– Tiedän, että tämä on kiistanalaista. Mutta mielestäni Vastaamon olisi pitänyt maksaa lunnaat. [...] Mutta jos katsotaan tästä aiheutunutta vahinkoa ja viattomien uhrien kärsimyksiä, ehkä tämä olisi mennyt paremmin, jos näin olisi tehty, Hyppönen sanoi.

Mikko Hyppösen uusi työ paljastui
https://www.is.fi/digitoday/tietoturva/art-2000011497113.html

Ohjaaja Sami Kieksin ja tuottaja Joni Soilan hakkeri Aleksanteri Kivimäestä (ent. Julius Kivimäki) kertova dokumenttisarja Most Wanted: Julius Kivimäki julkaistaan syyskuun 5. päivänä.

Kyseessä on ensimmäinen suomalainen true crime -sarja, jonka tuotantojätti Warner Bros. Discovery on tilannut kansainväliseen levitykseen.

– Yleisin asenne rikosdokumenttia vastaan on kyseenalaistus, että miksi ja miksi. Kysymys siitä, että miksi aihetta glorifioidaan. Se on hyvin suomalainen ilmiö, Soila kertoo.

Dokumenttisarjassa Kieksi ja Soila pyrkivät antamaan katsojille laajemman kuvan siitä, kuka on Aleksanteri Kivimäki. Suomessa Kivimäki tunnetaan parhaiten terapiakeskus Vastaamon hakkeroijana.

– Vastaamo on lähes ainoa asia, josta Kivimäki tunnetaan Suomessa. Meidän tavoitteemme oli avata hänen rikoshistoriaansa ja sitä, miksi viranomaisesti eri maissa pitivät häntä niin vaarallisena.

Dokumenttisarjassa ei tulla siis syventymään laajasti Vastaamon tapaukseen, vaan siinä tarkastellaan Kivimäen historiaa laajemmalla skaalalla. Ennen Vastaamoa Kivimäki hakkeroi muun muassa Elon Muskin sometilin, sulki Playstation-pelikoneet koko maailmassa ja pakotti lentokoneen tekemään hätälaskun.

FBI mukana dokumentissa

Vastaamon tapaus oli alun perin se, joka sai Soilan kiinnostumaan aiheesta. Soila tilasi tapauksen esitutkintamateriaalit liitteineen. Papereista paljastui, että käsillä on hyvin sensitiivinen ja laaja tarina.

Liitteistä paljastui yksi sähköpostiosoite yhdysvaltalaiselle poliisille, joka oli ollut aikoinaan mukana SWAT-tiimissä. Soila päätti kirjoittaa hänelle ja sai sitä kautta kiinni FBI-agentin, joka oli jahdannut Kivimäkeä kymmenen vuotta sitten.

– Ajattelin, ettei suomalaisen tuottajan yhteydenotto kiinnosta FBI-agentteja. Ajattelin Kivimäen olleen heille pieni, vuosien takainen tapaus.

– Sitten paljastui, ettei Kivimäki ollutkaan heille mikään pieni tapaus ja he päättivät lähteä mukaan tähän.

Amerikkalaiset viranomaiset esiintyivät dokumentissa mielellään. Dokumentissa kuullaan pääasiassa viranomaisia, kuten FBI-agentteja ja rikostutkijoita, sekä maailman johtavia kyberrikollisuuden asiantuntijoita. Kivimäen vihamiehikin kertoo kokemuksistaan. Kivimäki pääsee kommentoimaan kameroille, mutta hän ei ole ainoana henkilönä äänessä.

Soila on tavannut Kivimäen muutamia kertoja, Kieksi kerran. He kertovat, ettei Kivimäki ole missään nimessä mikään tavallinen ”nörttihakkeri”, vaan hyvin erilainen ja ristiriitainen persoona.

– Häneltä ei varsinaisesti puutu itsesuojeluvaistoa, mutta sanoisin, että se on alentunut.

Kivimäkeen pidätysselli vaikutti hyvin erityisellä tavalla.

– Kovankin luokan rikollisilla saattoi jo vuorokaudessakin tulla niin sanotusti äitiä ikävä. Kivimäki makoili siellä kuukauden ja oli pois lähtiessä paremmassa kunnossa kuin tullessaan.

