https://tummennuskalvot.fi/

Vastaamon tietovuoto

Penguin

Grand Legend
Liittynyt
25.12.2013
Mielenkiintoinen, joskin monien mieliä varmasti myös syvästi järkyttävä on tämä Vastaamon tapaus. Mielenkiinnolla odotan asian tutkinnan etenemistä ja erityisesti mitä tästä seuraa sille tai niille, jotka ovat räikeästi laiminlyöneet näin arkaluontoisen aineiston tietoturvan.

Toivottavasti tämä tapaus avaisi päättäjiä siihen ongelmaa, joka yhteiskunnassamme on, että henkilön nimellä, osoitteella ja henkitunnuksella, joskus vain nimellä ja toisella noista kahdesta muusta saa kuka tahansa tehtyä sopimuksia henkilön nimissä. Tämä on oikeasti valtava epäkohta, mutta sille voisi myös tehdä lopun, jos näin haluttaisiin.

Miten levällään ovat järjestelmät, joiden kautta on saatu yksityiskohtaiset potilastiedotkin varastettua? Tiedän ainakin yhden henkilön, joka ei oman kertomansa mukaan ole Vastaamon palveluita itse käyttänyt, eikä vastaavia palveluita missään. Silti nämä kiristäjät ovat hänellekin osanneet lähettää kiristyskirjeen. Vai onko nyt käynyt niin, että joku toinenkin on liikenteessä ja näitä kiristyskirjeitä lähetellään vain satunnaisiin sähköpostiosoitteisiin, vaikka henkilön potilastietoja ei olekaan hallussa. En pitäisi tätäkään mahdottomana, koska usein käy niin, että yhden tekemää rikosta aletaan kopioimaan.

Jos korvausvelvollisuudet millään muotoa tulevat täyttymään oikeuskäytännön mukaan ja GDPR-sanktioita noudatetaan edes lähellekään siinä suuruudessa, jossa ne on lainsäädännössä säädetty, niin Vastaamo menee konkurssiin. Toivon, ettei tämän kuitenkaan anneta olla este sanktioiden ja korvausten määräämiselle ja vielä siten, että oikeasti vastuulliset henkilöt joutuvat tästä henkilökohtaisesti vastuuseen, eivätkä pääse luikertelemaan pois konkurssin avulla.
 
Vaikka en tästä Vastaamon tapauksesta muuta ymmärrä kuin sen, mitä lehdet kirjoittelevat, niin onhan se hyvä esimerkki siitä, miten maailmassa on aivan riittävästi kaikenlaista ketkua. Mikäli vain suinkin yhteiskunnan rattaista löytyy jokin aukko, jota voivat hyödyntää, niin kyllähän sitä näyttävät hyväksi käyttävän. Härskiä on meininki.

Tässä juuri eilen eräs tuttu otti Vastaamosta keskustellessa puheeksi pankkikortin. Oli siinä näkemyksessä, että nykyisin voi maksella korttia vilauttamalla kaupan kassalla alle viidenkympin ostoksia vaikka miten monta kertaa ilman kortin PIN-koodin tietämistä. Vai onko kortissa sittenkin jokin ominaisuus, jossa maksukerrat ilman PIN-koodia on rajoitettu?
Joka tapauksessa, kannattaa pitää korteistaan visusti huolta eikä hukata niitä.

Vastaamon tapauksessa ei asiasta kärsimään joutuvilla tainnut olla mitään keinoja, jolla omalla toiminnallaan olisi moisen voinut välttää? Vaan mitähän kaikkea muuta tässä vielä meillä mahtaakaan olla edessämme, jos/kun tietojamme alkaa netistä -sieltä täältä - vuotaa? Pitäisiköhän tässä panna kännykät ja läppärit hyllylle pölyyntymään. Siirtyä takaisin maaseudun rauhaan, panna pottua peltoon ja umpinainen aitaus tontin ympärille. Elellä siellä niin pitkään kuin henki pihisee. :rolleyes:
 
Itse It-alalle työtä teen, niin jännä miten media ei yhtään tuo esille sitä kuinka huonosti Vastaamon säilyttämät tiedot on suojattu, että tuollainen tietomurto on edes mahdollista. Miten Vastaamo hyvittää tuon tietomurron asiakkailleen, joiden tiedot ja potilaskertomukset on vuotanut nettiin?

