Alkuvuodesta 2018 espoolaiselle vanhainkodille tarjottiin uudenlaista palvelua. Kovan kasvun tulevaisuuden työkalua.

Tietoturvallinen end-to-end-kryptattu kommunikaatioalusta, esittelymateriaaleissa luki, vaikka ei se vanhainkodin johtajalle mitään tarkoittanut.

Suomeksi: kätevä pikaviestipalvelu, jolla saisi kaikki työntekijät yhdellä kertaa kiinni. Vähän kuin Whatsapp tai Slack, mutta jossa voisi jakaa potilastietoja turvallisesti. Monimutkainen salaus takaisi, ettei kukaan ulkopuolinen pääsisi niihin käsiksi.

Vanhainkodin johtaja innostui. Mukava myyjäpoika, hyvänkuuloinen tuote. Vain 105 euroa kuukaudessa.

Päivävuorolaisten ei tarvitsisi miettiä, kuka oli tulossa iltaan. Kaikilla olisi sama tieto heti. Haavojen paranemista saattaisi seurata kuvin.

Mikä tärkeintä: ei tarvitsisi pelätä salassa pidettävien tietojen leviämistä.

Foilchatista kirjoitettiin lehdissäkin.

Yritys oli perustettu nelisen vuotta aiemmin, marraskuussa 2013, mutta nyt se oli valmis markkinoille.

Business Finland oli lainannut 300 000 euroa, yksityiset sijoittaneet kaksi miljoonaa. Työntekijöitä oli jo kymmenen.

Foilchat osui hyvään saumaan. Kovin startup-huuma oli hiljennyt, mutta tietoturvakysymykset olivat jatkuvasti ajankohtaisempia.

Suomalaisilla kasvuyrityksillä meni muutenkin hyvin: ne olivat keränneet vuoden 2018 ensimmäisen puolen vuoden aikana enemmän rahoitusta kuin koko edellisvuonna yhteensä.

Nekin, jotka eivät olleet kiinnostuneet teknologiasta, olivat käyttäneet yhteisöpalveluja sen verran kauan, että pikkuhiljaa oli herännyt kysymyksiä.

Minne vuosikymmenen aikana lähetetyt viestit päätyivät? Kuka niitä pystyi lukemaan ja minne niistä kerättyä dataa myytiin? Mitä tarkoitti, että Facebook omisti Whatsappin ja Instagramin?

Turvallisuuspalvelu FSB oli ottanut Venäjän suosituimman sosiaalisen median palvelun Vkontakten hallintaansa jo vuonna 2014.

Sitten selvisi, että Donald Trump oli hyödyntänyt Facebookin käyttäjätietoja presidentinvaalikampanjassaan.

EU:n alueella oli tulossa voimaan tietosuoja-asetus, GDPR, joka edellytti yrityksiä kertomaan, minne käyttäjien tietoja luovutetaan.

Kyberistä, hybrdistä ja tietoturvasta tuli samanlaisia toisteltavia iskusanoja kuin virtuaalitodellisuudesta, lisätystä todellisuudesta ja lohkoketjuista.

”Päätimme alkaa tehdä sillä oikeaa bisnestä”, Foilchatin perustaja Eero Vainionpää sanoi Kauppalehdelle.

Foilchatin hallitukseen oli saatu vakuuttavia nimiä. Pitkän linjan startup-mies Taneli Tikka oli sijoittanut yhtiöön kuultuaan siitä verkostoiltaan. Niin suuressa maailmassakin toimitaan: tarvitaan luotettava nimi esittelemään idea ja tiimi. Perustajien täytyy olla ”innostuneita ja hyviä tyyppejä”. Tuntemattomien aloittelijoiden ei auta lähetellä sähköpostitarjouksia, että luepa tästä, enkelisijoittaja.

Toinen tunnettu hallituksen jäsen oli Jarno Limnéll. Hän työskentelee oman yrityksensä lisäksi kyberturvallisuuden työelämäprofessorina Aalto-yliopistossa. Hänellä on saman alan dosentuuri Tampereen yliopistossa.

Tikan ja Limnéllin naamat komeilivat Foilchatin myyntimateriaalissa.

”’Whatsappin tulevaisuus on epäselvä.’ Niin on. Onneksi on suomalainen vaihtoehto, jota olen itsekin ollut edistämässä. Vahvasti suositan tutustumaan Foilchat-pikaviestijärjestelmään”, Limnéll tviittasi huhtikuussa 2018.

Nyttemmin hän on poistanut viestin.

Juuri kun EU:n tietosuoja-asetus oli tulossa voimaan keväällä 2018, huipputurvallisesta palvelusta löytyi aukko.

Foilchatiä päätettiin kehittää yrityksille.

Yksityishenkilötkin saattoivat ladata sen – sellaisia käyttäjiä oli yhtiön oman ilmoituksen mukaan noin 10 000 – mutta varsinaiset markkinat olivat muualla.

Pankit, terveydenhuolto ja esimerkiksi lakiasiaintoimistot tarvitsevat salattua viestintää arkaluontoisen tiedon vaihtamiseksi ja säilyttämiseksi.

Yhtiö kävi esittelemässä tuotettaan kaupungeille ja puolueille. Nettisivuille alkoi ilmestyä referenssejä: espoolaisen vanhainkodin tapaisia pikkufirmoja, mutta myös yksi kansainvälinen suuryritys, brittiläinen Barclays-pankki.

Sitten, juuri kun EU:n tietosuoja-asetus oli keväällä 2018 tulossa voimaan, huipputurvallisesta palvelusta löytyi aukko. Rekisteröityneistä käyttäjistä pystyi koostamaan nimi- ja sähköpostirekisterin. Se on EU-asetuksen ja Suomen henkilötietolain vastaista.

Foilchat ei ollut teettänyt tietoturva-auditointia, ulkopuolista testausta, jolla aukkoja selvitetään. Haavoittuvuus oli käyttäjän löytämä.

Yritys pahoitteli, vahinkohan se oli. Korjataan.

Myyntityö jatkui.

Espoon kaupunki otti sovelluksen käyttöön syyskuussa 2018. Foilchatin omille sivuille lisättiin asiakkaaksi koko varhaiskasvatusyksikkö. Kyse oli maksuttomasta kokeilusta kolmessa päiväkodissa.

Sellainen on tavallista. Aloittelevien yritysten referensseihin listataan ilmaiskokeilijat, koska maksavia asiakkaita ei ole tai niitä on hyvin vähän.

Tikan ja Limnéllin kuvia käytettiin edelleen tarjousmateriaaleissa, vaikka molemmat olivat jo jättäneet hallituksen. Tikka lähti alkuvuodesta 2018, Limnéll saman vuoden lokakuussa.

Myös operatiivinen johtaja, kokoomusnuorista tuttu Saul Schubak, oli irtisanoutunut alkuvuonna. Vähemmistöosakas Henri Heikkinen ei ole ollut yhtiön kanssa tekemisissä enää pitkään aikaan.

Tikka kertoo lähteneensä, kun hänet valittiin valtion kehitysyhtiö Vaken toimitusjohtajaksi. Schubak ei ”halua avata syitä”, Limnéll ei edes vastaa haastattelupyyntöön.

”Ulkoapäin toimintaa seuraavana jäi kuva, että yrityksessä olisi ollut loppuvaiheessa itse asiassa aika hyvä tilanne”, Tikka sanoo.

”Asiakaskunta ja kiinnostus tuotteeseen kasvoi. Sikäli näytti olevan menossa ihan hyvään suuntaan.”

Foilchatin lähdekoodi antaa viitteitä siitä, ettei sovellus olisi ollut niin turvallinen kuin sen tekijät väittivät.

Toukokuun 2019 lopussa yhtiö katosi.

Espoolaiseen vanhainkotiin ei tullut laskuja enää tammikuun jälkeen, mutta johtaja oli ajatellut, että ehkä laskutusväli on muuttunut.

Sitten hän sai puhelun ystävältään, joka oli huomannut, ettei yhtiöllä ole enää hallitusta. ”Niin että tiedät”, ystävä oli sanonut, ”kun teidän nimi on siellä nettisivuillakin.”

Johtaja yritti soitella yritykseen. Olla yhteydessä Foilchatin kautta. Kukaan ei vastannut.

Vastuuhenkilöiksi kaupparekisteriin jätettiin vain ulkopuoliset kirjanpitäjät.

Espoossakin ihmeteltiin. Yritettiin saada edustajia kiinni. Ei vastausta.

Kaikki aiemmat työntekijät ja omistajat irtisanoutuivat koko yhtiöstä. Perustaja Eero Vainionpää ilmoitti Twitterissä, ettei ole ollut tekemissä yrityksen kanssa huhtikuun jälkeen.

Asiakkaat jäivät levittelemään käsiään. Foilchatin entiset myyjät ilmestyivät myymään uusia tuotteita. Kukaan ei kertonut, mitä salaisille viesteille nyt tapahtuu.

Vaikka yhtiön asiakkaat olivat pieniä, ongelma on sama kuin kaikkien startupien kanssa.

Erityisesti alkuvaiheen toiminta perustuu pitkälti sijoittajien, työntekijöiden ja asiakkaiden luottamukseen. Ostajan täytyy päättää, uskooko, mitä mainosmateriaaleissa väitetään.

Siksi vakuuttavat kasvokuvat alan asiantuntijoista ovat tärkeitä. Muitakaan todisteita ei ole.

Ennen asiakkaita hankitaan rahoitusta. Sitä saa verkostoilla, hyvällä tiimillä ja vakuuttavalla idealla. Sijoittajat eivät voi arvioida liiketoimintaa, sillä sellaista ei ole.

Varsinaista tuotetta ryhdytään kehittelemään yleensä enkelirahalla. Markkinoille pusketaan niin sanottu minimum viable product, riisuttu ensiversio, jota kehitetään lennossa.

Pahimmasta Slush-positiivisuuden kierteestä on jo päästy, eikä julkisuudessa enää väitetä, että kaikki uudet yritykset kasvavat Supercelleiksi.

Alan kulttuuri varjelee mantramaista hokemaa siitä, miten epäonnistuminen on vähintään yhtä tärkeää kuin onnistuminen. Sitä pidetään jopa jonkinlaisena yrittäjäksi kasvamisen edellytyksenä.

Epäonnistuminen kun on todennäköistä. Nyrkkisäännön mukaan vain viidesosa startupeista on viiden vuoden päästä perustamisestaan ylipäänsä olemassa.

Tietoturvan kohdalla kantapään kautta oppimiseen ei olisi varaa.

”Kyllä tuote oli pidemmällä lähtöni kuin tuloni aikaan”, eniten operatiivinen johtaja Saul Schubak sanoo.

”Paljon oli tehty lisää.”

Suomen Kuvalehti on tutkinut superturvallisen viestimen lähdekoodia. Koodi antaa vihjeitä siitä, ettei Foilchat olisi ollut niin turvallinen kuin väitti olevansa. Toisaalta asian todistaminen vaatisi myös taustajärjestelmien koodin tarkastelua.

Tietosuojavaltuutetulle on tehty toistaiseksi kaksi ilmoitusta Foilchatista.

Yrityksen entiset työntekijät ja hallituksessa istuneet kieltävät tietävänsä, mitä loppuvaiheessa tapahtui. Suurin osa kertoo lähteneensä ennen katoamistemppua, loput eivät halua kommentoida.

Perustaja Eero Vainionpää ”ei anna puhelinhaastatteluita”, mutta suostuu vastaamaan sähköpostitse.

Mikä Foilchatin tilanne on?

”Palvelu on alhaalla, Linkedinin tietojen mukaan yhtiön työntekijät ovat siirtyneet muihin yhtiöihin ja kaupparekisteritietojen mukaan yhtiöllä ei ole hallitusta”, Vainionpää kirjoittaa.

Olet perustaja ja enemmistöomistaja, mutta olet ilmoittanut Twitterissä, ettet ole ollut yrityksen palveluksessa huhtikuun alun jälkeen. Kuka on vastuuhenkilö tällä hetkellä?

”Kun yhtiöllä ei ole hallitusta, ei yrityksellä ole myöskään edustajaa.”

Miksi yrityksen vastuuhenkilöt on poistettu kaupparekisteristä?

”Yhtiön vastuuhenkilöt erosivat osakkeenomistajien erimielisyyksistä johtuen, tästä syystä ero on ilmoitettu kaupparekisteriin. Hallitus erotessaan kutsui kuitenkin osakeyhtiölain edellyttämällä tavalla koolle ylimääräisen yhtiökokouksen valitsemaan uutta hallitusta. Tämä yhtiökokous ei puolestaan saanut uutta hallitusta valittua.”

Miksi asiakkaille ei ilmoitettu toiminnan loppumisesta?

”Hallitus edustaa yhtiötä. Kun yhtiöllä ei ole hallitusta, ei yrityksellä ole myöskään edustajaa joka tällaisen ilmoituksen olisi voinut tehdä. Ei yhtiön palveluksesta eronnut ex-hallituksen jäsen voi lähteä tällaista ilmoitusta tekemään omatoimisesti. Hallituksen erotessa tarkoitus oli, että ylimääräinen yhtiökokous valitsee uuden hallituksen, joka voi sitten tehdä päätöksiä tarpeellisista toimenpiteistä.”

Monet asiakkaat ovat olleet teihin yhteydessä, miksi heille ei vastata?

”Olen vastannut minulle henkilökohtaisesti tulleisiin yhteydenottoihin, jotka ovat tulleet sähköpostiosoitteista tai puhelinnumeroista, joiden omistajatiedot ovat julkisia. En osaa kommentoida muiden yhtiön aiempien työntekijöiden puolesta yhteydenottoihin vastaamisasiaa.”

Missä asiakkaiden viestit tällä hetkellä sijaitsevat?

”Googlen sopimusehtojen kohdan 6.2 mukaisesti palvelun päättyessä Google tuhoaa kaiken asiakasdatan sisältäen kopiot niin pian kuin on Googlelle käytännöllistä mutta kuitenkin aikaisintaan 30 ja viimeistään 180 päivän kuluessa. Eli toisin sanoen Google lienee joko jo tuhonnut kaiken asiakasdatan tai se on jonossa odottamassa tuhoamista.”