Rikollinen pääsi lataamaan satojentuhansien apteekkiasiakkaiden terveystietoja saatuaan käsiinsä järjestelmän tunnukset.
Viron suurimman apteekkiketjun Apothekan massiivinen tietovarkaus koskee läheisesti myös suomalaisia, sillä Apothekalla on runsaasti suomalaisia asiakkaita.
Apothekan tietovarkauden rinnalla Suomen Vastaamo-tapaus on pikkujuttu, ainakin jos verrataan ihmisjoukkoa, jota se koskettaa.
Apothekan kanta-asiakasohjelman hallinnasta ja tietoturvasta vastaava yritys Allium UPI on saanut Viron tietosuojantarkastusvirastolta AKI:lta ennenkuulumattoman suuren kolmen miljoonan euron sakon tietoturvan laiminlyömisestä. AKI:n lehdistöedustaja Maire Iro kertoo Iltalehdelle, että kyseessä on suurin sakko, jonka AKI on koskaan määrännyt.
Allium UPI:n mediasuhteista vastaava henkilö puolestaan kertoo Iltalehdelle, ettei yritys tyydy saamaansa sakkoon, vaan vie sen oikeuden käsiteltäväksi.
Ilman suojaa
“Viron Vastaamo-tapauksessa” kyse on Apothekan kanta-asiakasohjelmasta, jossa on AKI:n tietojen mukaan vähintään 750 000 jäsentä. Kanta-asiakasohjelmaan kirjataan kanta-asiakkaiden henkilötunnukset ja yhteystiedot, mutta myös heidän koko ostohistoriansa.
Kanta-asiakasohjelma siis sisältää sen jäsenten yksityiskohtaisia terveystietoja mahdollisista sairauksista ja muista ongelmista ja tutkimuksista.
Viron poliisi- ja rajavartiolaitoksen PPA:n viestintävastaava Leana Loide kuitenkin sanoo, ettei vääriin käsiin ole joutunut tietoja reseptilääkehankinnoista, vaan vain käsikauppalääke- ja muista tuotehankinnoista.
PPA:n mukaan Apothekan tietokannasta on ladattu laittomasti lähes 700 000 kanta-asiakkaan tietoja. Mukana on jossain määrin myös Apotheka Beautyn ja PetCity-lemmikkieläinkauppaketjun kanta-asiakastietoja
AKI:n mukaan Apothekan koko kanta-asiakasrekisteri päätyi vääriin käsiin vuoden 2024 alussa, ja se johtui Allium UPI:n laiminlyönneistä tietoturvan takaamisessa.
− AKI:n tutkinnassa kävi ilmi, että Allium UPI jätti asiakastiedot ilman suojaa ja käytti riittämättömiä keinoja tietojen turvaamiseen, AKI:n julkaisemassa tiedotteessa kerrotaan.
− Yrityksen huolimaton suhtautuminen asiakkaidensa tietoihin asetti vaaraan yli 750 000 ihmisen yksityisyyden, ja heidän joukossaan on lapsia ja muita erityisen haavoittuvia ihmisryhmiä.
AKI:n mukaan Allium UPI ei Apothekan asiakaskantaa hallinnoidessaan käyttänyt edes kaikkein perustavanlaatuisimpia “kyberhygienian” ja tietoturvallisuuden suojauskeinoja.
− Sen seurauksena ulkopuoliset henkilöt pääsivät toistuvasti tietojärjestelmään ja tietokantaan ja latasivat käyttöönsä suuren määrän arkaluonteisia asiakastietoja.
Tiedossa ei ole, kuinka moni Apothekaan kohdistuneen tietoturvarikoksen uhreista on tehnyt poliisille rikosilmoituksen ja myös mahdollisesti hakenut korvauksia Apothekalta tai Allium UPI:lta. Viron poliisi- ja rajavartiolaitos ei vastaa suomalaisasiakkaiden lukumäärää koskevaan kysymykseen.
Virossa kansalaiset eivät ole perinteisesti olleet erityisen kiinnostuneita siitä, minne heidän henkilö- ja rekisteritietojaan päätyy ja mitä niillä tehdään. AKI:n mukaan sen määräämä jättiläismäinen sakko on osoitus siitä, että Virossakin tietoturva-asioihin on jatkossa syytä suhtautua vakavasti.
Lapsenkengissä
Vääriin käsiin joutui henkilöiden tietoja, jotka olivat liittyneet Apothekan kanta-asiakasohjelmaan vuosina 2014–2020. Mukana on paljon suomalaisia, mutta heidän täsmällinen lukumääränsä ei ole tiedossa. Apteekkiketju on perustettu vuonna 2000.
