Tänään tulee kuluneeksi tasan vuosi siitä, kun minä ja tuhannet muut psykoterapiakeskus Vastaamossa asioineet saimme sähköpostiimme kiristyskirjeen. Vastaamon tietovuoto oli tullut yleiseen tietoon vain pari päivää aiemmin.
Bloggasin aiheesta tuoreeltaan viime lokakuussa, ja ajauduin tuolloin vähän muillekin julkisille foorumeille avautumaan asioistani. Nyt juhlistan tasavuosipäivää uudella Vastaamo-bloggauksella. Listaan muutamat pahimmat kriisiviestintään liittyvät virheet, jotka Vastaamo teki.
Kriisiviestintään jossain määrin perehtyneenä ja eräässä organisaatiossa kriisin hetkellä työskennelleenä viestintäammattilaisena suosittelen lämpimästi, että sinun organisaatiossasi omaksuttaisiin ainakin seuraavat viisi opetusta Suomen historian pahimmasta tietosuojakriisistä.
1. Huolehdi sisäisestä viestinnästä
Vielä useita viikkoja tietovuodon ensiuutisoinnin jälkeen Vastaamon henkilöstölläkään ei tuntunut olevan yhteistä käsitystä siitä, mitä on tapahtunut ja tapahtumassa. Eikä ehkä ole vieläkään.
Kävin marraskuussa 2020 Vastaamon toimipisteessä hakemassa nähtäväkseni heidän minua koskevat dokumenttinsa. Kysyin minua jeesanneelta toimiston työntekijältä, että aikooko Vastaamo korvata meidän asiakkaiden kulut jotenkin. Kulujahan syntyi muun muassa luottokielloista, jotka meidän suositeltiin tehtävän, jotta nettiin vuotaneita henkilötietojamme ei olisi niin helppoa käyttää rikollisiin tarkoituksiin.
”Kyllä kyllä, tottakai ne korvataan! …kai ne nyt korvataan…?” Jokseenkin näin muistelen työntekijän sanoneen. Vaikutti vahvasti siltä, ettei henkilöstöä ole kukaan briiffannut vastaamaan tämmöisiin kysymyksiin – vaikka kysymys ”kuka tämän korvaa” oli yksi suomenkielisen somen yleisimpiä kysymyksiä tuona syksynä.
Kriisi- ja sisäiseen viestintään kuuluu myös vastuunjako, jossa sovitaan, kenellä on puhevastuu mistäkin aihepiiristä, jos kriisiin joudutaan. Tällaisesta vastuunjaosta Vastaamolla ei kaikesta päätellen ollut puhuttu.
Sisäisen viestinnän puutteista kertoo sekin, että Vastaamon entinen toimitusjohtaja ja hallituksen entinen puheenjohtaja esittivät julkisuudessa aivan vastakkaisia väitteitä siitä, kuka oli tiennyt tietomurrosta mitä ja koska.
2. Huolehdi ulkoisesta viestinnästä ja asiakasviestinnästä
Kuulin tietovuodosta ensimmäisen kerran, kun luin siitä jutun Ilta-Sanomista. Valtaosa muustakin tapausta koskevasta informaatiosta välittyi minulle ja tuhansille muille tietovuodon uhreille jostain aivan muualta kuin Vastaamolta itseltään.
Ohjeet esimerkiksi identiteetivarkauksilta suojautumiseen löytyivät aivan muualta kuin Vastaamon viestintäkanavista.
Vastaamo ei vastaillut asiakkaittensa kysymyksiin esimerkiksi sosiaalisen median kanavissaan. Myöskään sähköpostiviesteissä esittämiini kysymyksiin en saanut koskaan Vastaamolta kunnollista vastausta. Sain paluupostissa vain jotain yleistä copy-paste-lätinää (joka ei siis vastannut kysymyksiini).
Vastaamo tiedotti tapauksesta suoraan asiakkailleen sähköpostitse vasta, kun viranomainen niin erikseen määräsi.
En ole vieläkään, vuosi kiristyskirjeen jälkeen, saanut tietoa siitä, korvaako joku Vastaamon virheistä johtuvat tappioni. Onko sinulla sellaista tietoa?
En myöskään tarkkaan tiedä, miten tietovuoto tapahtui, kuka siitä kantaa vastuun, millaisen vastuun ja niin edelleen.
Nämä tiedot hyödyttäisivät koko yhteiskuntaa muun muassa siten, että auttaisivat huolehtimaan siitä, ettei moinen fiasko toistu.
