Tapaus VRK - SecMeter

Fujitsun tietovuoto

Vuonna 2013 Fujitsu Finland Oy:n toimitusjohtajana toiminut Yrjänä Ahto tuomittiin ehdolliseen vankeusrangaistukseen kahdesta törkeästä petoksesta liittyen valtionhallinnon tietoturvaa vaarantaneeseen tietovuotoon. Fujitsu oli vuonna 2004 tekemänsä yrityskaupan yhteydessä luovuttanut salassa pidettäviä tietoja Väestörekisterikeskuksesta ja Valvirasta CBOSS Oy:lle.

Vuonna 2004 Fujitsu Finland Oy:n työntekijä siirsi esimiehensä käskystä sähköisesti Fujitsun On-Line Billing Solutions (OBS) -liiketoimintayksikön.tietoja CBOSS Oy:lle liittyen yhtiön liiketoimintakauppaan. Siirron mukana venäläiselle CBOSS Oy:lle päätyi myös kansio, joka sisälsi Väestörekisterikeskuksen (VRK) ja Valviran varmennepalveluihin liittyviä salassa pidettäviä tietoja.

Käyttöoikeudet ulkopuolisille

Myöhemmin Fujitsun työntekijä antoi ostajan työntekijöille käyttöoikeudet kyseiseen kansioon. Fujitsu poisti oikeudet vasta noin neljä kuukautta myöhemmin tilanteen tultua ilmi.

VRK ei pyynnöistään huolimatta saanut palveluntarjoajalta luotettavaa selvitystä tietovuodosta, minkä seurauksena se teki poliisille tutkintapyynnön. VRK:n ylijohtaja kertoi YLE:lle, että tutkinnassa selvitettiin, oliko tietoja päädytty käyttämään hyväksi.

Rikostutkinta ja epäily maanpetoksesta

Keskusrikospoliisi käynnisti rikostutkinnan vuonna 2009, ja tapaus johti lopulta epäilyyn turvallisuussalaisuuden paljastamisesta (maanpetosrikos) sekä kahdesta petoksesta. Tutkintaan osallistui myös supo.

Kyse oli sähköisten henkilökorttien varmennepalveluista, joiden tietoturvalla on keskeinen rooli julkishallinnon sähköisessä asioinnissa. Tietovuodon epäiltiin tapahtuneen toukokuussa 2004, ja petosepäilyt ajoittuvat vuosille 2004–2009.

CBOSS Oy:n rooli

CBOSS Oy, venäläisomisteinen yhtiö, osti helmikuussa 2004 Fujitsun On-Line Billing Solutions (OBS) -liiketoimintayksikön. Kaupan yhteydessä noin 70 työntekijää siirtyi uuteen yhtiöön, samoin rtBilling-tuote, asiakkuudet ja tekijänoikeudet.

Turvallisuussalaisuuden katsottiin paljastuneen vain kaksi kuukautta kaupan jälkeen. CBOSS Groupin mukaan yhtiö toimii riippumattomana eikä ole oligarkkien määräysvallassa. CBOSS Oy:n johto koostui venäläisistä ja valkovenäläisistä henkilöistä, ja yhtiö toimi CBOSS Groupin Euroopan pääkonttorina.

Esitutkinta valmistui

Keskusrikospoliisi lähetti jutun syyteharkintaan viikolla 40. Rikosnimikkeet olivat turvallisuussalaisuuden paljastaminen (maanpetosrikos) ja kaksi törkeätä petosta. Poliisi epäili rikoksista useita henkilöitä, jotka työskentelivät Väestörekisterikeskukselle tietoturvapalveluita tuottavassa Fujitsu Services Oy:ssä. Yhden epäillystä oletettiin työskennelleen CBOSS Oy:n johdossa sekä Fujitsu Services Oy:n palveluksessa.

