Vastaamo kände till dataintrång
Bolagets styrelse: Vd hemlighöll
Uppgifter om dataintrånget hos psykoterapicentret Vastaamo blev offentliga förra veckan.
Vastaamos styrelse och ägare säger nu att företagets ledning hemlighållit dataläckan i ett och halvt år. Vd Ville Tapio, tillsammans med sin mamma Nina Tapio grundare av bolaget, sägs därför upp från sin tjänst. De nya storägarna i bolaget inleder dessutom med rättprocess mot Ville Tapio.
Dataintrånget i psykoterapicentralens system ägde rum i november 2018.
En eller flera gärningspersoner har kommit åt tiotusentals patientjournaler, och både företaget och privatpersoner är utsatta för utpressning.
Vastaamo uppstod för tolv år sedan som en idé inom familjen – hemma hos terapeut- och teologmamman Nina och hennes datorintresserade son Ville. På måndagen fick Ville sparken som vd. Investmentkapitalet som kom in i familjefirman åtalar honom för den massiva Vastaamohärvan.
Psykvårdsföretaget Vastaamo står i kärnan för ett av de största och känslokallaste databrott Finland har sett.
– Jag har sett bara tre så här oerhört fräcka dataintrång i världen, två i USA och ett i Mellaneuropa. Där hade man hackat in sig i skönhetskliniker och pressat folk på pengar mot hotet att visa före- och efter-bilder på patienterna, säger Mikko Hyppönen från dataskyddsföretaget Fsecure, till Helsingin Sanomat.
Men ansvaret för att det gick att göra inbrott hos Vastaamo, det ligger på företagets ledning, anser nu delägarna i bolaget. På måndagseftermiddagen fick Vastaamos vd Ville Tapio sparken. Han blir dessutom brottsanmäld av den nya storägaren i företaget, investeringsgruppen Intera Partners.
Det blev slutet på en familjedröm. Det är tolv år sedan psykoterapeuten Nina Tapio och hennes då 27-åriga son Ville hittade varandra kring en gemensam business.
Han var en datornörd från Commodore 64-generationen. Hon var teolog, familjerådgivare och psykoterapeut. Tillsammans grundade de Vastaamo. Det företag som nu har slagits av utpressningsskandalen hade, när blixten slog ner, vuxit till ett av landets 50 största privata vårdföretag. Vastaamo hade 18 000 klienter, mottagningar på 24 orter och under fjolåret en årsomsättning på 13 miljoner euro.
Kände till läckan?
Under måndagen kom det också fram medieuppgifter om att man inom Vastaamo ska ha känt till dataintrånget i över ett och ett halvt år. Den informationen hävdar Intera Partners att hade dolts när man i maj 2019 gick in och köpte aktiemajoriteten i Vastaamo.
Det är också fortfarande en gåta varför den hittills okända grupp hackare som angripit Vastaamo har ställt sina krav först nu. På måndagen berättade företaget att utpressningskraven först skickades till tre anställda inom Vastaamo i slutet av september. Därefter ska bolaget genast ha underrättat polisen, cybersäkerhetscentret och vårdmyndigheten Valvira.
Data från2017 och 2018
De patientdata från Vastaamo som nu uppges cirkulera på det så kallade ”mörka internet” sägs omfatta en fil med 10 gigabyte från åren 2017 och 2018. I ett pressmeddelande på måndagen meddelar bolaget att Vastaamos datasekretess från och med mars 2019 bör vara helt säkrad.
Vastaamohärvan, där tusentals Vastaamo-klienter, men också företagets terapeuter och ägare är brottsoffer, är redan i sig en massiv brottshärva. Nu blir det dessutom rättsliga åtgärder mellan delägarna i Vastaamo.
Vastaamos styrelseordförande Tuomas Kahri är nu tillfällig vd i Vastaamo. I bolagets styrelse representerar har Intera Partners tillsammans med Tomi Terho, som också är investerare i baroch nattklubbskedjan Noho Partners, i rubrikerna bland annat för sin kamp mot myndigheternas coronarestriktioner.
Kahri har en bakgrund som verksamhetschef i vårdbolaget Terveystalo. I Vastaamos styrelse sitter också miljonären Antti Ylikorkala som gjorde storaffären att sälja läkarcentralkedjan Medone till vårdbolaget Attendo.
Hackarna har försökt pressa Vastaamo på hundratusentals euro för att de inte ska gå ut med de konfidentiella patientuppgifterna. Under veckoslutet fick också enskilda kunder utpressningsmejl där de ombads betala för att deras journaler inte ska läggas ut på nätet.