Kieksi nostaa esille havaintonsa siitä, että Kivimäki aiheuttaa joissain ihmisissä voimakasta pelkoa. Dokumenttisarjaa tehdessä jotkut perääntyivätkin tuotannosta pelon takia. Kieksi on pohtinut pelon kumpuavan siitä, että tietoturva-asiat ja kyberrikollisuus ovat vaikeampia hahmottaa ja ymmärtää kuin perinteisemmät rikollisuuden muodot.

– Meidän suomalaistenkin kannattaa muistaa se, että rikosdokumenttien suhteen ei ole mitään väliä, tapahtuuko asia tässä vai Times Squarella, Soila sanoo.

Kivimäen syyksi luettiin noin 30 000 rikosta. Kivimäki sai haltuunsa Psykoterapiakeskus Vastaamon potilastietokannan, kiristi Vastaamoa ja sen potilaita, ja lopulta julkaisi potilaiden tiedot verkossa.

Kivimäki pitää tuomiotaan vääränä ja vaatii hovioikeutta hylkäämään syytteet. Toissijaisesti hän vaatii rangaistuksen lieventämistä. Kivimäki kiistää edelleen olleensa tietomurron tai kiristyksen takana.

Valtiokonttori on nyt maksanut korvauksia osalle Psykoterapiakeskus Vastaamon tietomurron uhreista. Korvaussummat eivät kuitenkaan huimaa päätä.

HS:n haastattelema uhri kertoo, että valtiokonttori on nyt maksanut hänelle 780 euroa. Korvaussumma on yhteensä 1 000 euroa, mutta siitä on vähennetty 220 euron perusvähennys.

”Tämäkö on henkilötunnuksen hinta?”

Konkurssiin ajautuneen Psykoterapiakeskus Vastaamon ex-toimitusjohtaja Ville Tapion mielestä Vastaamo-jutusta on välittynyt julkisuuteen väärä kuva.

Ex-toimitusjohtajan mukaan media ja erityisesti syyttäjän tekemät syyttämättäjättämispäätökset leimasivat hänet syylliseksi jo ennen oikeudenkäyntiä.

Hän ei ota suoraan kantaa siihen, mitä virheitä hän on saattanut itse tehdä.

– Tietysti olen varmasti luottanut väärin henkilöihin. Kun jälkikäteen ajattelen, niin olisi varmaan ollut sellaisia tilanteita, missä olisin voinut puuttua asioihin.

Tapion syytteitä käsitellään parasta aikaa hovioikeudessa.

Absurdeja juttuja

Ville Tapio tuomittiin huhtikuussa 2023 kolmen kuukauden ehdolliseen vankeuteen tietosuojarikoksesta. Ennen oikeudenkäyntiä syyttäjä päätti jättää kaksi Vastaamon IT-työntekijää syyttämättä rikoksista.

IT-työntekijät sälyttivät omissa kuulusteluissaan vastuuta ongelmista toimitusjohtajan niskaan. Syyttämättäjättämispäätöksissä avattiin Vastaamon IT-osaston resursseja ja Tapion johtamistyyliä. Tapion mielestä väitteet olivat täyttä puppua.

– Siinä otettiin kantaa minun syyllisyyteeni ennen oikeudenkäyntiä. En voinut siinä vaiheessa mitenkään puolustautua. En saanut tuoda julkisuuteen mitään tietoja, mitkä olivat ennen oikeudenkäyntiä salassapidettäviä.

Tapion mukaan ”virheelliset väitteet” elävät edelleen julkisuudessa, vaikka niitä on käsitelty myös käräjäoikeudessa. Tapio on kirjoittanut näkemyksistään myös Linkedinissä.

– On absurdia lukea jotakin kansainvälisiä tieteellisiä julkaisuja, joissa käytetään lähteenä englanniksi käännettyjä suomenkielisiä lehtiartikkeleita. Niissä on kaikenlaisia kohuväitteitä, joille ei ollut missään vaiheessa mitään totuuspohjaa, hän sanoo.

