Suomen suurin tietomurto paljasti oi­keus­jär­jes­tel­män rajat

”Ajattelin, ettei tästäkään jutusta tule mitään.”

Näin ajatteli Etelä-Suomen aluesyyttäjä Bo-Niklas Lundqvist, kun häntä pyydettiin mukaan hoitamaan psykoterapiakeskus Vastaamon tietomurtoa.

Odotukset eivät olleet korkealla. Hän oli nähnyt tällaisia tapauksia ennenkin.

”Tietomurtojutuissa on tyypillistä, että joitain tietoja löytyy. Lopulta kukaan ei kuitenkaan jää kiinni, koska johtolankoja ei ole riittävästi”, Lundqvist muistelee.

”Ajattelin, että minut pyydettiin mukaan varmuuden vuoksi.”

Näkemys muuttui palaverissa, jonka hän piti vastaavien syyttäjien Pasi Vainion ja Tuomas Soosalun kanssa.

”He katsoivat toisiaan hymyillen ja sanoivat, että heillä on kerrottavaa. No mitä, minä ajattelin. He sanoivat, että epäilty on tiedossa ja pidätysmääräys olisi vain ajan kysymys.”

Lundqvist ymmärsi, että nyt jotain oikeasti tapahtuisi. Hänellä ei silti ollut käsitystä siitä, kuinka raskas prosessi oli käynnistymässä.

Länsi-Suomen aluesyyttäjä Pasi Vainio oli ollut mukana alusta asti. Syys-lokakuussa 2020 poliisille paljastui tietomurto, ja hänet yhdessä syyttäjä Soosalun kanssa määrättiin tehtävään.

Lokakuun 20. päivä tapauksesta tuli julkinen, kun tietoja alkoi vuotaa. Tieto epäillystä tuli syyttäjille seuraavan vuoden keväällä.

”Samaan aikaa tehtiin rikosilmoitus tietosuojarikoksesta, josta epäiltiin Vastaamon toimitusjohtajaa, eli tässä tutkittiin eri kokonaisuuksia”, Vainio kertoo.

Vuonna 2022 Soosalu siirtyi muihin tehtäviin ja laajenevaan juttuun tarvittiin lisävoimia. Parhaimmillaan jutun kimpussa oli 19 syyttäjää, ja ydinryhmään tulivat mukaan Lundqvist ja Itä-Suomen aluesyyttäjä Harri Mäkelä.

Työnjako alkoi selkiytyä.

”Harrilla taas oli teknistä osaamista ja kokemusta. Hän vahvisti tiimiämme tärkeällä tavalla ja seurasi valtavaa asianomistajamassaa eli sitä, että meillä on oikeat ihmiset menossa prosessin seuraavaan vaiheeseen. Se oli melkoista excel-humppaa”, Vainio kertoo.

”Tietysti me kaikki jouduimme matkan varrella ottamaan haltuun uusia asioita. Käräjäoikeudessa vastuuta jaettiin tasaisesti ja kaikilla oli samat tiedot.”

Lundqvist teki yhteistyötä Keskusrikospoliisin kanssa ja huolehti muun ohella siitä, että esitutkintamateriaalin tekninen osuus olisi helpommin luettavassa muodossa käräjäoikeuskäsittelyä varten.

”Raporttien piti olla selkokielellä, koska juristit eivät ole koodi-ihmisiä. Pasi apulaispäällikkönä osasi hallinnolliset hommat ja sai johdon ymmärtämään tarvittavat resurssit”, Lundqvist kertoo.

Vastaamon toimitusjohtajan Ville Tapion käräjäoikeusistunnon jälkeen alkoi olla jo kiire.

”Tietosuojarikoksen tekoaika päättyi lokakuussa 2020, ja kyseinen rikos vanhenee kahdessa vuodessa. Nostimme syytteen syyskuun lopussa 2022, ihan vanhenemisen kynnyksellä.”

Nopean syyteharkinnan mahdollisti tiivis esitutkintayhteistyö poliisin kanssa. Syyttäjille siirtyneiden rikosilmoitusten määrä oli täysin poikkeuksellinen.

”Poliisilaitoksilta ympäri Suomea tuli 21000 juttua. Jotta pystyimme ottamaan pöytäkirjat vastaan toukokuussa 2023, poliisin kanssa piti sopia menettelytavoista”, Vainio kertoo.

Valmista järjestelmää tiedosiirtoon ei ollut. Syyttäjälaitoksen infra olisi kaatunut moiseen määrään dataa, joten Vastaamon tapauksia varten rakennettiin oma. Sen tekeminen vei pari kuukautta.

Lundqvistin mukaan rikosilmoitusten määrä vastasi noin kolmasosaa Etelä-Suomen eli suurimman syyttäjäalueen koko vuoden pöytäkirjamäärästä – ja ne tulivat yhden kesän aikana.

Tietojen siirto alkoi 1.6. ja deadline oli 8.10. Jokainen asia piti käsitellä huolellisesti, mutta nopeasti. Minuuteissa.