Lähteet: (digitoday.fi 6.5.2006, Ilta-Sanomat 1.9.2010, hs.fi 1.9.2010, YLE.fi 1.9.2010, 4.10.2010, fujitsu.fi 1.9.2010, cboss.fi 1.9.2011, MTV3-uutIslähetys klo 22.00 1.9.2010, rusfintrade.ru uutiset, iltasanomat.fi 5.10.2010)

Syyteharkinta valmistui

Jutun syyteharkinta koski turvallisuussalaisuuden paljastamista, tuottamuksellista turvallisuussalaisuuden paljastamista ja kahta törkeätä petosta. Turvallisuussalaisuuden paljastamisen osalta syyttäjä teki asiassa syyttämättäjättämispäätöksen ”ei näyttöä” perusteella. Syyttäjän mukaan teko ei ollut tahallinen eikä esitetty näyttöä, että tietoja olisi käytetty hyväksi.

Fujitsun toimitusjohtaja ja viisi työntekijää saivat syytteen törkeästä petoksesta

Kihlakunnansyyttäjä päätti syyttää Fujitsu Finlandin toimitusjohtajaa ja viittä työntekijää kahdesta törkeästä petoksesta. Petokset liittyivät Fujitsun On-Line Billing Solutions liiketoimintayksikön kauppojen yhteydessä syntyneeseen tietovuotoon, jossa ulkopuoliselle paljastui Väestörekisterikeskuksen ja Valviran varmennepalveluja koskevia salassapidettäviä tietoja.

Syyttäjän mukaan Fujitsun toimitusjohtaja ja yhtiön eri tehtävissä toimineet viisi muuta työntekijää yrittivät salata tietovuodon Väestörekisterikeskukselta ja Valviralta. Tekoaika oli vuosina 2004–2009.

Tietovuodon paljastaja sai syytteen törkeästä kiristyksen yrityksestä

Oikeuden eteen joutui myös Fujitsun entinen työntekijä, jonka epäiltiin kiristäneen yhtiön johtoa. Fujitsun tietovuoto paljastui kesäkuussa 2009 erään henkilön kerrottua tapahtumasta viranomaisille. Hän oli Fujitsun entinen työntekijä.

Fujitsu oli irtisanonut kyseisen henkilön 14.10.2008 kuuden kuukauden irtisanomisajalla. Hänen epäiltiin uhanneen tietovuodon paljastamisella, ellei hänelle makseta muiden korvausten lisäksi 78 000 euron ylityökorvausta.

Kaikki syytetyt kiistivät syytteet. Fujitsun toimitusjohtaja ja viisi työntekijää katsovat, ettei heidän velvollisuutena ollut ilmoittaa tietovuodosta Väestörekisterikeskukselle tai Valviralle, koska varmennepalvelujen tietoturva ei käytännössä vaarantunut. Tietovuodon paljastanut henkilö katsoi, että tietovuoto ei liittynyt millään tavoin hänen ylityökorvauksiinsa. Lähteet: (hs.fi 7.12.2011, mtv3 7.12.2011, Digitoday 7.12.2011, uusisuomi.fi 7.12.2011, aamulehti.fi 7.12.2011)

Jutun käsittely alkoi Helsingin käräjäoikeudessa

Jutun pääkäsittely alkoi Helsingin käräjäoikeudessa. Valmistelevassa istunnossa käsiteltiin myös varsinaisen oikeudenkäynnin julkisuutta ja salaamisen astetta. Syyttäjä vaati kaikille syytetyille vankeusrangaistusta. Syyttäjä katsoi Fujitsun salanneen Väestörekisterikeskukselta ja Valviralta näihin kohdistuneen vakavan tietovuodon. Jutun käsittely jatkui Helsingin käräjäoikeudessa juhannukseen saakka. Tuomiot jutussa käräjäoikeus antoi alkusyksystä 2013. Lähteet: (yle.fi 28.2.2013, 4.4.2013, talouselama.fi 4.4.2013)

Helsingin käräjäoikeus antoi tuomionsa

Helsingin käräjäoikeus antoi torstaina 31.10.2013 osaksi salassa pidettäväksi määrätyn tuomion. Käräjäoikeus tuomitsi vuonna 2013 Fujitsu Finland Oy:ntoimitusjohtajana toimineen Yrjänä Ahton yhden vuoden ehdolliseen vankeusrangaistukseen kahdesta törkeästä petoksesta. Petokset olivat tapahtuneet 20.9.2004 - 2.6.2009 välisenä aikana.