”Hyvin koulutettuja ja kokeneita”

Tapio aloitti Vastaamon toimitusjohtajana kesällä 2013. Samalla Vastaamo siirtyi valtakunnallisen Valviran valvonnan piiriin, mistä seurasi uusia vaatimuksia. Yrityksen potilastietojärjestelmän ohjelmiston alkuperäinen kehittäjä irtisanoutui.

Tilalle palkattiin neljä henkilöä yrityksestä, joka oli ollut mukana kehittämässä alkuperäistä potilastietojärjestelmää.

– Yleisellä tasolla voin sanoa, että kaikki henkilöt, jotka siinä olivat mukana, olivat hyvin koulutettuja ja hyvin kokeneita, sanoo Tapio.

IT-työntekijöiden asema oli Tapion mukaan hyvin itsenäinen.

”Mikään ei olisi pelastanut”

Työntekijöiden mukaan Tapiota kiinnosti vain voitontavoittelu. Rikoksista epäiltynä IT-työntekijät kertoivat tuoneensa ilmi huolensa yhtiön puutteellisesta tietoturvasta ja tehneensä Tapiolle hankintaehdotuksia sen parantamiseksi. Tapio kuitenkin torppasi ehdotukset.

Tapion mukaan väitteet eivät pidä paikkaansa. Yrityksen yhtiöjärjestykseen oli kirjattu, että voitot käytetään Vastaamon yhteiskunnallisen mission toteuttamiseen. Vastaamon työntekijöiden ei pitänyt myöskään ennalta hyväksyttää hankintoja häneltä.

Asiakirjalähteiden perusteella laitehankinnoilla ei ollut myöskään merkitystä, koska tietomurto johtui inhimillisestä tekijästä. Normaalisti potilastiedot olivat suljetun yhteyden takana. Vastaamon palvelimelle syntyi tietoturva-aukko loppuvuodesta 2017, kun toinen IT-työntekijöistä pyysi marraskuussa avaamaan tietoliikenneportin.

– Se ei liittynyt millään tavoin laitteiden tai softien puutteeseen, vaan siihen, että ylläpitäessä toimittiin vastoin käytäntöjä ja kaikkia hyviä tapoja, kun käytössä olleet suojaukset avattiin ja poistettiin. Sitä ei olisi mikään laite tai softa pelastanut.

Portti oli avoinna puolitoista vuotta. Palvelimelle murtauduttiin vuonna 2018 ja sieltä anastettiin kymmenientuhansien asiakkaiden potilastiedot, joita säilytettiin selkokielisinä. Henkilötiedot oli eriytetty tauluihin, jotka olivat yhdistettävissä toisiinsa tauluissa olevilla avaimilla.

Kova väite

Syyskuussa 2020 Tapio ja Vastaamon IT-työntekijät saivat kiristysviestit sähköpostitse. Hänet irtisanottiin toimitusjohtajan paikalta 26. lokakuuta 2020. Samana päivänä Vastaamon hallituksen puheenjohtaja Tuomas Kahri syytti Ilta-Sanomissa Tapion salanneen tietomurron yli puolentoista vuoden ajan.

Intera Partners osti Vastaamon vuonna 2019 Ville Tapiolta ja hänen vanhemmiltaan. Tapio uskoo, että hänet päätettiin heittää bussin alle, jotta yrityskauppa voitaisiin purkaa.

– IT-työntekijät olivat palkansaajia. Minulla oli ne yrityskaupparahat.

Helsingin käräjäoikeus katsoi jääneen näyttämättä, että Tapio olisi määrännyt tietoturvaloukkaukseen liittyvän verkkodatan tuhottavaksi. Todisteena asiasta esitettiin tuhotuksi väitetty verkkoliikennedata, joka oli osa asian esitutkintamateriaalia.

Vastaamoon maaliskuussa 2019 tapahtuneen tietomurron ilmoitusvelvollisuuden laiminlyönti oli käräjäoikeuden mukaan jo vanhentunut. Syyttäjän hovioikeudelle toimittaman valituksen mukaan syynä oli päivämäärävirhe.