Odotan kyllä, että Vastaamolle tästä tulisi jotain sanktioita ja seuraamuksia. Vastaamo ei ole minun mielestä tässä tapauksessa uhri, vaan ne asiakkaat ovat, joiden tiedot on vuodettu nettiin. Itse näen, että Vastaamo on tässä osasyyllinen rikokseen, joka on mahdollistanut sen, että tiedot on pystytty varastamaan. Liian heikko tietoturva.
 
Vaari sanoi:
Pitäisiköhän tässä panna kännykät ja läppärit hyllylle pölyyntymään. Siirtyä takaisin maaseudun rauhaan, panna pottua peltoon ja umpinainen aitaus tontin ympärille. Elellä siellä niin pitkään kuin henki pihisee.

Teepä se. Ehdottomasti kannatettava ajatus.  ;)
 
Vaari sanoi:
Vai onko kortissa sittenkin jokin ominaisuus, jossa maksukerrat ilman PIN-koodia on rajoitettu?
On. Ei voi määrättömästi maksella pieniä ostoksia etenkään lyhyellä aikavälillä. Juuri edellä mainitusta syystä, että jos kortti katoaa.

En ole tähän Vastaamon caseen perehtynyt kuin pintapuolisesti, mutta toivoisin tästä tulevan ennakkotapauksen ihan siinäkin mielessä, että julkiset toimijat kiinnittäisi jatkossa kunnolla huomiota, että yksityisillä palveluntarjoajilla joiden kanssa ollaan yhteistyössä on tämän kaltaiset asiat kunnossa.

Raju juttu kyllä ja kiristys tai sen pelko voi johtaa yksilötasolla hyvin rajuihin seurauksiin  :-\
 
Insomnia sanoi:
On. Ei voi määrättömästi maksella pieniä ostoksia etenkään lyhyellä aikavälillä. Juuri edellä mainitusta syystä, että jos kortti katoaa.
Tätä hieman arvelinkin. Pitääpä kertoa keskustelukumppanilleni, kun seuraavan kerran satumme nokakkain.
....
Onkohan näissä yritysten tietoturvaan liittyvissä asioissa olemassa jotain riittävän hyvin toimivaa lainsäädäntöä, jolla moiset "Vastaamo"-tapaukset vastaisuudessa estettäisiin? Eli onko vika laeissa vaiko toimijoissa? Nythän näkyy jo poliitikotkin huomanneen ongelman ja kerääntynevät pohtimaan pulmaa.
https://yle.fi/uutiset/3-11612258
 
En tiedä asiaa sen tarkemmin, mutta koen tuollaisen kiristyksen olevan analogialtaan hiukan huonoa liiketoimintaa. Koska kiristyksellä koetetaan estää saavutetun tiedon julkistamista, mikä estäisi kiristäjää kiristämästä uudelleen ensimmäisen maksun saavuttua? Tieto on kuitenkin olemassa kiristäjällä, höystettynä vielä tiedosta maksuhalukkuuteen. Sama koskee tätä isompaa tahoa kuin yksityisiäkin.


Tuohon ansainnan analogiaan vedoten pyydän, ettei kukaan tai mikään ikinä maksaisi tälläisissa kiristyksissä A) yhtään, B) mitään.
 
Vastaamon tahto varmaankin on ollut että tiedon saatavuus on mennyt turvallisuuden edelle. On siis haluttu mennä siten että käyttömukavuus on ollut tärkempi kuin sen turvallisuus.
Heillä ei selvästikään ole ollut mielessä ISO 27001 ja sen vaatimukset. Monissa yrityksissä etenkin niissä missä mennään kasvu edellä noita asioita ei haluta ottaa huomioon. Aiheuttavat vain johdon mielestä kuluja ja vaikeuksia käyttöön.
Tuolla on ollut käytössä sovelluksia joiden tuotetuki on päättynyt jo muutama vuosi sitten ja päivitykset palvelimiin oli jäänyt tekemättä vuosien ajan.
On siis todelllakin menty siitä missä aita on matalin. Nämä nyt vain pieninä huomiona. Olen itse ollut kaksi kertaa ISO 27001 projektissa mukana. Kerran kun se otettiin käyttöön ja kerran kun sen jatkoa haettiin.

