Vastaamon tietomurto

[Tadu]

Meikäläinen työssäni valtiolla vastaan järjestelmästä, jossa ei ole arkaluonteisia henkilötietoja, mutta eräänlaisia kevyisiin liikesalaisuuksiin verrattavia tietoja. Meikän softaa on auditoitu ja hakkeroitu (valkokaulushakkereiden toimesta) useita kertoja, jotta tietoturva on saatu varmasti riittävälle tasolle. Onhan se nyt absurdia, että kaikista arkaluonteisimpia henkilötietoja saadaan hallinnoida ihan miten halutaan, mutta oikeasti todella lievien valtion salaisuuksien kohdalla käytetään jättimäisiä summia rahaa tietoturvaan.

Eiköhän tässäkin tapauksessa tämä ongelma ole ollut tiedossa Valvirassa ja STM:ssä, mutta asia ei ole ketään kiinnostanut, paitsi nyt kun paskat on housuissa. Toivottavasti syylliset kaivetaan esille hakkereiden, yrityksen johdon, virkamiesten ja poliitikkojen puolelta.

Todella todella valitettava tilanne niille joiden tiedot on hakkeroitu. En pysty edes asettautumaan tuohon asemaan. Tsemppiä kaikille.

 

[AlapaanKarvaaja]

Olen varmaan ainoa, mutta kyllä minua käy sääliksi myös Vastaamon IT-jamppa/jampat, joka on tuon tunkeutumisen on ehkä saattanut helpottaa teknisillä ratkaisuilla ja väliinpitämättömyydellä. Joku lakisääteinen hommahan tuohon on saatava, että potilastietokannat vaikka tarkistettaisiin jopa puolivuosittain niin, että tietoturvan taso selvitetään.

 

[UnenNukkuja]

Vähän asian vierestä niin hetu ei nykyisellään sovi nettiin - se riittää aivan liian moneen asiaan ja on naurettavan helppo saada selville. Yhteys syntymäaikaan pitää katkaista.

Tätä samaa mietin kesällä, kun makoilin päivystyksessä erään kuuluisan urheilijamme kanssa samaan aikaan. Vain verho oli välissä, joten kaiken puheen kuuli kyllä, hetunkin. Tuossa tilanteessa ei olisi tarvinut syntymäaikaa mieleen painaa, senhän löytää urheilijan kohdalla googlettamalla.

 

[benicio]

Olen ajatellut, että poliisin ja tiedustelupalveluiden intressi on ollut pitää yllä tietoa, että tor-verkko vai mikä perkeleen deepweb onkaan, on murtamaton. Eli siis pystyisivät sen kuitenkin sitten murtamaan kun riittävän vakava rikos tulee tai sellaista suunnitellaan. Siis ei mitään tavallista huumekauppaa. Tämä on niin totaalisen moraaliton tapaus, että tekijä pitäisi saada kiinni hinnalla millä hyvänsä.

 

[Malmi]

Nyt eduskunnan pitäisi nopeasti säätää lakeja niin, että tietomurron kohteeksi joutuneet saisivat aina vaihdettua hetunsa, jos sitä haluavat. Myös ilman, että niillä tehdään jotain rikollista, sillä pikavippien otot ja ostokset yms. voivat alkaa myös vasta vuosien kuluttua.

Nyt on kyllä populismia aidoimmillaan. Tollanen hetun vaihtoprojekti ensinnäkin lainsäädännöllisesti, puhumattakaan sitten liike-elämässä, on järkyttävän kallista touhua. Eiköhän nyt vaan hoideta rikolliset vastuuseen teoistaan, Vastaamo laittaa omat purkkavirityksensä kondikseen ja katsotaan sitten miten tällaisten tapausten kohdalla tulisi toimia jatkossa.

 

[Cobol]

Eiköhän tässäkin tapauksessa tämä ongelma ole ollut tiedossa Valvirassa ja STM:ssä, mutta asia ei ole ketään kiinnostanut, paitsi nyt kun paskat on housuissa. Toivottavasti syylliset kaivetaan esille hakkereiden, yrityksen johdon, virkamiesten ja poliitikkojen puolelta.

