Onko Vastaamo vieläkään turvallinen?

Psykoterapiakeskus Vastaamon asiakastietojärjestelmien turvallisuus on edelleen epäselvää, vaikka tietomurron paljastumisesta on jo kaksi kuukautta. Julkisuudessa olevien tietojen perusteella on pääteltävissä, että Vastaamo käyttää edelleen olennaisesti ottaen samaa järjestelmää mikä oli käytössä vuoden 2018 tietomurron aikaan, samoilla tietokoneilla, joihin hyökkääjillä on ollut pääsy ainakin kahteen otteeseen. Julkisten lähteiden perusteella on mahdoton tietää, säilytetäänkö esimerkiksi terapiakirjauksia nykyään asianmukaisesti salattuina, tai onko varmistettu, ettei kumpikaan järjestelmään käsiksi päässeistä hyökkääjistä piilottanut järjestelmään esimerkiksi tietoja urkkivia haittaohjelmia. On mahdollista, että Vastaamon toiminta rikkoo edelleen esimerkiksi yleisen tietosuoja-asetuksen 32. artiklaa, jossa säädetään henkilötietojen käsittelyn turvallisuudesta. Ottaen huomioon tapauksen vakavuuden, laajuuden ja yhteiskunnallisen merkityksen, Vastaamon edustajien tulisi kertoa julkisesti ja yksityiskohtaisesti, miten heidän tietojärjestelmiensä turvallisuus on nyt tarkkaan ottaen varmistettu, ja kuinka kauan tiedot ovat olleet salaamattomina. Avoin tiedottaminen ja ongelmien korjaaminen olisi nyt tärkeää, jotta yleisön luottamus psykoterapiapalveluihin ei kärsisi enempää.

Tietomurron tultua julkiseksi, Vastaamon edustajat kiirehtivät vakuuttelemaan lehdistölle ja yleisölle, että tietojärjestelmä on nyt turvallinen (esim. HS 26.10.2020). Turvallisuutta ei kuitenkaan ole parhaan tietoni mukaan todennettu julkisesti millään tavoin. Vastaamon palkkaama tietoturvakonsultti, Nixu Oy, ei ole kommentoinut asiakkaansa asioita mitenkään, joskin on Vastaamon 26.10.2020 päivätyn tiedotteen mukaan “jakanut ajantasaista tietoa tutkinnasta Keskusrikospoliisille sekä Liikenne- ja viestintävirasto Traficomille.” Näiden tietojen valossa näyttää todennäköiseltä, että Vastaamon käsitys tietojärjestelmänsä turvallisuudesta viittaa siihen, että järjestelmään tunkeutumisen mahdollistaneet tietoturva-aukot on nyt (oletettavasti) tukittu.

Järjestelmää ei kuitenkaan voida pitää vielä turvallisena, kahdesta syystä. Ensinnäkin, emme tiedä, mitä etenkin toisessa tietomurrossa maaliskuussa 2019 on tapahtunut. Kunnes toisin todistetaan, on pidettävä mahdollisena, että tietomurron yhteydessä Vastaamon palvelimille tai muihin tietokoneisiin ujutettiin haittaohjelma tai haittaohjelmia, mahdollisesti tietojen urkkimista varten. Pahimmassa tapauksessa havaitsematon haittaohjelma voisi vuotaa esimerkiksi pääkäyttäjän salasanat ja näin mahdollistaa asiakastietojen tarkastelun ilman, että teosta jäisi välttämättä jälkeäkään.

Toiseksi, julkisuudessa olevan tiedon perusteella on syytä epäillä, että Vastaamon asiakastiedot on säilytetty salaamattomina, pseudonymisoimattomana, ja niin, että jälkikäteen on vaikea selvittää, ketkä ovat päässeet mihinkin tietoihin käsiksi. EU:n yleisen tietosuoja-asetuksen 32. artiklan mukaista rekisterinpitäjän velvollisuutta toteuttaa henkilötietojen pseudonymisointi ja salaus on näin ollen mahdollisesti rikottu. Sikäli kun julkisista lähteistä voimme päätellä, rikkomus jatkuu edelleen, eikä järjestelmää voi näillä tiedoin pitää asetusten mukaisena.

