanan takana. Nyt kun ne itse aiheutetut riskit ovat realisoituneet, vastuulliset näyttävät pakoilevan vastuutaan eivätkä vastaa yleisön päässä kiehuviin kysymyksiin, vaikka vastuuta ja vastauksia saattaisi Vastaamo-nimiseltä putiikilta erehtyä odottamaan.

Kyse on tietenkin psykoterapiakeskus Vastaamon tietovuodosta, jonka uhri mitä ilmeisemmin itsekin olen. Käsittelen asiaa joukkoviestintäaiheisessa blogissani, koska paitsi että kyseessä on inhimillisesti katsoen ehkä Suomen tähän asti vakavin tietovuoto, jossa on henkilökohtaisen kriisin ainekset tuhansille ihmisille, tapauksessa on mediaan ja viestintään liittyviä ulottuvuuksia, joista haluan kirjoittaa ja näin jäsennellä viime päivinä mielessä pyörineitä asioita.

Minulla oli kolmisen vuotta sitten työuupumus ja muita terveysongelmia. Kävin pari kertaa Vastaamon vastaanotolla puhumassa niistä. Suurella todennäköisyydellä minunkin henkilötietojani ja ammattiauttajan tekemiä keskustelumuistiinpanoja (joiden en edes tiennyt tallentuvan minnekään) on vuotanut minulle tuntemattomiin käsiin. En tiedä yhtään, kenellä minua koskevia tietoja nyt on, mitä ne tiedot ovat ja millaista vahinkoa ne voivat minulle vielä aiheuttaa.

Kaiken järjen mukaan minulla ei kylläkään pitäisi olla mitään hätää verrattuna tuhansiin muihin. Kävin Vastaamon vastaanotolla onneksi vain ne pari kertaa ja hoidin itseni kuntoon enimmäkseen ihan muualla. En muistaakseni kertonut mitään sellaista, mitä voisi käyttää minua vastaan. Työuupumusta ja sensorttisia asioita, joita kävin siinä vaiheessa läpi, on ollut itse kullakin eivätkä ne ole nykyään mitään tabuja – vaikkakin mieluiten pitäisin tällaiset asiat omana tietonani, jos saisin valita.

Tosin tapauksesta on sen verran aikaa ja se uupumus oli sen verran, hmm, uuvuttavaa, että en kyllä tarkkaan muista mitä siellä tuli puhuttua. Olen pyytänyt Vastaamosta kaikkia niitä tietoja, mitä firman rekistereissä minusta on, mutta tiedot viipyvät (varmaan ihan ymmärrettävästä syystä). Tämän tekstin lopussa kerron, miten kuitenkin sain tietopyyntöni eteenpäin ja koin tulleeni vakavasti otetuksi. Suosittelen sinua tekemään samoin, jos olet asioinut Vastaamossa vuonna 2018 tai aiemmin etkä ole muutoin jo saanut vastausta tietopyyntöihisi ja kysymyksiisi.

Olivat minua koskevat tiedot mitä tahansa, kyllähän tämmöinen kieltämättä vituttaa, tyrmistyttää, hämmentää ym. – paitsi omasta puolestani, niin varsinkin niiden tuhansien, joilla on pelissä enemmän, jopa elämä. Eikä vain Vastaamon asiakkaiden takia vaan myös heidän läheistensä takia, joita koskevia tietoja terapeuttien muistiinpanoissa käsitellään. Hirvittää terapeuttien itsensäkin takia – voi olla kuumottava tilanne, jos vaikka joku päihderiippuvainen, impulssikontrolliltaan alikehittynyt asiakas saa tietää, mitä terapeutti on hänestä jonnekin kirjannut. Kun ei sen hakkerin henkilöllisyydestä ole mitään tietoa, jonkun itsehillintäongelmaisen viha voi kohdistua terapeuttiin.

Olen tietosuoja-asioissa aika ummikko, varsinkin mitä tulee siihen liittyvään tekniikkaan. Mutta olen lueskellut asiantuntijoiden näkemyksiä aiheesta. Mediasta ja viestinnästä tiedän jonkin verran. Ja sitten on vielä se omakohtainen, rikoksen uhrin näkökulma.