Ei välttämättä ole ollut tiedossa. Asiakastietolaissa olevat tietojärjestelmät jaetaan kahteen luokkaan: suoraan Kanta-palveluun liitetyt järjestelmät ovat niin sanotussa A-luokassa ja kaikki muut ovat luokassa B. Vastaamo on luokassa B ja B-luokkaan kuuluvien sosiaali- ja terveydenhuollon toimijoiden asiakastietojärjestelmien tietosuojaa ei käytännössä valvota, jos mitään ongelmia ei. Yksityiskohtaisemmin:

IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset

IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset

www.verkkouutiset.fi

Vastuu on vain yrityksen, tässä tapauksessa Vastaamon. Nimistä ja rahoittajista päätellen osaamista on ollut, mutta kiinnostusta ei. Yhteistyössä Vastaamon kanssa on ollut myös suuria julkisia toimijoita, kuten HUS. Kun Vastaamo ei ollut suoraan Kantaan liitetty, valvontaa ei Valviran puolelta ole ollut. Jatkossa tämä ongelma tulee korjata.

 

[benicio]

Mitä kaikkea sillä hetulla sitten pystyy tekemään? Peruuttamatonta vahinkoa? Eikö hetun vaihtamista notkeampaa olisi vaatia vahvaa tunnistautumista about kaikkeen mihin kuvitella saattaa. Muutenkin tuo hetu tässä minusta ihan sivuseikka, täyttääkö kolmenumeroinen koodi muutenkaan mitään tietoturvakriteereitä. Jos haluaisin tietää Iivo Niskasen hetun niin vaihtoehtojahan on vain 500 (vai onko muutama enemmän).
Sen sijaan jos netistä on saatavissa tieto, että Pekka käy terapiassa koska haluaa panna isäänsä perseeseen, niin Pekkaa saattaa alkaa ahistaa vähän enemmän kuin joku pitsatilauskälli ahdistaisi.

 

[Vuokralainen]

Onko Vastaamo kommentoinut vielä mitenkään suuremmin tätä tapausta?

 

[Tadu]

Ei välttämättä ole ollut tiedossa. Asiakastietolaissa olevat tietojärjestelmät jaetaan kahteen luokkaan: suoraan Kanta-palveluun liitetyt järjestelmät ovat niin sanotussa A-luokassa ja kaikki muut ovat luokassa B. Vastaamo on luokassa B ja B-luokkaan kuuluvien sosiaali- ja terveydenhuollon toimijoiden asiakastietojärjestelmien tietosuojaa ei käytännössä valvota, jos mitään ongelmia ei. Yksityiskohtaisemmin:

IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset

IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset

www.verkkouutiset.fi

Vastuu on vain yrityksen, tässä tapauksessa Vastaamon. Nimistä ja rahoittajista päätellen osaamista on ollut, mutta kiinnostusta ei. Yhteistyössä Vastaamon kanssa on ollut myös suuria julkisia toimijoita, kuten HUS. Kun Vastaamo ei ollut suoraan Kantaan liitetty, valvontaa ei Valviran puolelta ole ollut. Jatkossa tämä ongelma tulee korjata.

Siis kyllähän se vastuu on myös julkishallinnon tai lainsäädännön, jos se ei halua/pysty/voi valvoa tällaisten tietojen käsittelyä. Ei toki poista yrityksen vastuuta. Tämä siis toki vain oma mielipiteeni. Nyanssieroja.

Edit: Ei olisi vaikeaa vaatia noilta B-luokan järjestelmiltä voimassa olevaa kolmannen osapuolen tekemää tietoturva-auditointia.

 

[finnjewel]

Meikäläinen työssäni valtiolla vastaan järjestelmästä, jossa ei ole arkaluonteisia henkilötietoja, mutta eräänlaisia kevyisiin liikesalaisuuksiin verrattavia tietoja. Meikän softaa on auditoitu ja hakkeroitu (valkokaulushakkereiden toimesta) useita kertoja, jotta tietoturva on saatu varmasti riittävälle tasolle. Onhan se nyt absurdia, että kaikista arkaluonteisimpia henkilötietoja saadaan hallinnoida ihan miten halutaan, mutta oikeasti todella lievien valtion salaisuuksien kohdalla käytetään jättimäisiä summia rahaa tietoturvaan.

Minun työssäni on pääsy tietokantoihin estetty "oman verkon" ulkopuolelta. Omille työntekijöille joidenkin mm. henkilötietoja sisältävien järjestelmien käyttö on mahdollista etänä, mutta vain työntekijän omaan käyttöön luovutetuilla ja rekisteröidyillä työasemilla + virkapuhelimessa olevalla salasanaohjelmalla. Kallishan tuo on ollut, miljoonaluokkaa, mutta toimii.
Heikko kohtahan on ihminen: jos vieressä istuu aseella uhkaava tai lahjova rikollinen, niin siinäpä se tietoturva sitten oli.
e: tietysti lokitiedostot paljastavat 99% varmasti ketkä tietoja ovat katselleet.

