Tapaus VRK - SecMeter

Sisältöön

Tapaus VRK

Yritysturvallisuus > Liikesalaisuus
Fujitsun entinen työntekijä paljasti yhtiössä tapahtuneen salassa pidetyn tietovuodon viranomaisille. Tiedon perusteella Väestörekisterikeskus alkoi epäillä yhteistyökumppaninsa toimia ja teki poliisille asiasta tutkintapyynnön. Väestörekisterikeskuksella oli syytä epäillä sähköisten henkilökorttien tietoturvan vaarantuneen yhteistyökumppaninsa toimesta.

Fujitsu Services Oy toimitti Väestörekisterikeskukselle varmennetietojärjestelmän käyttöpalveluineen. Ratkaisu perustui Baltimore Technologiesin varmenneohjelmistoon. Väestörekisterikeskus havaitsi kesällä 2009, että Fujitsu Services Oy:n toiminnassa tapahtui laiminlyönti tai erehdys, jonka seurauksena oli mahdollista, että yhtiöltä edellytetty tietoturvataso ei ollut sopimuksen mukaisella tasolla.

Liiketoiminnan siirron yhteydessä Fujitsun työntekijä lähetti esimiehen käskystä sähköisesti yrityskauppaan sisältyviä tiedostoja ostajalle. Lähetetyn aineiston mukana ostajalle siirtyi myös tiedostokansio, joka sisälsi Väestörekisterikeskuksen ja Valviran varmennepalveluja koskevia tietoja.

Myöhemmin Fujitsun työntekijä antoi ostajan muutamalle työntekijälle käyttöoikeudet tähän kansioon. Fujitsu poisti kansion käyttöoikeudet noin neljä kuukautta myöhemmin, sen jälkeen, kun tilanne huomattiin.

Väestörekisterikeskus ei pyynnöistä huolimatta saanut palvelun tarjoajalta riittävän luotettavaa selvitystä asiasta. Tämän johdosta se teki asiasta tutkintapyynnön poliisille. Väestörekisterikeskuksen ylijohtaja kertoi YLE:lle, että tutkinnassa selvitettiin, oliko joku päässyt käyttämään hyödyksi salaisia tietoja.

Tutkintapyynnön johdosta keskusrikospoliisi aloitti vuonna 2009 rikostutkinnan, joka johti lopulta maanpetosrikosepäilyyn koskien turvallisuussalaisuuden paljastamista sekä kahta petosta. Tutkintaan osallistui myös supo.

Fujitsu Services Oy on valtionhallinnon johtava tietotekniikan palvelutoimittaja, jonka asiakkaina olivat kaikki keskeiset valtionhallinnon organisaatiot, kuten mm. sisäministeriö, Väestörekisterikeskus, Puolustusvoimat, eduskunta, valtioneuvoston kanslia, verohallinto ja VTT.

Yhtiö kertoi palvelusta verkkosivuillaan mm. seuraavaa: ”Luotettava tunnistaminen ja ehdoton tietoturva ovat julkishallinnolle suunnattujen ratkaisujemme tärkeimpiä ominaisuuksia”.

Epäilty turvallisuussalaisuuden paljastaminen liittyi nimenomaan sähköisten henkilökorttien varmennepalveluihin. Varmenteilla oli keskeinen rooli myös mm. sähköisen asioinnin kehittämisessä.

Turvallisuussalaisuuden paljastumisen epäiltiin tapahtuneen toukokuun loppupuolella vuonna 2004 ja petokset syyskuun 2004 ja kesäkuun 2009 välillä. Tutkinnan yhteydessä keskusrikospoliisi takavarikoi asiakirja-aineistoa mm. Väestörekisterikeskuksesta ja Fujitsu Services Oy:stä.

Keskusrikospoliisi kiinnostui myös CBOSS Oy:n (Convergent Business Operation Support Systems) mahdollisesta osuudesta asiaan. Venäläisomisteinen CBOSS Group perusti marraskuussa 2003 Suomeen CBOSS Oy nimisen tytäryhtiön. CBOSS Oy ei kuitenkaan tarjoa kyseisiä varmennepalveluita.

CBOSS Group vakuutti, että se on täysin oligarkkien määräysvallasta vapaa yhtiö. CBOSS Oy:n toimitusjohtajana ja hallituksen venäläiset ja valkovenäläiset henkilöt.

Suomen tytäryhtiö toimi myös CBOSS Groupin Euroopan toimintojen pääkonttorina. Yhtiö osti Fujitsu Services – yhtiöltä On-Line Billing Solutions (OBS) liiketoimintayksikön helmikuussa 2004. Fujitsun mukaan OBS-liiketoimintayksikkö oli sen ydinliiketoimintaan sopimaton tytäryhtiö.

Kaupan yhteydessä noin 70 OBS -yksikön työntekijää siirtyi uuden työnantajan CBOSS Oy:n palvelukseen vanhoina työntekijöinä. Työntekijöiden lisäksi uuteen yhtiöön siirtyi myös rtBilling-tuote sekä kaikki tekijänoikeudet ja asiakkuudet 1.2.2004 alkaen. Turvallisuussalaisuudet paljastuivat kaksi kuukautta tämän jälkeen toukokuussa 2004.