Helsingin käräjäoikeuden mukaan Tapio oli tietoinen tietosuoja-asetuksen pseudonymisointia ja salausta koskevasta artiklasta. Käräjäoikeuden mukaan Tapio pyrki salaamaan yrityskaupan osapuolelta, ettei henkilötietoja ollut pseudonymisoitu tai salattu.

Tapion Helsingin hovioikeudelle toimittaman valituksen mukaan tietojen pseudonymisointi ja salaus ei ole pakottava velvoite vaan suositus.

Länsi-Uudenmaan käräjäoikeus tuomitsi Aleksanteri Kivimäen Vastaamon tietomurrosta ja kiristämisestä kuuden vuoden vankeuteen. Tapio oli paikalla Espoossa seuraamassa Kivimäen kuulemista tammikuussa 2024.

Kysyttäessä Tapio sanoo, ettei hänellä ole erityistä sanottavaa Kivimäestä.

– Internet ja maailma ovat täynnä semmoista pimeää roskaporukkaa, josta ei pääse eroon sillä, että sieltä poistetaan yksi toimija, hän toteaa.

Helsingin käräjäoikeuden mukaan Tapio syyllistyi tietosuojarikokseen, kun hän ei toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta.

Tapio ja syyttäjä ovat valittaneet tuomiosta hovioikeuteen.

Psykoterapiakeskus Vastaamon tietomurron aiheuttamasta oikeuskäsittelyjen vyyhdistä on saatu yksi päätös Helsingin hovioikeudesta.

Tuoreella tuomiollaan hovioikeus piti voimassa Helsingin käräjäoikeuden tuomion, jossa Vastaamo määrättiin maksamaan 7 000 euron kärsimyskorvaus asiakkaalleen. Vastaamo on itse katsonut, että suurin mahdollinen korvaussumma olisi 2 500 euroa. Tällä summalla Vastaamon konkurssipesä on myös tehnyt sovintoesityksiä entisille asiakkailleen, jotka vaativat siltä korvauksia.

Vastaamon asiakkaana kaksi kertaa psykiatrilla asioinut nainen nosti kanteen Vastaamoa vastaan jo vuoden 2020 marraskuussa. Käsittely eteni hitaasti. Sen aikana Vastaamo ehti mennä konkurssiin ja toisaalta käräjäoikeus odottaa, että hallinto-oikeus sai käsiteltyä tietosuojeluvaltuutetun päätöksestä tehdyn valituksen.

Nainen vaati Vastaamolta 20 000 euroa sekä oikeudenkäyntikulujaan.

Törkeän huolimatonta

Vastaamon konkurssipesä piti vaatimusta liian suurena. Sen mukaan suurin mahdollinen korvaussumma olisi 2 500 euroa. Konkurssipesä perusteli vaatimustaan Henkilövahinkoasiain neuvottelukunnan suosituksilla, joissa on määritelty korvaussummia inhimillisestä kärsimyksestä.

Tietomurrot tapahtuivat talvella 2018–2019, mutta nainen sai kuulla asiasta Vastaamolta vasta 2020 lokakuussa. Vastaamo ei ilmoittanut murrosta myöskään tietosuojavaltuutetulle, vaikka näin olisi tietosuoja-asetuksen mukaan toimittava.

Tietosuojavaltuutettu antoikin tapauksesta päätöksen, jossa se katsoi, että Vastaamon henkilötietojen käsittelyssä oli tapahtunut tietoturvaloukkaus, potilastietosuojajärjestelmät oli puutteellisesti suojattu ja lisäksi, että Vastaamo laiminlöi velvollisuutensa ilmoittaa murrosta. Päätöksen mukaan Vastaamon tietosuoja-asetuksen rikkomiset olivat erittäin vakavia. Vastaamo oli toiminut törkeän huolimattomasti.

Maksettavaa yli 10 000

Käräjäoikeus katsoi sopivaksi korvaussummaksi 7 000 euroa ja määräsi Vastaamon ja myöhemmin konkurssipesän korvaamaan noin 6 500 euron oikeudenkäyntikulut.

