Los empleados del departamento de TI del mostrador acusaron a Ville Tapio durante los interrogatorios policiales de indiferencia hacia la protección de datos.
En la investigación preliminar, se dijo que al ex director ejecutivo de Vastaamo no le importaba la seguridad de la información. LAGO FUERA
- Los documentos del fiscal contienen afirmaciones duras sobre el ex director ejecutivo de Vastaamo.
- Según las acusaciones, Ville Tapio careció por completo de recursos de seguridad de la información.
- Expertos externos encontraron serias deficiencias en la seguridad de la información de Vastaamo.
Según los documentos publicados del caso Vastaamo, la empresa dejó de lado la protección de datos en favor de la búsqueda de beneficios.
En los interrogatorios llevados a cabo durante la investigación preliminar por la policía, parece que Vastaamo no invirtió mucho en recursos informáticos. El enfoque principal estaba en la expansión de la empresa y el establecimiento de nuevas oficinas.
El exdirector general de Vastaamo fue escuchado como sospechoso en la investigación preliminar ville tapio además, dos hombres que trabajaban en el departamento de TI de Vastaamo. En lo que a ellos respecta, el fiscal tomó las decisiones de no procesar.
Durante los interrogatorios policiales, denunciaron la insuficiencia de recursos y acusaron a Tapio de ser indiferente a la protección de datos.
No se gestionó la seguridad de los datos.
Los puntos de vista de los empleados de TI en la oficina principal sobre los recursos limitados son confirmados por expertos externos. Por ejemplo, según el Cybersecurity Center, cuidar la seguridad de la información del Counter habría requerido el trabajo de al menos 5 o 6 profesionales de TI.
Sin embargo, solo dos personas trabajaban en la recepción. Con base en la investigación preliminar, sus habilidades eran insuficientes en relación con los requisitos del puesto. Sus contratos de trabajo estaban relacionados con la codificación y el desarrollo más que con la seguridad de la información.
El empleado que estaba a cargo de la protección de datos no había recibido ninguna formación para su trabajo, y sus funciones no incluían gestionar la seguridad técnica de los datos, sino velar por que la empresa cumpliera con la normativa de protección de datos. Según la investigación preliminar, la formación dependía de la propia actividad de los empleados.
Según una persona que formaba parte del comité de seguridad de la información de la empresa, Tapio consideraba que la capacitación en protección de datos era un mal uso del tiempo de los empleados. Si bien, según él, Tapio escuchó las inquietudes, no hizo nada concreto para subsanarlas.
Seguridad de datos con un contrato de hora cero
Según la policía, no había presupuesto real en el departamento de TI. Los empleados trabajaban mucho con un contrato de cero horas y solo se les encargaba cuando era necesario. La falta de recursos también fue visible en el día a día de los empleados de Vastaamo como un retraso de meses en el manejo de las tareas laborales.
Ambos empleados escucharon que los sospechosos dijeron que habían expresado su preocupación por la seguridad insuficiente de la información y que habían hecho propuestas de adquisición a Tapio para mejorarla. Sin embargo, no fueron aprobados.
Según el director ejecutivo de la empresa que proporcionó a Vastaamo los servicios de servidor, los presupuestos de Vastaamo eran demasiado bajos. El presupuesto era pequeño y se estiró utilizando herramientas gratuitas.
Por ejemplo, la plataforma de virtualización utilizada por la empresa era una versión pirateada.
La historia continúa después de la imagen.
Se encontraron serias deficiencias en la seguridad de la información del mostrador de recepción durante mucho tiempo. Karoliina Vuorenmaki
Tapio ocultó la primera extorsión
Sobre la base de las decisiones de no procesar, las acusaciones más graves contra Tapio están relacionadas con la forma en que actuó después de que Vastaamo fuera objeto de un mensaje de chantaje el 15 de marzo de 2020. Una parte externa pudo iniciar sesión en la base de datos sin permiso y destruirla. .
En cambio, se dejó un mensaje de chantaje, exigiendo moneda virtual a cambio de restaurar la base de datos.
Sin embargo, la violación de la seguridad de los datos no se informó a las autoridades, sino que el motivo de la pérdida de datos se informó como «el colapso del sistema de información». El asunto solo se aclaró más tarde en la investigación de Nixu Corporation, porque había rastros de la destrucción de los datos de netflow relacionados con la extorsión.
Según los empleados de TI, la orden de ocultar las transacciones provino de Tapio. Otro empleado de TI dijo que había destruido todos los datos de netflow relacionados con la violación de datos por orden de Tapio. El otro sospechoso, por su parte, dijo que Tapio había decidido que no había motivos para denunciar el asunto a las autoridades.
Según Ville Tapio, solo se enteró de lo sucedido en octubre de 2020. Según él, de hecho, el departamento de TI le había ocultado lo sucedido.
Las contraseñas también están incompletas.
En la investigación realizada por Nixu Corporation, se encontraron varias deficiencias en la seguridad de la información de Vastaamo, que ponían en peligro la seguridad de la información de los pacientes. Las violaciones de seguridad de datos más significativas y graves ocurrieron en los años 2017-2019. El puerto de comunicación de la base de datos del contador, que debe estar cerrado a las conexiones externas, estuvo abierto a Internet desde el 26 de noviembre de 2017 hasta el 13 de marzo de 2019.
Las políticas de contraseñas del Centro de Recepción también han sido inadecuadas. La investigación de TI de KRP reveló que la identificación de usuario «raíz» en el registro de pacientes no tenía ninguna contraseña.
El 28 de septiembre de 2020, Ville Tapio y los empleados de TI de Vastaamo recibieron un mensaje de chantaje por correo electrónico en el que el chantajista decía que se había apoderado de todo el registro de pacientes de Vastaamo. El extorsionador amenazó con publicar la información en Internet, a menos que Vastaamo accediera a las demandas del extorsionador.
El extorsionista envió tres correos electrónicos, en relación con los cuales envió muestras de la base de datos de 2012 a 2017. En su último mensaje, el extorsionista anunció que había descargado la información hace unos meses directamente de la base de datos que contiene la información del paciente de Vastaamo.
El asunto fue denunciado a las autoridades en esta etapa. Posteriormente, el chantajista cumplió su amenaza y filtró la información en línea.
El fiscal anunció hoy que ha presentado cargos contra el ex presidente ejecutivo de la empresa, Ville Tapio.