Niin ulkoisen kuin sisäisenkin viestinnän laiminlyöntinä voidaan pitää sitä, että tietomurrosta tienneet tiettävästi salailivat sitä kuukausitolkulla ennen kuin asia tuli julkisuuteen muuta kautta.
Kriisiviestinnän asiantuntijat neuvovat kriisissä olevia organisaatioita kertomaan kriisistä julkisuuteen ennen kuin kukaan muu ehtii siitä kertoa. Toinen kriisiviestinnän perussääntö on se, että viestintä suunnattaisiin ensisijaisesti niille, jotka kriisistä ovat eniten kärsineet.
Kuten eräässä haastattelussa vuosi sitten totesin, oli hämmentävää, että viestintä oli paljon selkeämpää saamani kiristyskirjeessä kuin Vastaamon viestintäkanavissa.
3. Avain- ja vastuuhenkilöt kertokoon kaiken julkisesti viipymättä
Vastaamon silloinen toimitusjohtaja ei päiväkausiin sanonut tapahtuneesta mitään julkisesti. Media ei tavoittanut häntä vastaamaan kysymyksiin, jotka pyörivät tuhansien suomalaisten mielissä.
Yrityksen hallituksen puheenjohtajankaan lausunnot eivät kriisin alkuvaiheessa olleet kovin informatiivisia.
Tällainen avain- ja vastuuhenkilöiden piiloleikki kriisin keskellä ei juuri koskaan paranna tilannetta, vaan pahentaa sitä. Aihe pysyy näin pinnalla pidempään kuin muuten pysyisi. Lymyilyn ja vaikenemisen synnyttämä informaatiotyhjiö täyttyy ulkopuolisten kommenteista ja spekuloinnista. Tässä tapauksessa palstatilaa saivat muiden muassa tietoturva-asiantuntijat, jotka arvioivat, millaisia tietoturvavirheitä Vastaamo oli nähtävästi tehnyt.
4. Vastuuhenkilöiden ei pidä syytellä muita, vaikka syytä olisikin
Vastaamon entinen toimitusjohtaja on julkisuudessa syytellyt tietovuodosta alaisiaan.
Maallikkona on hieman vaikeaa ymmärtää, miten mm. ”ohjelmistokehittäjänä ja teknologiajohtajana digitaalisten palveluiden kehityksessä useilla toimialoilla aiemmin työskennellyt” toimitusjohtaja onnistui pysymään tietämättömänä johtamansa yrityksen tietoturva-asioista.
Mutta vaikka syy olisi täysin muiden, johtajalle kuuluvaa vastuunkantoa ei ole alaisten syyttely kriisitilanteessa.
* Tiedot Vastaamon entisen toimitusjohtajan taustoista löytyivät Vastaamon verkkosivuilta syksyllä 2020.
5. Tee kaikkesi sen eteen, ettei mitään kriisiä koskaan tapahtuisi
Kriisiviestintää tärkeämpää olisi huolehtia siitä, ettei kriisiin jouduta. Silloin on kartoitettava kriisien riskit ja eliminoitava ne.
Erityisen tärkeää on huolehtia siitä, ettei yrityksen toiminta ole ristiriidassa yrityksen ydinarvojen ja tärkeimpien yritykseen kohdistettujen odotusten kanssa.
Jos vaikkapa psykoterapiakeskus mainostaa itseään sillä, että siellä käydyt keskustelut ovat ehdottoman luottamuksellisia, yrityksen olisi hyvä tehdä kaikkensa sen eteen, että asiakastiedot eivät leviä.
Mitä ilmeisemmin Vastaamo oli säilyttänyt asiakastietojaan kryptaamattomina järjestelmässä, jonne murtautuminen oli tehty kohtuuttoman helpoksi.
Julkisuudessa esitettyjen väitteiden (joita Vastaamo ei kommentoinut) mukaan se oli tehty itse asiassa niin helpoksi, ettei varsinaisesta murrosta edes voi puhua.
Käyttäjätunnus ja salasana olivat kuulemma olleet alkuperäisessä, muuttamattomasa oletusmuodossaan eli root.
Julkisuudessa olleiden tietojen mukaan Vastaamon toiminnassa oli ollut muitakin sen maineelle vaarallisia piirteitä. Tietovuodon tultua julki uutisoitiin mm. Vastaamon harhaanjohtavasta markkinoinnista ja sen tyylistä painostaa terapeuttejaan.
Tiettävästi vaaran merkit olivat roikkuneet ilmassa jo pitkään. Syystä tai toisesta niiden annettiin roikkua, kunnes ne putosivat sieltä ihan kunnon rytinällä.