CBOSS Groupin pääjohtaja tapasi mm. presidentti Tarja Halosen vierailullaan Helsingissä 20.4.2006. Venäjän Federaation kaupallisen edustajan varaedustaja piti työtapaamisen CBOSS Oy:n johtaja kanssa 11.2.2009.

Kaupallisen edustuston uutisen mukaan osapuolet vaihtoivat mielipiteitä venäläis-suomalaisen yhteistyön kehitysnäkymistä PK-yritteliäisyyden alalla, totesivat alueellisen yhteistoiminnan nykyongelmia ja korostivat tulevan kahdenkeskisen yhteistyön järjestämisen tärkeyttä innovatiivisella alalla.

Esitutkinta valmistui
Keskusrikospoliisi lähetti jutun syyteharkintaan viikolla 40. Rikosnimikkeet olivat turvallisuussalaisuuden paljastaminen (maanpetosrikos) ja kaksi törkeätä petosta. Poliisi epäili rikoksista useita henkilöitä, jotka työskentelivät Väestörekisterikeskukselle tietoturvapalveluita tuottavassa Fujitsu Services Oy:ssä. Yhden epäillystä oletettiin työskennelleen CBOSS Oy:n johdossa sekä Fujitsu Services Oy:n palveluksessa.

Lähteet: (digitoday.fi 6.5.2006, Ilta-Sanomat 1.9.2010, hs.fi 1.9.2010, YLE.fi 1.9.2010, 4.10.2010, fujitsu.fi 1.9.2010, cboss.fi 1.9.2011, MTV3-uutIslähetys klo 22.00 1.9.2010, rusfintrade.ru uutiset, iltasanomat.fi 5.10.2010)

Syyteharkinta valmistui
Jutun syyteharkinta koski turvallisuussalaisuuden paljastamista, tuottamuksellista turvallisuussalaisuuden paljastamista ja kahta törkeätä petosta. Turvallisuussalaisuuden paljastamisen osalta syyttäjä teki asiassa syyttämättäjättämispäätöksen ”ei näyttöä” perusteella. Syyttäjän mukaan teko ei ollut tahallinen eikä esitetty näyttöä, että tietoja olisi käytetty hyväksi.

Fujitsun toimitusjohtaja ja viisi työntekijää saivat syytteen törkeästä petoksesta
Kihlakunnansyyttäjä päätti syyttää Fujitsu Finlandin toimitusjohtajaa ja viittä työntekijää kahdesta törkeästä petoksesta. Petokset liittyivät Fujitsun On-Line Billing Solutions liiketoimintayksikön kauppojen yhteydessä syntyneeseen tietovuotoon, jossa ulkopuoliselle paljastui Väestörekisterikeskuksen ja Valviran varmennepalveluja koskevia salassapidettäviä tietoja.

Syyttäjän mukaan Fujitsun toimitusjohtaja ja yhtiön eri tehtävissä toimineet viisi muuta työntekijää yrittivät salata tietovuodon Väestörekisterikeskukselta ja Valviralta. Tekoaika oli vuosina 2004–2009.

Tietovuodon paljastaja sai syytteen törkeästä kiristyksen yrityksestä
Oikeuden eteen joutui myös Fujitsun entinen työntekijä, jonka epäiltiin kiristäneen yhtiön johtoa. Fujitsun tietovuoto paljastui kesäkuussa 2009 erään henkilön kerrottua tapahtumasta viranomaisille. Hän oli Fujitsun entinen työntekijä.

Fujitsu oli irtisanonut kyseisen henkilön 14.10.2008 kuuden kuukauden irtisanomisajalla. Hänen epäiltiin uhanneen tietovuodon paljastamisella, ellei hänelle makseta muiden korvausten lisäksi 78 000 euron ylityökorvausta.

Kaikki syytetyt kiistivät syytteet. Fujitsun toimitusjohtaja ja viisi työntekijää katsovat, ettei heidän velvollisuutena ollut ilmoittaa tietovuodosta Väestörekisterikeskukselle tai Valviralle, koska varmennepalvelujen tietoturva ei käytännössä vaarantunut. Tietovuodon paljastanut henkilö katsoi, että tietovuoto ei liittynyt millään tavoin hänen ylityökorvauksiinsa. Lähteet: (hs.fi 7.12.2011, mtv3 7.12.2011, Digitoday 7.12.2011, uusisuomi.fi 7.12.2011, aamulehti.fi 7.12.2011)

Jutun käsittely alkoi Helsingin käräjäoikeudessa
Jutun pääkäsittely alkoi Helsingin käräjäoikeudessa. Valmistelevassa istunnossa käsiteltiin myös varsinaisen oikeudenkäynnin julkisuutta ja salaamisen astetta. Syyttäjä vaati kaikille syytetyille vankeusrangaistusta. Syyttäjä katsoi Fujitsun salanneen Väestörekisterikeskukselta ja Valviralta näihin kohdistuneen vakavan tietovuodon.

