Les employés du service informatique du guichet ont accusé Ville Tapio lors des interrogatoires de police d’indifférence à la protection des données.
Lors de l’enquête préliminaire, il a été dit que l’ancien PDG de Vastaamo ne se souciait pas de la sécurité de l’information. LAC OUTI
- Les documents du procureur contiennent des affirmations sévères concernant l’ex-PDG de Vastaamo.
- Selon les allégations, Ville Tapio a complètement sous-financé la sécurité de l’information.
- Des experts externes ont découvert de graves lacunes dans la sécurité des informations de Vastaamo.
Sur la base des documents publiés dans l’affaire Vastaamo, la société a mis de côté la protection des données au profit de la recherche de profit.
Lors des interrogatoires menés lors de l’enquête préliminaire par la police, il est apparu que Vastaamo n’avait pas beaucoup investi dans les moyens informatiques. L’accent était mis sur l’expansion de l’entreprise et l’établissement de nouveaux bureaux.
L’ex-PDG de Vastaamo a été entendu comme suspect dans l’enquête préliminaire Ville Tapio en plus, deux hommes qui travaillaient dans le service informatique de Vastaamo. Pour eux, le procureur a pris les décisions de ne pas poursuivre.
Lors des interrogatoires de police, ils ont parlé de ressources insuffisantes et ont accusé Tapio d’être indifférent à la protection des données.
La sécurité des données n’était pas gérée
Les opinions des employés informatiques du front office sur les ressources limitées sont confirmées par des experts externes. Par exemple, selon le Centre de cybersécurité, s’occuper de la sécurité des informations du Comptoir aurait nécessité le travail d’au moins 5 à 6 professionnels de l’informatique.
Cependant, seules deux personnes travaillaient à la réception. Selon l’enquête préliminaire, leurs compétences étaient insuffisantes par rapport aux exigences de l’emploi. Leurs contrats de travail étaient liés au codage et au développement plutôt qu’à la sécurité de l’information.
L’employé qui était en charge de la protection des données n’avait reçu aucune formation pour son poste, et ses fonctions ne consistaient pas à gérer la sécurité technique des données, mais à veiller à ce que l’entreprise respecte la réglementation sur la protection des données. Sur la base de l’enquête préliminaire, la formation dépendait de l’activité propre des employés.
Selon une personne qui faisait partie du comité de sécurité de l’information de l’entreprise, Tapio considérait la formation à la protection des données comme une mauvaise utilisation du temps des employés. Bien que, selon lui, Tapio ait écouté les inquiétudes, il n’a rien fait de concret pour les corriger.
Sécurité des données avec un contrat zéro heure
Selon la police, il n’y avait pas de budget réel dans le service informatique. Les employés ont effectué beaucoup de travail dans le cadre d’un contrat zéro heure et n’ont été mandatés que lorsque cela était nécessaire. Le manque de ressources était également visible dans la vie quotidienne des employés de Vastaamo sous la forme d’un retard de plusieurs mois dans la gestion des tâches de travail.
Les deux employés entendus en tant que suspects ont déclaré qu’ils avaient exprimé leurs préoccupations concernant la sécurité insuffisante de l’information et qu’ils avaient fait des propositions d’approvisionnement à Tapio pour l’améliorer. Cependant, ils n’ont pas été approuvés.
Selon le PDG de la société qui a fourni les services de serveur à Vastaamo, les budgets de Vastaamo étaient bien trop bas. Le budget était petit et il a été étiré en utilisant des outils gratuits.
Par exemple, la plate-forme de virtualisation utilisée par l’entreprise était une version piratée.
L’histoire continue après la photo
De graves lacunes ont été constatées dans la sécurité des informations de la réception pendant longtemps. Karoliina Vuorenmäki
Tapio a caché la première extorsion
Sur la base des décisions de ne pas poursuivre, les accusations les plus graves contre Tapio sont liées à la façon dont il a agi après que Vastaamo ait été la cible d’un message de chantage le 15 mars 2020. Un tiers a pu se connecter à la base de données sans autorisation et la détruire. .
Au lieu de cela, un message de chantage a été laissé, exigeant une monnaie virtuelle en échange de la restauration de la base de données.
Cependant, la violation de la sécurité des données n’a pas été signalée aux autorités, mais la raison de la perte de données a été signalée comme « le crash du système d’information ». La question n’a été clarifiée que plus tard dans l’enquête de Nixu Corporation, car il y avait des traces de la destruction des données netflow liées à l’extorsion.
Selon les informaticiens, l’ordre de cacher les transactions est venu de Tapio. Un autre employé informatique a déclaré qu’il avait détruit toutes les données netflow liées à la violation de données sur la commande de Tapio. L’autre suspect, en revanche, a déclaré que Tapio avait décidé qu’il n’y avait aucune raison de signaler l’affaire aux autorités.
Selon Ville Tapio, il n’a découvert ce qui s’est passé qu’en octobre 2020. Selon lui, en fait, le service informatique lui avait caché ce qui s’était passé.
Les mots de passe sont également incomplets
Dans l’enquête menée par Nixu Corporation, plusieurs lacunes ont été découvertes dans la sécurité des informations de Vastaamo, ce qui a mis en danger la sécurité des informations des patients. Les atteintes à la sécurité des données les plus importantes et les plus graves se sont produites entre 2017 et 2019. Le port de communication de la base de données du compteur, qui doit être fermé aux connexions extérieures, a été ouvert à internet du 26 novembre 2017 au 13 mars 2019.
Les politiques de mot de passe du centre d’accueil ont également été inadéquates. L’enquête informatique de KRP a révélé que l’ID utilisateur « root » dans le registre des patients n’avait aucun mot de passe.
Le 28 septembre 2020, les employés informatiques de Ville Tapio et de Vastaamo ont reçu un message de chantage par e-mail, dans lequel le maître chanteur a déclaré qu’il avait pris possession de l’intégralité du registre des patients de Vastaamo. L’extorqueur a menacé de publier les informations sur Internet, à moins que Vastaamo n’accepte les demandes de l’extorqueur.
L’extorqueur a envoyé trois e-mails, dans le cadre desquels il a envoyé par e-mail des échantillons de la base de données de 2012 à 2017. Dans son dernier message, l’extorqueur a annoncé qu’il avait téléchargé les informations il y a quelques mois directement depuis la base de données contenant les informations sur les patients de Vastaamo.
L’affaire a été signalée aux autorités à ce stade. Plus tard, le maître chanteur a mis sa menace à exécution et a divulgué les informations en ligne.
Le procureur a annoncé aujourd’hui qu’il avait porté plainte contre l’ancien PDG de la société, Ville Tapio.