Pahaa tekee tuon amatöörimäisyys. Ja Vastaamon tökeryys vastuun kannossa.
 
Vaari sanoi:
....
Onkohan näissä yritysten tietoturvaan liittyvissä asioissa olemassa jotain riittävän hyvin toimivaa lainsäädäntöä, jolla moiset "Vastaamo"-tapaukset vastaisuudessa estettäisiin? Eli onko vika laeissa vaiko toimijoissa? Nythän näkyy jo poliitikotkin huomanneen ongelman ja kerääntynevät pohtimaan pulmaa.
https://yle.fi/uutiset/3-11612258

Kyllä on, GDPR säädökset. Sakot tällaisesta vuodosta voi tosiaan olla huimat kuten Penguin tuossa alussa viittaa.
Nopeasti kuuklattuna: Sakkojen suuruus voi olla jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen vuotuisesta globaalista liikevaihdosta, riippuen kumpi on suurempi.

Käsittääkseni mitä tietoja on vuodettu vaikuttaa myös. Voisin kuvitella että tässä tapauksessa täyttyy ankarimmat kriteerit.

Joten kyllä tietovuotojen ehkäisyyn suhtaudutaan nykyään vakavasti ennakoiden yrityksissä. En ymmärrä mitä ihmettä Vastaamossa oikein on ajateltu.
 
Arcca sanoi:
Kyllä on, GDPR säädökset. Sakot tällaisesta vuodosta voi tosiaan olla huimat kuten Penguin tuossa alussa viittaa.
Onkohan tässä sitten muuta keinoa kuin tehostaa viranomaistaholta yritysten tietoturvan valvontaa? Tapahtuneestahan voinee tehdä sen johtopäätöksen, että  valvonta on ollut retuperällä?
 
Vaari sanoi:
Onkohan tässä sitten muuta keinoa kuin tehostaa viranomaistaholta yritysten tietoturvan valvontaa? Tapahtuneestahan voinee tehdä sen johtopäätöksen, että  valvonta on ollut retuperällä?

Yritykset ei oikeastaan ole/pitäisi olla ongelma, heillä on motivaatio kyllä kunnossa, koska todella pahat seuraamukset. Tietovuotohan tulee ilmi ja muistaakseni siitä pitää myös itsekin ilmoittaa.

Julkisella puolella en sitten tiedä ketä kiinnostaa sakot, ja mikä on esimerkiksi Valviran rooli.
 
Kenenköhän mielestä oli hyvä idea laittaa rekisteri niinkin houkuttelevaan domainiin kuin potilasrekisteri.vastaamo.fi. Tai ylipäänsä näkyville julkisesti internetiin, ei kai sille pitäisi olla mitään tarvetta?

Ja miksi ihmeessä tuo vastaa edelleen pingiin, miksei siitä ole ensimmäisenä hätätoimenpiteenä vedetty töpseliä irti?  ???
 
Itse toivoisin, että joku henkilökin joutuisi tästä raskaasti vastuuseen. Joku johtaja on kuitenkin tietoturvasta vastuussa ja jos mutkia on oiottu suunnitelmallisesti, niin seuraamuksia pitää tulla.

Kyse on kuitenkin erittäin arkaluontoisista henkilötiedoista.

Mutta elämme Suomessa, joten on varsin varmaa, että kukaan ei joudu vastuuseen. Firma saa vain sakot ja vastuuhenkilöt porskuttavat eteenpäin kuin ennenkin.
 
Vastaamon nettisivuilla oli ilmeisesti vielä muutama päivä sitten esitelty joku henkilö tietosuojavastaavan tittelillä. Nyt se titteli on kiireesti muutettu järjestelmäarkkitehdiksi. Ehkä he huomasivat ettei kukaan ollutkaan vastannut tietosuojasta?
 
Vaikeaa tietenkin on keksiä tällaisten tapahtumien estämiseksi idioottivarmoja ratkaisuja?