Kanta-asiakkaiden rekisteritiedoista käyvät ilmi muun muassa mahdolliset ostetut raskaustestit ja ”katumuspillerit” ja muut tiedot heidän intiimielämästään.
Viron tietosuojantarkastusviraston AKI:n mukaan Allium UPI:n toimet tietoturvan takaamiseksi ovat olleet lapsenkengissään. Käytössä ei ole ollut moniportaista tunnistautumisjärjestelmää ja asiakasrekisteriä hallinnoivat henkilöt ovat käyttäneet samaa käyttäjätunnusta ja salasanaa. Järjestelmän ja sen käyttäjien toimintaa kartoittavan toimintalokin seuranta on ollut puutteellista ja järjestelmän varmuuskopioita on säilytetty huolimattomasti. Henkilökunnan toimenkuvat ja vastuualueet ovat olleet epäselvät.
− Jos yrityksen bisnesidea perustuu asiakastietojen käsittelyyn, pitää niiden turvaamisen olla osa ydintoimintaa. Jos asiakkaat uskovat tietonsa jollekin yritykselle, sillä on velvollisuus suojata ne ja säilyttää niitä turvassa, AKI:n pääjohtaja Pille Lehis sanoo tiedotteessa.
− Jos yritys ei toimi niin, se asettaa vaaraan asiakkaidensa yksityisyyden ja ottaa riskin heidän luottamuksensa menettämisestä.
AKI:n mukaan sakkoa Allium UPI:lle määrättäessä otettiin huomioon tietovarkauden massiivinen mittakaava, Euroopan tietosuojaneuvoston linjaukset ja yrityksen merkittävä liikevaihto.
Allium UPI:n liikevaihto oli viime vuonna 70 miljoonaa euroa. Yrityksen omistaja on ”Viron oligarkki” Margus Linnamäe, joka omistaa myös muun muassa mediakonserni Postimeesin ja lääketukku Magnumin.
Aiemmin Linnamäe omisti myös Apotheka-apteekit, mutta vuoden 2020 apteekkireformissa hän joutui luovuttamaan ne proviisoreille.
Apothekan ja Allium UPI:n side on ilmeinen: kun lähettää sähköpostia Allium UPI:n viestintään, vastaus tulee Apothekan viestintäjohtajalta.
Ei riitä takaamaan
Tapauksesta käynnistetty rikostutkinta on johtanut jo siihen, että Viron keskusrikospoliisi ja valtion syyttäjänvirasto ovat oikeuden luvalla antaneet kansainvälisen etsintäkuulutuksen 25-vuotiaasta marokkolaismiehestä.
Tutkinnassa on ilmennyt, että marokkolaismies oli ladannut kanta-asiakastiedot saatuaan haltuunsa järjestelmän käyttäjätunnuksen ja salasanan. Siitä ei poliisilla ja syyttäjänvirastolla ole edes epäilyjä, mistä marokkolainen oli saanut tietoturvaa koskevaa kriittistä tietoa.
Syyttäjänvirasto toteaa lausunnossaan, että marokkolainen oli päässyt hetkessä käsiksi Viron väestöstä noin puolen henkilö- ja terveystietoihin. Asukkaita Virossa on 1,3 miljoonaa. Keskusrikospoliisi puolestaan muistuttaa, ettei pelkkä salasana riitä takaamaan tietoturvaa, oli se kuinka pitkä ja monimutkainen tahansa.
Apotheka-ketjun viestintäjohtaja Karina Loi kertoo Iltalehdelle, ettei Allium UPI ole oman käsityksensä mukaan syyllistynyt tietojen huonoon suojeluun tai huolimattomuuteen, ja että Allium UPI vie asian oikeuden ratkaistavaksi.
Loin mukaan AKI levittää virheellistä tietoa varastetuista henkilö- ja terveystiedoista. Hän haluaa myös korostaa, ettei varastettujen tietojen joukossa ole asiakkaiden pankkitietoja tai salasanoja.
− Syyttäjänvirastolta ja viranomaisilta saamiemme tietojen mukaan varastettuja tietoja ei ole käytetty rikollisiin tarkoituksiin, eikä niitä ole tarjottu esimerkiksi internetin pimeässä verkossa.
Loin mukaan Allium UPI on nyt nostanut kyberturvallisuutensa tasoa jopa entisestään.