tiistai 18. huhtikuuta 2023

Vastaamon tietosuojarikoksesta tuomio - ex-toimitusjohtajalle 3 kk ehdollista vankeutta

Vuoden 2020 Vastaamon kiristystapauksen taustalla ollut tietosuojarikos on johtanut tuomioon. Yhtiön perustaja ja silloinen toimitusjohtaja sai kolmen kuukauden ehdollisen vankeustuomion. Rangaistus voi tuntua pieneltä verrattuna yli 30 000 ihmisen kärsimään häpeään ja ahdistukseen, joita tietojen hakkerointi ja kiristysyritys aiheuttivat, mutta siihen on juridisia syitä.

Vastaamo Kampissa kesäkuussa 2017, kun tarina oli vasta alussa.

Ehdollinenkin vankeusrangaistus on iso juttu, se mm. tarkoittaa että vastaaja joutuu maksamaan oikeudenkäyntikulunsa ja tuomio säilyy rekistereissä. Perimmäinen syy lievään tuomioon on kuitenkin siinä, ettei teko ollut lain tarkoittamalla tavalla tahallinen. Itse olen insinööri enkä juristi, joten johtopäätökseni voivat mennä metsään, paremmin tietävät korjatkoon.

Se, että laiminlyö tietoturvan kehittämisen ja asettaa yrityksen nopean kasvattamisen myyntikuntoon kaiken edelle, on jo melkein tahallista, tai ainakin törkeän huolimatonta. Molemmat täyttävät tietosuojarikoksen tunnusmerkistön. 

Oikeus voi tuomita vain siitä, mistä syytetään, ja vain niistä teoista, jotka voidaan näyttää toteen ja jotka eivät ole vanhentuneita. GDPR:ään liittyvä tietosuojarikos voi tuoda enintään yhden vuoden vankeustuomion. Syyttäjä vaati yhdeksää kuukautta, oikeus päätyi kolmeen. Kun maksimirangaistus on näin pieni, teot myös vanhenevat nopeasti. Oikeus katsoi, että ilmoitus tietoturvaloukkauksesta oli jätetty tekemättä, mutta siitä ei ole säädetty rangaistusta. Kyseeseen olisi voinut tulla väärän todistuksen antaminen viranomaiselle, mutta sekin oli tekona vanhentunut.

Lopulta tuomion perusteeksi jäi vain tietosuoja-asetuksen 32. artiklan ("käsittelyn turvallisuus") vaatimien toimenpiteiden laiminlyönti - käytännössä se, ettei tietokantaa oltu salattu eikä pseudonymisoitu tietomurtojen varalta.

Juristit löytävät tuomiosta paljon pureksittavaa, niin myös me insinöörit. Oikeus mm. totesi ettei ”parhaat käytännöt” ole sellainen konkreettinen ja tarkka käsite, jota laiminlyömällä henkilö voisi olla rikosoikeudellisessa vastuussa. Yksin sen perusteella, ettei jokin toteutettu toimenpide ole ollut tietoturva-alan parhaan käytänteen mukainen, ei voida katsoa, että toteutettu tapa ei olisi artiklassa tarkoitettu 42 (49) asianmukainen tekninen ja organisatorinen toimenpide. Tältä osin syyte on hylättävä. 

Olin kuuntelemassa oikeudessa sekä toimitusjohtajan että it-henkilön kuulemiset. Hiukset olivat nousta pystyyn it-henkilön kuvatessa, miten leväperäisesti toimitusjohtaja oli suhtautunut tietoturvaan ja tietosuojakoulutukseen. Kaikesta haluttiin päästä mahdollisimman halvalla ja helposti. Salasana oli seitsemän tavallista merkkiä eikä sitä oltu vaihdettu kahdeksaan vuoteen, varmuuskopiointi oli mitä sattui, dokumentaatiota ei ollut, root-tunnuksella ei ollut lainkaan salasanaa ja väärin konfiguroitu palomuuri päästi kaiken liikenteen läpi. 

