Psykoterapiakeskus Vastaamon hallitus on vapauttanut yhtiön toimitusjohtajan Ville Tapion tehtävästään.
Kun Psykoterapiakeskus Vastaamo kertoi keskiviikkona 21.10.2020 joutuneensa tietomurron ja kiristyksen uhriksi, alkoi asian laajamittainen selvittely.
Vastaamo julkaisi maanantai-iltana tiedotteen, jossa kerrottiin Tapion olleen tietoinen yhtiöön tapahtuneista tietomurroista 2018 marraskuun ja 2019 maaliskuun välisenä aikana. Yhtiön mukaan Tapio pimitti tiedon ennen yrityskauppaa.
Vastaamo aloitti perheyhtiönä, jonka omistivat Ville Tapio sekä hänen äitinsä ja isänsä. Toukokuussa 2019 tapahtuneessa yrityskaupassa Intera Partnersin holdingyhtiö PTK Hallinto Oy osti Iltalehden mukaan 10,5 miljoonalla eurolla valtaosan Vastaamon osakkeista, jolloin myös Tapiosta tuli miljonääri.
Vastaamon tiedotteen mukaan yhtiön hallitus sai tiedon kiristyksestä vasta syyskuun lopussa, kun kiristäjä lähestyi kiristysviestillä kolmea Vastaamon työntekijää. Asiasta ilmoitettiin Keskusrikospoliisille, joka aloitti asiasta rikostutkinnan. Tapahtumasta tehtiin ilmoitukset myös Suomen kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle. Lisäksi tapauksen selvittämiseksi ryhdyttiin tekemään yhteistyötä kyberturvayhtiö Nixun kanssa, jonka asiantuntijat alkoivat selvittämään tietomurron teknistä toteutustapaa.
Vastaamo tiedottaa, että selvitysten perusteella vaikuttaa todennäköiseltä, että asiakastietokannan varastamiseen johtanut tietomurto on tapahtunut marraskuussa 2018. Vastaamon omatekoisessa asiakastietojärjestelmän suojauksessa on ollut puute, jota hyödyntämällä rikolliset ovat päässeet käsiksi silloiseen asiakastietokantaan. Yhtiö vahvistaa, että ”nykytiedon mukaan” järjestelmään on voitu tunkeutua myös maaliskuun 2019 puoliväliin asti.
Vastaamon mukaan ”vaikuttaa ilmeiseltä”, että Tapio on ollut tietoinen tietomurrosta ja tiennyt Vastaamon tietoturvapuutteista. Vasta maaliskuussa 2019 tapahtunut hyökkäys sai Vastaamon korjaamaan asiakastietojärjestelmän suojauksessa olleen puutteen ja tekemään muita tietojärjestelmiä suojaavia toimenpiteitä.
Vastaamon mukaan yhtiön nykyiselle hallitukselle ja pääomistajalle ei ole kerrottu maaliskuun 2019 tietomurrosta eikä yhtiön järjestelmissä olleista tietoturvapuutteista. Iltalehden mukaan Vastaamon hallituksen kokouspöytäkirja vuoden 2020 tammikuulta 2020 paljastaa, että yhtiön tietoturvaongelmat olivat tuolloin silloisen hallituksen tiedossa. Yhtiön hallituksen kokouksessa oli merkittynä yhtiön strategisten prioriteettien ja tavoitteiden listalla vuodelle 2020 ”IT Kotipesä kuntoon”.
Intera Partnersin toimitusjohtaja Jokke Paananen kertoi Iltalehdelle, ettei yrityskauppa olisi tehty, jos tietomurto olisi ollut tiedossa.
– Mikäli tällainen tieto olisi ollut, on selvää ettei yrityskauppaa olisi tehty. Syyllisten nimeäminen ei ole meidän tehtävämme, vaan se kuuluu viranomaisille, Paananen totesi.
Vastaamo ilmoitti tiedotteessa olevansa syvästi pahoillaan tapahtuneesta ja tietomurron kohteeksi joutuneiden asiakkaidensa puolesta. Yritys myös pyysi anteeksi niitä puutteita tietoturvassa, joiden seuraukset ja inhimillinen hinta on muodostunut äärimmäisen raskaaksi.
Vastaamon mukaan yrityksen IT-järjestelmistä teetettiin yrityskauppaprosessin yhteydessä huhti-toukokuussa 2019 ulkopuolisella palveluntarjoajalla tarkastus, jossa ilmeni useita kehityskohteita, mutta ei kriittisiä tietoturvapuutteita. Vastaamon tietojärjestelmien kehitystyö on sen jälkeen ollut yrityksen mukaan jatkuvaa.
Pääomistaja PTK Midco Oy on käynnistänyt maanantaina 26.10.2020 oikeudellisia toimenpiteitä, jotka liittyvät toukokuussa 2019 allekirjoitettuun yrityskauppaan Vastaamosta. Yrityksen johdosta vastaan toistaiseksi hallituksen puheenjohtaja Tuomas Kahri yhdessä yhtiön johtoryhmän kanssa.
Kuva: Pixabay