Jutun käsittely jatkui Helsingin käräjäoikeudessa juhannukseen saakka. Tuomiot jutussa käräjäoikeus antoi alkusyksystä 2013. Lähteet: (yle.fi 28.2.2013, 4.4.2013, talouselama.fi 4.4.2013)

Helsingin käräjäoikeus antoi tuomionsa
Helsingin käräjäoikeus antoi torstaina 31.10.2013 osaksi salassa pidettäväksi määrätyn tuomion. Käräjäoikeus tuomitsi Fujitsu Finland Oy:n entisen toimitusjohtajan yhden vuoden ehdolliseen vankeusrangaistukseen kahdesta törkeästä petoksesta. Petokset olivat tapahtuneet 20.9.2004 - 2.6.2009 välisenä aikana.

Käräjäoikeus määräsi vastaajan suorittamaan kahdelle asianomistajalle VRK:lle ja Valviralle vahingonkorvausta sekä korvaamaan asianomistajien oikeudenkäyntikulut asiassa. Asianomistajat velvoitettiin kuitenkin yhteisvastuullisesti korvaamaan Fujitsu Finland Oy:n oikeudenkäyntikulut.

Käräjäoikeus hylkäsi kahdesta törkeästä petoksesta vastaajina olleiden viiden Fujitsu Finland Oy:n työntekijän syytteet ja hylkäsi heitä vastaan esitetyt korvausvaatimukset. Yhden edellä mainitun työntekijän syyte törkeän kiristyksen yrityksestä hylättiin. Valtio velvoitettiin korvaamaan heidän oikeudenkäyntikulunsa.

Keväällä 2004 Fujitsu Finland Oy oli kopioinut ja siirtänyt sähköisesti CBOSS Oy:n käytössä olleelle palvelimelle liiketoiminnan luovutukseen liittyviä tiedostoja. Kopioinnin yhteydessä tapahtuneen virheen seurauksena CBOSS Oy:n palvelimelle oli kopioitunut yrityskauppaan kuulumaton Sanoma -niminen tiedostokansio, joka oli tiedostokooltaan noin 12 gigatavua ja sisältänyt suuren määrän pääosin luottamuksellista VRK:n ja VSSHP:n (Varsinais-Suomen sairaanhoitopiirin kuntayhtymä) varmennepalveluita koskevaa teknistä tietoa.

Tiedot olivat CBOSS Oy:n palvelimella noin neljän kuukauden ajan syyskuun 2004 puoliväliin saakka, jolloin asia tuli Fujitsu Finland Oy:ssä ilmi. Ilmitulon yhteydessä CBOSS Oy:n työntekijöiden käyttöoikeudet Sanoma-kansioon poistettiin.

Helsingin käräjäoikeus katsoi, että Sanoma-kansion kopioituminen oli vaarantanut varmennejärjestelmien tietoturvallisuutta. Kyseessä oli niin vakava tietoturvapoikkeama, josta Fujitsu Finland Oy:lle syntyi velvollisuus informoida VRK:ta, VSSHP:tä ja TEO:a/Valviraa. Fujitsu Finland Oy:n silloinen toimitusjohtaja oli kuitenkin 20.9.2004 tehnyt päätöksen, ettei asiasta informoida asiakkaita.

Helsingin käräjäoikeuden mukaan Fujitsu Finland Oy:n silloinen toimitusjohtaja oli näin menettelemällä tahallaan ja tavoitellakseen yhtiölle oikeudetonta taloudellista hyötyä erehdyttänyt VRK:ta, VSSHP:tä ja TEO:a (1.1.2009 lukien Valvira) salaamalla niiltä kyseisen tietovuodon.

VRK, VSSHP ja TEO olivat menettelyn johdosta erehtyneet pitämään Fujitsu Finland Oy:tä luotettavana sopimuskumppanina, joka noudattaa solmimiaan sopimuksia. Erehdyksen seurauksena VRK, VSSHP ja TEO joutuivat maksamaan tietoturvallisuudeltaan puutteellisista järjestelmistä täyttä hintaa eivätkä ne voineet vaatia korjaavia toimenpiteitä eivätkä esittää sopimusrikkomuksiin perustuvia sopimussakko-, hinnanalennus- tai vahingonkorvausvaatimuksia Fujitsu Finland Oy:tä kohtaan.

Helsingin käräjäoikeus katsoi, että Fujitsu Finland Oy:n entinen toimitusjohtaja oli menettelyllään aiheuttanut asianomistajille vahinkoa sekä taloudellisen vahingon vaaran.

Yhteen Fujitsu Finland Oy:n työntekijään kohdistetun törkeää kiristyksen yritystä koskevan syytteen osalta Helsingin käräjäoikeus katsoi, ettei kyseisen työntekijän menettely ole toteuttanut kiristysrikoksen tunnusmerkistöä ja syyte oli tällä perusteella hänen osaltaan hylättävä. Lähde: (Helsingin käräjäoikeuden lehdistötiedote 31.10.2013, kauppalehti 31.10.2013)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön