Vastaamo Oy:n tietomurtotapauksessa ilmeisesti kymmenien tuhansien ihmisten potilastietoja on varastettu. Rikolliset voivat hyödyntää tietoja ainakin kiristämiseen, identiteettivarkauksiin, maksuvälinepetoksiin, rekisterien väärentämiseen ym. Potilastietojen päätyminen vääriin käsiin aiheuttaa uhreille kärsimystä ja ongelma on erittäin vakava. Ilmaisu ”digitaalinen suuronnettomuus” kuvaa tilannetta hyvin. Monet tahot saattavat olla tiedoista kiinnostuneita ja poliitikkojen ja virkamiesten psykologisen profiilinen haltuun saaminen on kuin lottovoitto ulkomaisille tiedustelupalveluille, jotka pyrkivät vaikuttamaan suomalaisten päätöksentekoon hybridivaikuttamisen keinoin.

Tapaus on tuonut laajempaan tietoisuuteen lukuisia heikkoja kohtia verkossa tapahtuvan palveluasioinnin käytäntöjen suhteen. Muun muassa monia viranomaisille tehtäviä ilmoituksia voi tehdä pelkkää henkilötunnusta ja osoitetietoja käyttäen, ilman vahvaa tunnistatumista. Näitä heikkouksia on alettava ripeästi korjata ja mm. alettava vaatia vahvaa kaksivaiheista tunnistautumista vähintäänkin kaikkiin niihin palveluihin, joissa käsitellään ihmisten henkilötietoja.

Suomen kyberturvallisuusstrategian ajatus on, että keskitetyn ratkaisun sijaan vastuu kyberturvallisuuden toteutuksesta ja ongelmatilanteiden hallinnasta on kulloisenkin hallinnonalan ministeriöllä. Strategia päivitettiin vuonna 2019 jolloin todettiin, että johtamista ja sen koordinointia pitää parantaa. Perustettiin kyberturvallisuusjohtajan virka liikenne- ja viestintäministeriöön, mutta tälle ei annettu toimivaltaa johtaa.

Jos jossain esimerkiksi syttyisi suuri tulipalo, joka vaarantaisi kymmenien tuhansien ihmisten terveyden, on kaikille selvää, että Sisäministeriön pelastusosasto tiedottaa, johtaa ja koordinoi pelastustoimia sekä tarvittaessa käskee eri palokuntia ja pelastajia töihin. Vastaamo-vuodon kaltaisessa verkkorikoksessa, jossa uhrien määrä on myöskin kymmeniä tuhansia, selkeää vastuutahoa ei ole. Tai itse asiassa, kyberstrategiamme mukaan tilanteen hallinnasta vastaisi ilmeisesti Sosiaali- ja Terveysministeriö. Ilman sarvia ja hampaita, on pakko kysyä, onko edes mahdollista, että kyseisellä ministeriöllä olisi kyky tämänkaltaisen tilanteen hallintaan?

Pääministeri Sanna Marinin ajatus kyberministeristä on ainakin oikean suuntainen. Vähintään on oltava yksi nimetty taho, jolla on selkeä valta ja vastuu kyberturvallisuuden ohjaamisessa ja ongelmatilanteiden hallinnassa. Viimeistään nyt olisi kyberturvallisuuden johtamisen kokonaisuus syytä uusia, ettei tilanne, jossa Valtioneuvosto joutuu irroittautumaan yhdestä kriisistä yrittäessään reagoida toiseen, sen noustua julkisuuteen, pääse toistumaan.