Käräjäoikeus määräsi vastaajan suorittamaan kahdelle asianomistajalle VRK:lle ja Valviralle vahingonkorvausta sekä korvaamaan asianomistajien oikeudenkäyntikulut asiassa. Asianomistajat velvoitettiin kuitenkin yhteisvastuullisesti korvaamaan Fujitsu Finland Oy:n oikeudenkäyntikulut.

Käräjäoikeus hylkäsi kahdesta törkeästä petoksesta vastaajina olleiden viiden Fujitsu Finland Oy:n työntekijän syytteet ja hylkäsi heitä vastaan esitetyt korvausvaatimukset. Yhden edellä mainitun työntekijän syyte törkeän kiristyksen yrityksestä hylättiin. Valtio velvoitettiin korvaamaan heidän oikeudenkäyntikulunsa.

Keväällä 2004 Fujitsu Finland Oy oli kopioinut ja siirtänyt sähköisesti CBOSS Oy:n käytössä olleelle palvelimelle liiketoiminnan luovutukseen liittyviä tiedostoja. Kopioinnin yhteydessä tapahtuneen virheen seurauksena CBOSS Oy:n palvelimelle oli kopioitunut yrityskauppaan kuulumaton Sanoma -niminen tiedostokansio, joka oli tiedostokooltaan noin 12 gigatavua ja sisältänyt suuren määrän pääosin luottamuksellista VRK:n ja VSSHP:n (Varsinais-Suomen sairaanhoitopiirin kuntayhtymä) varmennepalveluita koskevaa teknistä tietoa.

Tiedot olivat CBOSS Oy:n palvelimella noin neljän kuukauden ajan syyskuun 2004 puoliväliin saakka, jolloin asia tuli Fujitsu Finland Oy:ssä ilmi. Ilmitulon yhteydessä CBOSS Oy:n työntekijöiden käyttöoikeudet Sanoma-kansioon poistettiin.

Helsingin käräjäoikeus katsoi, että Sanoma-kansion kopioituminen oli vaarantanut varmennejärjestelmien tietoturvallisuutta. Kyseessä oli niin vakava tietoturvapoikkeama, josta Fujitsu Finland Oy:lle syntyi velvollisuus informoida VRK:ta, VSSHP:tä ja TEO:a/Valviraa. Fujitsu Finland Oy:n silloinen toimitusjohtaja oli kuitenkin 20.9.2004 tehnyt päätöksen, ettei asiasta informoida asiakkaita.

Helsingin käräjäoikeuden mukaan Fujitsu Finland Oy:n silloinen toimitusjohtaja oli näin menettelemällä tahallaan ja tavoitellakseen yhtiölle oikeudetonta taloudellista hyötyä erehdyttänyt VRK:ta, VSSHP:tä ja TEO:a (1.1.2009 lukien Valvira) salaamalla niiltä kyseisen tietovuodon.

VRK, VSSHP ja TEO olivat menettelyn johdosta erehtyneet pitämään Fujitsu Finland Oy:tä luotettavana sopimuskumppanina, joka noudattaa solmimiaan sopimuksia. Erehdyksen seurauksena VRK, VSSHP ja TEO joutuivat maksamaan tietoturvallisuudeltaan puutteellisista järjestelmistä täyttä hintaa eivätkä ne voineet vaatia korjaavia toimenpiteitä eivätkä esittää sopimusrikkomuksiin perustuvia sopimussakko-, hinnanalennus- tai vahingonkorvausvaatimuksia Fujitsu Finland Oy:tä kohtaan.