Tietotekniikasta vastasi kaksi henkilöä nollatuntisopimuksilla. Heidän osaamisensa oli riittämätöntä ja työmäärä aivan liian suuri. Palomuuri jäi täysin auki eikä kukaan edes huomannut ratkaisevaa tietomurtoa. Jälkimmäinen 15.3.2019 tapahtunut murto oli erikoinen ja tulkinnanvarainen. Tietokanta oli tuhottu ja siihen oli lisätty 200 euron lunnasvaatimus. Sitä ei otettu vakavasti, eikä murrolla näyttänyt olevan seurauksia. Poliisitutkinnassa molemmat it-kaverit vapautettiin syytteistä, koska he olivat todistettavasti tuoneet puutteet toimitusjohtajan tietoon.

Toimitusjohtaja vastaa yrityksen toiminnasta. Tässä hän oli myös yrityksen suurin omistaja, vaikka sijoittaja olikin juuri ostanut yhtiön. Jos omistuspohja olisi ollut toinen, ehkä omistajat olisivat syyttäneet toimitusjohtajaa yhtiön tuhoamisesta. Nyt suurin kärsijä oli toimitusjohtaja itse. Yritys meni konkurssiin ja toisessa oikeudenkäynnissä ratkaistaan kiistaa myyjän ja ostajan välillä. 9 667 000 euron menettäminen jo sovitun kaupan jälkeen on kovempi rangaistus kuin lyhyt ehdollinen vankeus.

Oikeus piti rikosta vakavana, mutta alensi tuomiota tapauksen julkisuuden vuoksi. Toimitusjohtaja oli saanut tappouhkauksia ja luultavasti joutunut vilkuilemaan olkansa yli jo parin vuoden ajan, vaikka teknisesti oli syytön lopulliseen tuomioon asti. 

Käräjäoikeuden tuomio ei vielä ole lainvoimainen. Katsotaan, valittaako jompikumpi osapuoli päätöksestä. Joka tapauksessa tuomio antaa pohtimisen aihetta kaikille it-ammattilaisille, mutta myös toimitusjohtajille ja hallituksille. Mikä on todellinen tietoturvan taso yrityksessä ja kenellä on vastuu? Pelkkä nimi kalvolla ei vielä merkitse mitään. Vastaamossa tietosuojavastaavaksi oli merkitty it-kehittäjä. Joihinkin papereihin nimet oli merkitty vain, koska ne piti olla, eikä niitä ollut tarkoituskaan toteuttaa.

Miten johto voi varmistua siitä, että työntekijät osaavat asiansa? Mitkä ovat oikeasti välttämättömiä tietoturvahankintoja ja mitkä vain "nice to have" -osastoa? Jos jotain sattuu, kertovatko työntekijät siitä komentoketjussa ylöspäin eivätkä yritä peitellä omia mokiaan? Vastaamo osoitti, että työntekijä voi vapautua vastuusta raportoimalla havaitsemistaan ongelmista.

6 kommenttia:

Anonyymi kirjoitti...

joskus vuosia sitten opiskelin lakia ja tajusin että lainsäädäntö on tällä alalla kivikaudella ja sekin mitä saadaan meille, kopioidaan ruotsista, 3kk, aika naurettavaa.

Markus kirjoitti...

Tämä Vastaamo-case on koko ajan ollut surullista katsottavaa.

Ensinnäkin, kaikki ne ennusteet joita kirjoitin keissin alkaessa, on toteutunut täysimääräisesti. Pilkulleen ja juuri sillai.

Asiaa pidettiin pinnalla niin kauan kunnes pöly laskeutui ja sen jälkeen tyypilliseen Suomi-tyyliin potilaat heitettiin susille. Eli ne uhrit. Eivät edes saaneet niitä ministerien lupaamia hetu-vaihtoja. Ei korvauksia. Pelkkää kärsimystä ja turhuutta. Ylläri ylläri. Lukekaa sieltä jostain takavuosien sepustuksista.

Kansaneläkelaitos on vaatimassa kirjaamisia tietojärjestelmään, mutta ei välitä tirintaria siitä, että järjestelmä on täysi fiasko. Mitään tarkistuksia ei ollut. Mitään vastuuta ei löydy.