Jos Vastaamon tietojärjestelmä on näiltä osin korjattu, asian julkistamisen ei pitäisi tuottaa vaikeuksia. Huomioiden tapauksen vakavuuden ja periaatteen, jonka mukaan todella turvallisten järjestelmien toteutuksen yksityiskohtien tulee olla julkisia, Vastaamon tulisi nyt julkistaa järjestelmiensä yksityiskohdat niin kattavasti, että ulkopuoliset asiantuntijat voivat julkisesti arvioida, täyttääkö järjestelmä esimerkiksi yleisen tietosuoja-asetuksen vaatimukset. Vähimmillään yleisöllä on oikeus saada järjestelmän nykyisestä turvallisuudesta itsenäisen asiantuntijatahon tekemä kattava selvitys. Kunnes tällainen selvitys saadaan, järjestelmää on syytä pitää edelleen turvattomana, ja viranomaisten tulisi harkita, voidaanko sen käyttöä sallia ennen kuin turvallisuus on varmistettu.

Vastaamon toiminnasta herää myös kysymys, miten kauan tarkalleen ottaen järjestelmässä on ollut esimerkiksi vuonna 2018 voimaan tulleen yleisen tietosuoja-asetuksen vastaisia puutteita. On erinomainen kysymys, olisiko esimerkiksi Vastaamon ostaneiden Intera Partnersien tullut – Vastaamon toimialan sensitiivisyys huomioiden – varmistaa jo keväällä 2019 esimerkiksi se, säilytetäänkö potilaskirjauksia ja henkilötietoja asianmukaisesti pseudonymisoituina ja salattuina.

Toivonkin, että mahdollisimman moni lehdistön edustaja ja asianmukainen viranomainen tekisi nyt parhaansa, että suuri yleisö saisi mahdollisimman tarkan tiedon siitä, miten turvallisia edelleen käytetyt tietojärjestelmät ovat. Pelkään myös, että ongelmat eivät rajoitu yksin Vastaamoon vaan koskettavat suurta osaa psykoterapiapalveluista.

Lopuksi, yleisesti ottaen Vastaamon tietomurto näyttää tekniikan historiaa tuntevan silmiin hyvin samanlaiselta kuin aikaisemmat teknologiset onnettomuudet näyttävät. Uudelle teknologialle on tyypillistä, että sitä kehitetään ensin hyvin kevyellä sääntelyllä, kunnes teknologiasta tulee kuin huomaamatta niin tärkeää, että jokin huonosti suunniteltu järjestelmä aiheuttaa ison vahingon. Kun näin käy, huomataan joka kerta, että turvallisuuskriittisten järjestelmien suunnittelussa on vaadittava standardeja ja sertifiointeja, eikä pelkkään alan omavalvontaan tai yritysten vastuuseen voida luottaa. Esimerkiksi konetekniikassa, jolla on ollut tietotekniikkaa noin 150 vuotta enemmän aikaa tehdä isoja virheitä, potentiaalisesti vaarallisten laitteiden suunnittelu ja valmistus on tarkoin säädeltyä. Esimerkiksi painelaitteiden suunnittelua koskee suorastaan oma lainsäädäntönsä, suunnittelijalta vaaditaan erityistä pätevyyttä ja tarkkojen turvallisuusvaatimusten määrittelyä, suunnitelmat tulee tarkastuttaa ennen laitteiden rakentamista ulkopuolisella asiantuntijalla, ja laitteiden valmistajilta ja joissain tapauksissa käyttäjiltä edellytetään erityisiä laatukriteerejä. Näin toimien olemme kesyttäneet voimakkaita teknologioita, ja samoja käytäntöjä noudattaen voimme kesyttää myös tietotekniikan. Jatkossa olisi toki suotavaa, että oppisimme historiasta sen verran, ettemme toista joka kerta samoja virheitä: etenkin koska teknologian voima kasvaa koko ajan, potentiaalisesti vaaralliset teknologiat olisi opittava tunnistamaan ja laittamaan tarkan sääntelyn alaisiksi ennen kuin jossain pamahtaa.