Helsingin käräjäoikeus katsoi, että Fujitsu Finland Oy:n entinen toimitusjohtaja oli menettelyllään aiheuttanut asianomistajille vahinkoa sekä taloudellisen vahingon vaaran.

Yhteen Fujitsu Finland Oy:n työntekijään kohdistetun törkeää kiristyksen yritystä koskevan syytteen osalta Helsingin käräjäoikeus katsoi, ettei kyseisen työntekijän menettely ole toteuttanut kiristysrikoksen tunnusmerkistöä ja syyte oli tällä perusteella hänen osaltaan hylättävä. Lähde: (Helsingin käräjäoikeuden lehdistötiedote 31.10.2013, kauppalehti 31.10.2013)

Venäläinen CBOSS ulos Mobile World Congressista

Venäläinen CBOSS (Cellular Business Operation Support System) valmistaa ohjelmistoja teleoperaattoreiden laskutukseen, asiakashallintaan ja verkonhallintaan. Yritys osallistui useita vuosia Mobile World Congress -messuille Barcelonassa, joissa sen osasto tunnettiin värikkäästä show’staan.

Mobile World Congressin järjestäjä GSMA irtisanoi CBOSSin sopimuksen ja kielsi sen osallistumisen vuoden 2013 tapahtumaan. Päätös liittyi MWC 2012 -tapahtumassa toteutettuun markkinointikampanjaan, jonka perusidea oli: "osallistu tutkimukseen ja voita romanttinen illallinen tytön kanssa".

Brittiläinen The Telegraph lainasi GSMA:n edustajaa seuraavasti: "MWC 2012:n aikana tapahtui useita tapahtumia, jotka pakottivat meidät tarkastelemaan CBOSS:n kanssa tehtyä sopimusta uudelleen ja toimimaan tällä tavalla. Tämä on kuitenkin asia, joka koskee meitä kahta yritystämme, eikä se ole syy antaa julkista lausuntoa."

CBOSS-sopimuksen irtisanomisen syynä olivat epätavanomaiset markkinointitekniikat, joita yritys käytti houkutellakseen osallistujia viimeaikaiseen näyttelyyn, kuten unohtumaton tanssiesitys, joka ylittää kaikki aiemmat ja mahdollisuus osallistua suljetuille juhlille, joihin osallistuu " CBOSS -tähtiä " (tanssiesityksen tyttöjä), joita järjestetään myöhemmin henkilökohtaiseen haastatteluun illallisella yhden tähden kanssa. Yleensä CBOSS oli tarjonnut tyttöjä vain asiakkailleen.

CBOSSin markkinointimateriaaleissa sanottiin mm: ”CBOSSin kirkkaat tähdet, näyttämön salaperäiset ja kauniit kuningattaret, kuuntelevat mielellään ja kirjoittavat muistiin arvokkaimmat ajatuksesi televiestintäalan kehitystrendeistä romanttisen illallisen aikana.”

”Emme epäile hetkeäkään, että samppanja, musta kaviaari ja kaunis tyttö haastattelemassa sinua kahden kesken nostavat alitajunnan syvyyksistä ajatustesi oikeimmat muotoilut ja antavat sinun vuodattaa ne ulos rennossa keskustelussa.”

Yleisön ja kommentoijien mielipiteistä huolimatta viranomaiset tai tapahtuman järjestäjät eivät määritelleet CBOSSin seksuaalisesti latautunutta markkinointia paritukseksi, vaan katsoivat sen olleen epäsopivaa markkinointia ja tapahtuman sääntöjen rikkomista. GSMA:n eli tapahtuman järjestäjän näkökulmasta kyse oli tapahtuman sääntöjen ja sopimusehtojen rikkomisesta. Lähteet: (lightreading.com 6.3.2012, telecoms.com 6.3.2012, cnews.ru 9.3.2012).