Ruutuvihko olisi ollut turvallinen. Ulkomailla muuten edelleen käytetään ihan tavallisia kirjoituslehtiöitä. Potilaan nimelläkään ei ole niin merkitystä. Voidaan käyttää koodinimeä lehtiön kannessa. Vaikka joutuisi vääriin käsiin, ei kukaan tiedä kenen potilaan asiaa siinä on. Laskutusasiat on sitten eri järjestelmässä. Mutta sielä vain on ne laskutusasiat.

Hauskinta on, että tämä olisi toiminut turvatekijänä itse tietojärjestelmässäkin. Potilastiedot yksinkertaisen alias-nimen takana.

Näin yksinkertaista asiaa ei entisessä ylistetyssä pohjolan japanissa osata. Eikä nykyisin kyllä yhtään muutakaan asiaa. Koko maa on pelkkä vitsi nykyisin, jolle nauretaan joka ilmansuunnassa. Pohjolan japani muuttui pohjolan pohjois-koreaksi.

Kukaan ei ole laskenut hintaa sille, kuinka monen tuhannen potilaan vuosikausien MAKSULLISET terapiasessiot meni ketuiksi tämän fiaskon vuoksi. Maksajina niin itse potilaat kuin veronmaksajatkin (se kela). Kuinka monen potilaan luottamus koko systeemiin meni täysin? Eikä vain terapioiden suhteen, vaan kaiken sairaanhoidon suhteen tässä sairaassa maassa. Mikä muu yksityinen laitos on hoitanut asiat yhtä päin kettua? Varmaan kaikki koska raha raha raha. Mistään muusta tässä maassa ei välitetä. En tiedä kummassa on enemmän korruptiota. Suomessa vai tuolla itänaapurissa. Idässä sentään ikkunat ja portaikot hoitaa edes osan ongelmista pois päiviltä.

On sellainen vanha uskonnollisen taustainen sanonta. "Vanhassa maailmassa paimenet paimensi lampaita. Nykymaailmassa klovnit painentaa vuohia" Vielä hetki kun odotellaan tällä menolla, ne klovnit muuttuu jokereiksi. Taitavat olla jo.

Ei voi muuta sanoa kuin että hyi helv... Suomi.

Anonyymi kirjoitti...

Kysymyksessä on ensimmäinen GDPR-perusteinen rikostuomio Suomessa, joten se käynee kaikki oikeusasteen läpi. Julkisen teilauksen ohessa pitää kuitenkin muistaa, ettei toimitusjohtaja kuitenkaan itse levitellyt tietoja, vaan on itsekin rikoksen uhri siinä, missä muutkin. Jatkoprosesseissa tarkasteltanee käsitteet "tahallisuus" ja "riittävä". Pidän muutenkin esitutkinta- ja syyteprosessia perin kummallista. Esitutkinnassa it-tukihenkilöitä kuultiin syylliseksi epäiltyinä. Heillä ei siis ole ollut totuudessapysymisvelvollisuutta. Syyttäjä teki kuitenkin syyttämättäjättämispäätöksen heidän osaltaan ja nyt heistä yks kaks tuli syyttäjän tähtitodistajia oikeudenkäynnissä. Tämä jo riittää kyseenalaistamaan koko oikeudenkäynnin riippumattomuuden Euroopan ihmisoikeussopimuksen valossa. Tutkimatta on myös Vastaamon omistaneen holding-yhtiön toiminta. Firma konkkaan heti, kun paska lensi tuulettimen. Oliko konkurssille todellisia perusteluja? Holding-firma sai kuitenkin välimiesoikeudessa kauppahinnan takaisin. Seuraavaksi tarkastellaan toisessa rikosoikeudenkäynnissä oikeaa rikollista. Ensiksi katsotaan, onko epäilty todella tehnyt rikokset, joista häntä syytetään. Sitten käsitellään vahingonkorvaukset, joista päättäminen on oma lukunsa sekin. Vaikka myötätunto kuinka on uhrien puolella, suomalaisessa oikeusjärjestelmässä tuomitaan vain todellisista vahingoista. Tässä tapauksessa ne ovat aineettomia, pois lukien kiristäjälle maksetut lunnaat. Suurin vahingon kärsijä rahallisesti on Vastaamo itse ja sen aiemmat omistajat. Veikkaan, että tämä tulee kaikkine sivujuonteineen lukeutumaan pisimpiin oikeusjuttuihin Suomessa ikinä.