Nythän pääsi käymään niin, että housuun meni ja jäljellä on enää pyyhkiminen. Nähtävästi ei edes näköpiirissä olevat sanktiot eivät ole riittävä keino? Eletty on kuin siat vatukossa ja kaiken lisäksi silmät kiinni.
 
Onkohan selvinnyt onko tekijät ulkomailta? Jos näin, aika mahdottomuus saada niitä kiinni.
 
Tilauskeikka, konsulttiyhtiöt vuolee sertifikaateilla kultaa pari vuotta...
;)
 
Mika_M sanoi:
Kenenköhän mielestä oli hyvä idea laittaa rekisteri niinkin houkuttelevaan domainiin kuin potilasrekisteri.vastaamo.fi. Tai ylipäänsä näkyville julkisesti internetiin, ei kai sille pitäisi olla mitään tarvetta?
Tätä minäkin ihmettelen näin eräänlaisena it-asiantuntijana, että miksi tiedot ovat olleet julkisessa verkossa. Kyllähän tälläistä tietoa sisältävät palvelimet pitäisi olla saavutettavissa vain ja ainoastaan firman sisäisestä verkosta. Oiottu tässäkin.
 
Tässä, kuten muissakin asioissa usein, on se mitalin toinenkin puoli. Jospa tämä avaisi uuden aikakauden tietoturvallisemman tulevaisuuden puolesta. Toivottavasti kukaan ei maksa lunnaita ja tekijä jää kiinni. Ja ettei kenellekään uhrille aiheudu käytännön haittoja liikaa.
 
^Toivottavasti moni. Minua vituttaa joka kerta kun joku palvelu kysyy hetua. Tekisivät edes sellaisia systeemejä, että tunnistetaan käyttäjä kertaalleen riittävän vahvasti ja sen jälkeen pelataan generoidulla tunnisteella. Ei ole pakko tehdä asioista liian helppoja hyökkääjille. Anonyymi data on aika nuivaa kiristysmateriaalina.
 
repomies sanoi:
Tekisivät edes sellaisia systeemejä, että tunnistetaan käyttäjä kertaalleen riittävän vahvasti ja sen jälkeen pelataan generoidulla tunnisteella.

Olisiko aika kansalliselle tunnisteelle?
Vai hoitaako pankit sen paremmin?
 
Penguin sanoi:
Jos korvausvelvollisuudet millään muotoa tulevat täyttymään oikeuskäytännön mukaan ja GDPR-sanktioita noudatetaan edes lähellekään siinä suuruudessa, jossa ne on lainsäädännössä säädetty, niin Vastaamo menee konkurssiin.
No näinhän tässä tulee käymään, jo 2019 vajaan 13 miljoonan liikevaihdolla teki miltei 250.000 tappiota :-\

Vaari sanoi:
Tässä juuri eilen eräs tuttu otti Vastaamosta keskustellessa puheeksi pankkikortin. Oli siinä näkemyksessä, että nykyisin voi maksella korttia vilauttamalla kaupan kassalla alle viidenkympin ostoksia vaikka miten monta kertaa ilman kortin PIN-koodin tietämistä. Vai onko kortissa sittenkin jokin ominaisuus, jossa maksukerrat ilman PIN-koodia on rajoitettu?
Nythän Nordea toi LAKS-maksuvälineet, joilla voi esim. sormusta vilauttamalla maksella samalla tavalla näitä pienempiä maksuja. Tosin tuossa on erillinen "lompakko" johon se fyrkka pitää ensin laittaa, jotta niitä voi sitten LAKSailla ja näin se menetys on maksimissaan tuon lompakon suuruinen jos sormus joutuu vääriin käsiin. Tosin ihan samalla tavallahan sitä voi omalle pankkikortillensakin asetella noita päiväkohtaisia rajoja, jota enempää sieltä ei päivän aikana vilautella 8)