”Päätökseen oli budjetoitu 12 minuuttia per pöytäkirja. Ja kun otetaan huomioon kesälomat siinä välissä, niin todellinen tehokkuus oli 6–8 minuuttia per päätös”, Vainio hymyilee.

”Useissa tapauksissa oli kaksi nimikettä, joten syyttäjät tekivät kaikkiaan 36000 päätöstä tuossa ajassa. Ja se onnistui!”

Taustalla pyöri tarkkaan suunniteltu koneisto: kanslia vastaanotti jutut ja 11 sihteeriä valmisteli ne syyttäjille. Tätä varten laadittiin prosessikaavio ja 74-sivuinen Vastaamo-sihteerin ohjekirja.

Mäkelä sanoo, että aluksi työmäärä ”hirvitti” ja sen läpiviennin onnistuminen epäilytti.

”Näyttö oli hankala asia ja koostui monista palasista. Kaikki sujui, koska ryhmähenki ja tekemisen meininki oli hurja koko porukalla.”

Lähtötilanne oli Lundqvistin mukaan poikkeuksellinen. Poliisi oli takavarikoinut ja saanut haltuunsa tietokannan, jossa oli uhrien tiedot, mutta ei voinut käyttää sitä.

”Poliisi ei siis tiennyt, keitä uhrit olivat, eikä poliisilla ollut lupaa avata tietoja. Se oli pattitilanne.”

Niinpä uhreja pyydettiin itse tekemään rikosilmoituksia, jotta prosessi saatiin liikkeelle.

Aineiston valtava määrä ei ollut ainoa haaste. Vielä tärkeämpi asia Vastaamon tapauksessa oli se, mitä aineisto sisälsi ja miten sitä voitaisiin käsitellä.

”Asianomistajien henkilöllisyys oli salainen sekä julkisuuteen että keskenään, ja luottamuksellisuuden vaatimus teki tästä poikkeuksellisen syyteharkintaprosessin. Ilman salausta prosessi olisi ollut paljon kevyempi”, Lundqvist sanoo.

Tämä näkyi konkreettisesti siinä, että jokainen tapaus jouduttiin käsittelemään erillisenä kokonaisuutena.

”Mielenterveyspalveluissa kyse on potilastiedosta ja se on heti salaista. Emme siis voineet tehdä yhtä päätöstä, jossa olisi pitkä lista ihmisiä, vaan nyt oli yksi asianomistaja per pöytäkirja. Samoin liitemateriaalin kanssa piti olla todella tarkka, koska sekin on arkaluontoista.”

Tilannetta mutkistivat vielä yksittäiset rajatapaukset. Kuka on asianomistaja, jos terapiassa käyneen lapsen vanhempi saa kiristyskirjeen? Tai silloin, jos pariterapiassa käyneistä toista kiristetään?

Oikeusprosessi sai paljon julkisuutta Suomen mediassa ja siitä uutisoitiin myös ulkomailla. Se osaltaan lisäsi syyttäjien painetta. Tuhannet ihmiset odottivat tietoja ja vastauksia.

Lundqvist kertoo, että viestinnästä tuli oma työnsä, joka piti opetella nopeasti.

”Tiedottaminen piti hoitaa niin, ettei siitä tullut lisäkuormitusta. Meillä oli prosessin varrella useampi tarkistuspiste, joissa annoimme tietoa yleisölle, ja yritimme ennakoida kysymyksiä mahdollisimman pitkälle.”

Tarkoitus oli myös ohjata ihmiset syyttäjälaitoksen verkkosivuille ennen luuriin tarttumista.

Aina suunnitelmat eivät onnistuneet. Näin kävi esimerkiksi silloin, kun syyttäjät tekivät niin sanotun rajoituspäätöksen henkilöistä, jotka eivät olleet itse aktivoituneet mutta olivat silti uhreja.

”Kun he saivat päätöksen postiluukustaan, meidän puhelimet alkoivat soida. Vietimme kaksi päivää käytännössä tauotta puhelimessa”, Lundqvist muistelee.

Yhteydenotoissa toistuivat samat teemat: osa ei ollut tiennyt olevansa Vastaamon rekisterissä, osa halusi pysyä erossa koko prosessista, ja osa taas oli kiinnostunut korvauksista.

Vainion mukaan kyse oli myös viranomaiselle uudenlaisesta tilanteesta ja oppimispolusta.

”Syyttäjälaitos ei ole tottunut tiedottamaan tällaisella volyymilla. Aluksi rikosilmoituksen tekeminen jäi uhrin harkintaan, mutta asian siirtyminen meille vaikutti ihmisiin. Aiemmin passiiviset aktivoituivat ja aktiiviset saattoivat haluta vetäytyä.”

Yhteydenottoja tuli aaltoina eri vaiheissa prosessia. Silti kokonaisuudesta jäi syyttäjille myönteinen kokemus ja Vainion mukaan yhteistyö median kanssa onnistui hyvin.