Näistä näkökulmista kirjasin ylös 13 kysymystä, joihin en ole Vastaamolta enkä medialta saanut mielestäni tyydyttävää vastausta:

  • Pitäisköhän median kohdistaa kritiikkiä ja kriittisiä kysymyksiä enemmänkin Vastaamon suuntaan, ei vain sen näätämäisen kiristäjähakkerin ja yleisellä tasolla koko tietosuojaproblematiikan? Media näyttää minun mielestäni yleisesti ottaen vähän lammasmaisesti tyytyneen raportoimaan Vastaamon hallituksen puheenjohtajan epäinformatiivisia lausuntoja, vaatimatta vastauksia samalla vimmalla kuin vastauksia vaaditaan kohussa ryvettyneeltä poliitikolta tai laulajalta. Osa tämäkin bloggauksen keloista tod.näk. pyörii tällä hetkellä aika monen mielessä ja saisi kenties pyöriä enemmän mediassakin.
  • Voiko pitää paikkansa, mitä jotkut hakkerit ovat arvelleet, että siinä Vastaamon tietokannassa käyttäjätunnus ja salasana olivat molemmat oletussanoja tyyliin root? Vastaamo ei ole myöntänyt mutta ei kiistänytkään tätä, kuten ei ole paljon muitakaan kansan keskuudessa vellovia kysymyksiä.
  • Tietosuoja-asioihin perehtynyt lakimies Jussi Salokangas kirjoitti Twitterissä näin: ”Suurin ’rikollinen’ tuossa #Vastaamo tietovuodossa on mielestäni se, joka on pyörittänyt asiakastietokantaa kryptaamattomassa muodossa ja jossa on ollut yhdistettynä asiakkaan henkilötiedot (ml. henkilötunnukset).” F-Securen tietoturvallisuusjohtaja Erka Koivunen puolestaan toteaa Hesarissa, että niistä vuodetuista tiedoista on ”helposti nähtävillä, että tietojen käsittelyssä ja säilyttämisessä ei ole nähty suurta vaivaa niiden salaamiseksi”. Hän sanoo: ”Siellä ei ole edes yritetty suojata. On luotettu siihen että sen tiedostojärjestelmän tai tietokannan ääreen pääsee vain valtuutetut tahot.”  Tänään 24.10. HS kertoo jonkun asiantuntijan kertoneen, että useat Vastaamon käyttämät palvelimet ovat olleet jo vuosia päivittämättä ja yhden käytetyn ohjelmointikielen tuotetuki on päättynyt vuonna 2016. Yrityksen intranetiin ja potilasrekisteriin viittaavia verkko-osoitteita on ollut julkisesti nähtävillä. Pitävätkö nämä väitteet tosiaan paikkansa? Hiljaiseksi vetää.
  • Onko tosiaan niin, että meidän tietomurron uhrien pitäisi nyt tehdä luottokielto ja tietojenluovutus- ja rekisteröintikieltoja eri tahoille? Meidän pitäisi siis nähdä vaivaa ja käyttää rahaakin (ainakin osa noista toimista on maksullisia) vaikeuttaaksemme omaa elämäämme siksi, että joku firma on laiminlyönneillään aiheuttanut Suomen historian ehkä vakavimman tietosuojaan liittyvän skandaalin?
  • Miten käy sille, joka ei saa tietää henkilötietojaan vuodetun ja sitten niillä tiedoilla perustetaan joku koijarifirma tai tehdään muuta asiatonta? Joutuuko ihminen siitä itse vastuuseen, koska mitäs antoi henkilötietonsa terapiakeskuksen vuodettaviksi (tai esim. hänen vanhempansa antoivat, jos henkilö oli Vastaamossa asioidessaan alaikäinen)?
  • Miksi selkeitä, kattavia toimintaohjeita ei ole uhrien Vastaamolta saamassa viestissä vaan tiedonrippeitä pitää kaapia kokoon sieltä sun täältä? Eräs vuodon uhri kuvaa ongelmaa osuvalla vertauksella: ”Se on kuin lainaisin hyvän ystäväni kotia alueella, jossa on paljon asuntomurtoja. Jättäisin oven auki, talo tyhjennettäisiin, ja sitten minä vain pahoittelisin tilannetta. Kyllähän minun pitäisi auttaa rikosilmoituksen teossa, uusien kalusteiden hankinnassa ja niin edelleen. Nyt Vastaamo uhriutuu tässä, vaikka he jättivät oven selälleen”Yle Uutisten haastattelema uhri toteaa.