Markus kirjoitti...

Tunnen yhden raiskausrikoksen uhriksi joutuneen naisen.

Oli hyvin mielenkiintoinen keskustelu hänen kanssaan aikoinaan.

Hän sanoi, että jos olisi ollut viisas, hän ei koskaan olisi rikosprosessia aloittanut. Mutta uskoi ulkopuolista painetta ja sitä mitä lehdissä lukee.

Ihmettelin siinä hetken, että mitä hän oikein höpöttää. Miten niin ei olisi koskaan rikosprosessia aloittanut?

Hän sanoi, että Suomessa systeemi on täysin kyvytön tekemään mitään. Kukaan ei auttanut häntä siinä varsinaisessa asiassa, vaan joutuu yksin selvittämään kaiken. Terapiat, keskustelut, vastaavat. Sitten kun pikkuisen näkyy valoa tunnelin päässä, soittaa "joku". Rikosprosessiin liittyen siis. Nämä tahot taas kohtelevat täysin kylmästi ja tunteettomasti. Asiaa revitään auki kerta toisensa jälkeen ja jo tapahtunut pienikin toipuminen saa takapakkia. Tätä jatkuu loputtomasti, asiaa vain revitään ja revitään.

Loppujenlopuksi rikollinen saa tuomion. Kolme kuukautta ehdollista ja parisen tuhatta euroa korvauksia. Hoidot ja terapiat maksaa enemmän. Tämän jälkeen rikollisen osalta asia on lopullisesti kuitattu, eikä sitä paria tuhatta euroakaan koskaan saanut. Ulosottomies saanut yhtään mitään aikaiseksi. Hän sai laskun ulosotolta kun perintä jouduttiin keskeyttämään varattomuuden vuoksi. Eli uhri joutui maksamaan ulosottomiehen palveluksista joiden tulos oli pyöreä nolla.

Totesi lopuksi, että hän tunsi että häntä raiskataan uudellen uudelleen uudelleen ja uudelleen. Varsinainen raiskaaja teki sen vain yhden kerran mutta Suomen rikosoikeusjärjestelmä toisti loputtomasti samaa asiaa.

Siitä voisi tehdä johtopäätöksen, että jos Suomessa joutuu rikoksen uhriksi, parempi vain nuolla haavansa ja pistää piut paut poliisille sun muille.

Ilmeisesti tässä Vastaamo jutussa on ihan sama juttu. Kuinka monta kertaa nuo uhrit pistetään täysin halvalla?

Anonyymi kirjoitti...

Sehän on vain raakaa bisnestä (Kela maksaa vuosikymmenet turhasta) - Onko terapioissa koskaan kukaan "parantunut"?

"Anyone who would go to a psychiatrist ought to have his head examined!"
-- Anon.

"Curb Your Enthusiasm - Therapy session (Sneaky watch peek)"
-- YouTube

Markus kirjoitti...

Tuo onkin ihan eri keskustelu. Vaikuttaa koko mieliala-ala vähän voodoo-pappi-touhuilta.

En ymmärrä, miten jokin psykiatri, psykologi tai terapeutti voisi puolikuolleessa 2020-luvun zompie-yhteiskunnissa luoda ihmiselle mielekkään elämän. Tämä kulttuuri ja tekemis-köyhyyshän se oikea mielialanongelma on. Ihmisillä ei ole tulevaisuutta eikä tarkoitusta. Ei sitä pysty kelan rahoilla korjaamaan.

Amerikoissa oireilu näkyy siten, että hommataan jännitys ammuskelemalla joka puolella. Euroopassa tilanne olisi varmasti ihan sama, jos täällä olisi yhtäläisesti aseita saatavilla.

Yksinäisyys sen "hohdon" ymprärille luo (stephen king/stanley kubrick).