”Pakko myös sanoa, että mediassa esillä ollut tieto oli harvinaisen hyvää ja faktoiltaan oikein, joitain klikkiotsikoita lukuun ottamatta. Media taisi tiedostaa oman vastuunsa tapauksessa.”

Syyttäjille prosessi näyttäytyi myös yksittäisten ihmisten hädän kautta. Puhelut ja yhteydenotot toivat esiin, mitä tietomurto ihan konkreettisesti tarkoittaa.

”Ihmisten haavoittuvuus kosketti. Monilla oli aito huoli siitä, millaista tietoa heistä on levinnyt. Kaikkiin kysymyksiin meilläkään ei ollut vastauksia”, Mäkelä sanoo.

Usein yhteydenotto ei ollutkaan pelkkä tiedustelu, vaan tarve tulla kuulluksi.

”Välillä tuntui, että soittaja halusi vain keskustella. Näissä tilanteissa menimme ehkä vähän oman roolimmekin ulkopuolelle”, Mäkelä lisää.

Syyttäjät ohjasivat ihmisiä eteenpäin esimerkiksi Rikosuhripäivystykseen, mutta samalla oli selvää, että tapaus jätti jäljen moniin. Lundqvist nostaa esiin myös laajemman vaikutuksen.

”Oikeudenkäynneissä kuullut terapeutit kertoivat, että tapaus on synnyttänyt jopa hoitovastaisuutta. Osa ihmisistä on menettänyt luottamuksen luottamuksellisuuteen.”

Silti viranomaisten työtä arvostettiin, eikä syyttäjiin kohdistunut kritiikkiä. Lundqvistin mukaan heidän tekemästään työstä on oltu kiitollisia läpi prosessin.

”Puheluista uhrien kanssa jäi lopulta usein positiivinen olo. Piti vain jaksaa puhua ja ymmärtää, ja keskustelut päättyivätkin yleensä hyvissä merkeissä”, Vainio lisää.

Vaikka Vastaamon tapaus olikin laajuudessaan omassa luokassaan, se paljasti jotain olennaista tietoturvallisuudesta.

”Kaikki meistä oleva tieto eri tietokannoissa on haavoittuvaista. Kysymys on vain siitä, pystytäänkö se murtamaan, kuka sen tekee ja millä aikomuksella”, Vainio sanoo.

Hän ei halua kuulostaa kyyniseltä, mutta viisi vuotta ovat jättäneet jäljen. Ja teknologian kehittyessä riskit vain kasvavat.

”Tulevaisuudessa AI-avusteinen tietosuojarikos on mahdollista kohdistaa entistä helpommin yhä suurempaan joukkoon ihmisiä.”

Työ vaikutti myös henkilökohtaisella tasolla. Vainio kertoo vetäytyneensä prosessin aikana sosiaalisesta mediasta – osin siksi, että mahdollisuus viranomaisen häirinnälle oli suuri.

Lundqvist kertoo olleensa aina varovainen julkisuuteen pantavan tiedon suhteen. Huolien ja negatiivisten visioiden rinnalla hän korostaa jaksamisen merkitystä.

”Pidimme paljon yhteyttä keskenämme ja puhuimme myös muista asioista. Se oli tärkeää, että pysyi jotenkin järjissään.”

Myös Vainio ja Mäkelä arvostavat vertaistukea ja kokivat saavansa siitä paljon.

”Se oli meille parasta terapiaa”, Mäkelä summaa.

Tärkein opetus on Vainion mukaan se, että kaikissa organisaatioissa tietosuojaan liittyvien asioiden pitää olla kunnossa. Täydellistä suojaa ei ole, mutta paljon voidaan silti tehdä.

”Tietosuojan pitää olla kunnossa organisaatiossa ihan kaikilla tasoilla. Nyt tilanne oli se, että samassa tietokannassa oli sekä terapiaistuntojen sisältö että henkilötiedot.”

Vastaamon tuhannet uhrit ovat Lundqvistin mukaan täydellinen surullinen esimerkki siitä, miksi tietosuojatyötä tehdään ja miksi se on niin tärkeää.

Ja vielä on paljon tehtävää. Syyttäjien mukaan oikeusjärjestelmä on rakennettu toisenlaiseen maailmaan.

”Laajan tietosuojarikoksen mahdollisuudesta on ollut viitteitä, mutta lainsäädäntö ei silti ole ollut valmis. Emmekä ole kovin valmiita vieläkään, jos jotain näin isoa tapahtuu”, Vainio myöntää.

”Rikosprosessi lähtee siitä, että jokaisella on oikeus tulla kuulluksi ja esittää vaatimuksia. Systeemi menee väistämättä kankeaksi, jos tällaisen ihmismäärän kaikki oikeudet toteutetaan täydellisesti”, Lundqvist jatkaa.

Myös Mäkelä toivoo parannuksia. Ja mielellään mahdollisimman pian, koska tietosuojaan kohdistuvia hyökkäyksiä tulee tapahtumaan tulevaisuudessakin.

”Rikolliset eivät jää odottelemaan.”