Konkurssipesä valitti hovioikeuteen, mutta valitus ei menestynyt. Helsingin hovioikeus piti tuoreella päätöksellään korvaussumman voimassa. Päätöksestä voi yrittää valittaa vielä Korkeimpaan oikeuteen, jos se myöntää valitusluvan.

Konkurssipesä määrättiin siis maksamaan huomattavasti suurempi korvaus kuin mitä se on sovinnoissaan tarjonnut. Esimerkiksi Ylen vuonna 2021 haastattelema julkisoikeuden professori Tomi Voutilainen totesi, että 2 500 euroa olisi varsin hyvä tarjous.

– Jos konkurssipesä sellaisen summan hyväksyy, asiakkaan kannattaisi lähtökohtaisesti hyväksyä. Tuomioistuimessa korvaus voi olla olennaisesti pienempikin tai sitä ei saa lainkaan.

Tässä tapauksessa kävi kuitenkin niin, että asiakkaan vaade menesty kahdessa eri oikeusasteessa. Eri asia on se, pystyykö Vastaamon konkurssipesä maksamaan korvauksia.

STT kertoi maaliskuussa, että ainakin 1 200 uhria oli tehnyt sovintosopimuksen Kivimäen kanssa.

Kivimäki tuomittiin Helsingin käräjäoikeudessa kuuden vuoden ja kolmen kuukauden vankeusrangaistukseen törkeästä tietomurrosta, törkeän kiristyksen yrityksestä, 9 231 törkeästä yksityiselämää loukkaavan tiedon levittämisestä, 20 745 törkeän kiristyksen yrityksestä ja 20 törkeästä kiristyksestä.

Vastaamon ex-toimitusjohtaja Ville Tapio puolestaan tuomittiin kolmen kuukauden ehdolliseen vankeuteen tietosuojarikoksesta. Tapio ja syyttäjä valittivat tuomiosta, ja asiaa käsitellään hovioikeudessa ensi vuoden toukokuussa.

Psykoterapiakeskus Vastaamon entinen toimitusjohtaja Ville Tapio jakaa näkemyksiään tietoturvan järjestämisestä sosiaalisen median alusta Linkedinissä.

Mitä kysymyksiä Helsingin kaupungin tietomurron pitäisi herättää tietoturvan toteutuksen vastuista ja velvollisuuksista? Perustelen LindkedIn-artikkelissani Helsingin tapausta esimerkkinä käyttäen, miksi tietoturvan luotettava järjestäminen vaatii parempaa sääntelyä.

“Tietoturvaa voi monessa toiminnassa verrata merkitykseltään ja vaativuudeltaan kirjanpitoon. Ylimmällä johdolla voi tyypillisesti olla vain rajalliset tiedot ja taidot sekä kirjanpidosta että tietoturvasta, mikä korostaa luottamussuhteen merkitystä toteuttaviin asiantuntijoihin. Kirjanpidon toteutuksen vastuista ja velvollisuuksista on selkeä sääntely. Vastaava sääntely tarvitaan myös tietoturvan luotettavaan järjestämiseen.”

Tekstissään Tapio kirjoittaa, että organisaatioiden johtajiin kohdistuu kohtuuttomia vastuita tietoturvan järjestämisestä. Hänen mielestään johtajat eivät voi valvoa tietoturvan toteutusta teknisten yksityiskohtien tasolla.

Tapion mukaan tietomurrot johtuvat yleensä työntekijöiden virheistä, eivät johdon toiminnasta.

Länsi-Uudenmaan käräjäoikeus on tuominnut Aleksanteri Tomminpoika Kivimäen, 26, vankeuteen kuudeksi vuodeksi ja kolmeksi kuukaudeksi.

Tuomio tuli törkeästä tietomurrosta, törkeän kiristyksen yrityksestä, 9 231 törkeästä yksityiselämää loukkaavan tiedon levittämisestä, 20 745 törkeän kiristyksen yrityksestä ja 20 törkeästä kiristyksestä.

Teot tapahtuivat vuosien 2018–2020 aikana.

Käräjäoikeus ei hylännyt syyttäjien syytettä miltään osin. Ainoastaan rangaistuksen se määräsi lievemmäksi kuin mitä syyttäjä vaati.