skiri sanoi:
Itse It-alalle työtä teen, niin jännä miten media ei yhtään tuo esille sitä kuinka huonosti Vastaamon säilyttämät tiedot on suojattu, että tuollainen tietomurto on edes mahdollista. Miten Vastaamo hyvittää tuon tietomurron asiakkailleen, joiden tiedot ja potilaskertomukset on vuotanut nettiin?
Aivan samaa itsekin tässä miettinyt, tuo tietoturvakaan kun ei nyt mitään ruudin keksimistä loppuen lopuksi tänä päivänä enää ole. Toki jonkun pitää asiaan perehtyä ja hoitaa se kuntoon, mutta mitä julkisuudessakn on ollut mm. oletussalasanoja yms. niin tuolla ei ilm. ole asiaan edes kiinnitetty mitään huomiota ja näin ollen tietojen arkaluontoisuuden huomioiden rangaistustenkin tulee mielestäni olla sieltä ankarimmasta päästä, pitää varmistaa ettei heistä kukaan enää pääse toimimaan ikinä vastaavien arkaluontoisten tietojen vastuuhenkilöinä :mad:

Toki jotain hyvääkin tässä voi olla että nyt myös muualla herätään asiaan ja laitetaan ne omat systeemit kondikseen muutakin kuin vain GDPR-paperilupauksilla 8)

makelja sanoi:
Vastaamon tahto varmaankin on ollut että tiedon saatavuus on mennyt turvallisuuden edelle. On siis haluttu mennä siten että käyttömukavuus on ollut tärkempi kuin sen turvallisuus.
Ihan se viho viimeinen ajatus henkilötietoja käsiteltäessä!!! Ja varsinkin vielä näinkin arkaluonteista tietoa kuin psykoterapiaa, niin miten ihmeessä järjestelmät voivat olla noin tietoturvattomia :mad:

Mika_M sanoi:
Ja miksi ihmeessä tuo vastaa edelleen pingiin, miksei siitä ole ensimmäisenä hätätoimenpiteenä vedetty töpseliä irti?  ???
No jo sekin miksi tuo ylipäätään edes pingiin vastaa, mitä ihmeen käyttöä kellään voi olla tuolla pingillä? Miksi ihmeessä sekin portti on jätetty julkiseen internettiin levälleen? ???

Insomnia sanoi:
Tätä minäkin ihmettelen näin eräänlaisena it-asiantuntijana, että miksi tiedot ovat olleet julkisessa verkossa. Kyllähän tälläistä tietoa sisältävät palvelimet pitäisi olla saavutettavissa vain ja ainoastaan firman sisäisestä verkosta. Oiottu tässäkin.
Toki heillä voi olla erilaisia rajapintatarpeita muillekin alan toimijoille, keskussairaaloille yms. Mutta toki tässäkin kohtaa se asianmukainen luvitus ja ihan perustason IP-avaruuden rajauksillakin saataisiin jo paljon aikaiseksi, sallittaisiin ne yhteydet vain tietyistä, tunnetuista osoitteista. Tässäkin kohtaa jo tuo yksistään olisi voinut sen murtautujan skanneribotin estää, laittaa sen pomppaamaan seuraavaan kohteeseensa kun tästä IP:stä ei kukaan sille vastannutkaan, mutta kun ei niin ei. Se on just tätä kun ei vaan välitetä, ei meillä täällä pienessä Suomessa mitään isoa pääse tapahtumaan, kukaan näihin yritä murtautua, ei ketään kiinnosta. Ne on ne möröt sitten vasta tuolla isossa maailmassa. Tässä vaan unehtuu että internet = just se "iso maailma" :mad:

Taky sanoi:
Olisiko aika kansalliselle tunnisteelle?
Vai hoitaako pankit sen paremmin?
Suomi.fi Löytyy niin pankkia, HST-korttia kuin mobiilitunnistettakin ja ulkkareillekin omat UID-tunnisteensa. Toimii kaikissa julkkari-puolen palveluissa, kirjaudut sisään vaikka OmaVeroon, niin viereisessä ikkunassa menet vaikka OmaTrafiin sillä samalla kirjautumisella, Traficom ei tällöin kysy tunnareitasi uudelleen. Helppoa ja kätevää - kunhan muistaa kirjautua lopuksi ulos ja mielellään tyhjentää myös selaimen välimuistin. Toki näppärintä näissä, ihan niin kuin pankkiasioinnissaankin, on käyttää selaimen incognito-modea, jolla se tyhjentää nuo selaintiedot automaattisesti aina ja joka kerta kun tuon selaimen sulkee 8)