  • Vastaamossa varmasti tiedetään jo yhtä ja toista siitä, mikä tässä meni pieleen. Miksei koko kansa jo tiedä siitä varmaksi juuri mitään? Kun virheistä vastuussa oleva taho julkisesti selvittäisi perusteellisesti, miten tällainen on mahdollista, muut arkaluontoisten henkilörekisterien pitäjät ehkä kiirehtisivät huolehtimaan siitä, että tällainen on tulevaisuudessa vähän vähemmän mahdollista.
  • Miksi kuulin tästä tapauksesta ekan kerran Ilta-Sanomista, en Vastaamolta? No Vastaamon mukaan siksi, että poliisi kehotti pitämään asian salassa. Mutta miksi poliisi toimi näin; mitä ne tutkinnalliset syyt ovat olleet? Tietosuojavaltuutetun toimiston sivuilla ohjeistetaan, että tietoturvaloukkauksista pitää ilmoittaa rekisteröidyille (eli niille henkilöille) ”ilman aiheetonta viivytystä, jotta rekisteröidyllä on mahdollisuus suojautua esimerkiksi sulkemalla luottokorttinsa.”
  • Missä Vastaamon toimitusjohtaja lymyää? Miksi puhevastuu on firman hallituksen puheenjohtajalla, joka ei hänkään ihan kauhean paljon kerro? Vastaamon toimitusjohtaja on kuitenkin kyseisen firman perustaja, joka Vastaamon nettisivujen mukaan ”toimi 15 vuotta yrittäjänä, ohjelmistokehittäjänä ja teknologiajohtajana digitaalisten palveluiden kehityksessä useilla toimialoilla”. Hänen jos kenen olisi luullut olevan kartalla firman tietoturvan tilasta, syynäävän järjestelmät riskien varalta ja paikkaavan löytyneet aukot. Tämä toimari ei ole tähän asti vältellyt julkisuutta vaan kertonut siellä aiemmin avoimesti firmansa taustoista ja menestyksestä. Nyt olisi suoraselkäistä tulla esiin, kertoa kaikki mitä tapauksesta tietää ja kantaa johtajalle kuuluva vastuu – olivat varsinaiset virheet kenen tahansa tekemiä. Tämäkin vähentäisi tapaukseen liittyviä huhuja ja spekulointia.
  • Miksi viranomaisen piti erikseen määrätä Vastaamo ilmoittamaan tietovuodostaan sen uhreille? Kuten eräs tuttavani asian ilmaisee, tämä on ”aivan häiriintynyttä”.
  • Ja miten on em. määräyksen jälkeenkin mahdollista, että jotkut uhrit, joiden tiedot on julkistettu, eivät ole nähtävästi vieläkään kuulleet siitä Vastaamosta? Esim. eräs kansanedustaja, jonka terapiatietoja löytyi Tor-verkosta jo torstaina 23.10., kertoi perjantai-iltana Twitterissä, ettei ole vieläkään saanut Vastaamolta mitään yhteydenottoa.
  • Miten on mahdollista, että laittomasti hankittujen, yksityishenkilöiden arkaluontoisten tietojen katselu on ”veteen piirretty viiva” eikä yksiselitteisesti rikos?
  • Miksi Vastaamon FB-sivuilla pyörii edelleen tätä kirjoittaessani mainos, joka alkaa sanoilla ”luottamuksellista keskusteluapua, sinä et ole yksin”. Niin, tavallaanhan en ole yksin, jos tosiaan minun lisäkseni noin 39 999 ihmisen henkilötiedot saattavat nyt olla ikuisesti pimeässä netissä vielä pimeämpien voimien armoilla. Mutta olikohan tuossa sloganissa pieni virhe? Oliko tarkoitus sanoa: ”Sinä et ole yksityinen”?

PS: Täytyy kumminkin kehua, miten asiallista palvelua sain Vastaamon toimipisteessä, kun kävin siellä kyselemässä henkilötietojeni perään. Henkilöstö printtasi minulle asianmukaisen tietopyyntölomakkeen, auttoi sen täyttämisessä ja lupasi toimittaa lomakkeen perille, jotta saan mahdollimman pian tietää, millaisia tietoja minusta on heille (ja luultavasti muuallekin) tallentunut.

Toinen asiakaspalvelija herätti minussa myötätuntoa olemuksellaan, josta näkyivät muutamat huonosti nukutut yöt, hitonmoinen stressi ja myötätunto kyberrikoksen uhreja kohtaan.

Tästä kohtaamisesta jäi sellainen olo, että Vastaamon väki ottaa asiakkaansa huolen vakavasti – tätä vaikutelmaa ei ole toistaiseksi Vastaamon viestinnästä välittynyt.

Blogin pääsivulle