 

[Morgoth]

Muutenkin tuo hetu tässä minusta ihan sivuseikka, täyttääkö kolmenumeroinen koodi muutenkaan mitään tietoturvakriteereitä.

Ei nykypäivänä tunnistautuminen voi perustua siihen, että tietää nimen ja jonkun siihen liittyvän koodin (on se nykymuotoinen hetu tai joku uusi) ja riittää että tämän sanoo puhelimessa tai naputtelee jonnekin nettisivulle. Joku kaksivaiheinen tunnistautuminen tai jotain järkevämpää tähän pitää keksiä. Nykyinen systeemi oli varmaan ihan tietoturvallinen 1990-lukuun asti.

 

[Cobol]

Siis kyllähän se vastuu on myös julkishallinnon tai lainsäädännön, jos se ei halua/pysty/voi valvoa tällaisten tietojen käsittelyä. Ei toki poista yrityksen vastuuta. Tämä siis toki vain oma mielipiteeni. Nyanssieroja.

Kyllä, ja konkreettinen valvonta eli valvomattomuus on kuvattua luokkaa.

Hallituksen suhtautumisesta kertoo jotain se, että ministeri Andersson pohti 23.10 nostaako oppositio Vastaamon tietomurron esille. Andersson moralisoi, kun eivät nostaneet ja ihmetteli, miten vähän rikosta on kommentoitu. Anderssonin twiitti löytyy ainakin Tere Sammalahden twitteristä kuvankaappauksena, jos Andersson on sen jo poistanut.

Tietoturva-asiantuntija Petteri Järvinen huomauttaa, että Vastaamon murtoon olisi pitänyt reagoida jo perjantaina 23.10. Hallitus kokoontui sunnuntaina 25.10 käsittelemään Vastaamoa.

Järvinen on oikeassa. Hallituksen tehtävä on reagoida ja antaa välittömästi apua ihmisille.

 

[The_Trooper]

Mitä kaikkea sillä hetulla sitten pystyy tekemään? Peruuttamatonta vahinkoa? Eikö hetun vaihtamista notkeampaa olisi vaatia vahvaa tunnistautumista about kaikkeen mihin kuvitella saattaa. Muutenkin tuo hetu tässä minusta ihan sivuseikka, täyttääkö kolmenumeroinen koodi muutenkaan mitään tietoturvakriteereitä. Jos haluaisin tietää Iivo Niskasen hetun niin vaihtoehtojahan on vain 500 (vai onko muutama enemmän).
Sen sijaan jos netistä on saatavissa tieto, että Pekka on käy terapiassa koska haluaa panna isäänsä perseeseen, niin Pekkaa saattaa alkaa ahistaa vähän enemmän kuin joku pitsatilauskälli ahdistaisi.

Itsekään en ole tämän tapauksen osalta pitänyt tuota hetujen jakamista niin merkittävänä asiana kuin potilastietojen. Onhan sitä maailman historiassa mennyt kirjeitä vääriin postilaatikoihin, lompakkoja kadonnut, passeja varastettu jne. Ymmärrän toki, että nyt puhutaan hieman isomman kokoluokan jutusta ja hetut ovat suoraan ammattirikollisten nähtävillä.

Silti pidän tuota potilastietojen julkistamista uhrien näkökulmasta rankimpana asiana käsitellä tässä jutussa. Voin vain kuvitella, jonkun nuoren jota on potkittu päähän koko elämä ja vihdoin uskaltanut asioistaan jollekin avautua. Sitten on kaikki kertomukset ihmisten nähtävillä verkossa. Siinä voi viimeisetkin luottamuksen rippeet rapistua yhteiskuntaa ja elämää kohtaan. Ja kuten nimim. benicio esimerkissään viittaa, siellä voi olla ihan mitä vaan. Kaikin puolin todella surullinen tapaus ja toivottavasti tekijät ja myös Vastaamo joutuvat vastuuseen.

 

[Vuokralainen]

Voin vain kuvitella, jonkun nuoren jota on potkittu päähän koko elämä ja vihdoin uskaltanut asioistaan jollekin avautua. Sitten on kaikki kertomukset ihmisten nähtävillä verkossa.

Tämä tässä on mielestäni kamalinta ja huolestuttavinta.
Toivon, että ihmiset eivät näitä kertomuksia lue saatikka levittele, jos niihin jossain törmäävät. Alhaista touhua, jopa sortua niitä lukemaan.

 

[Perusjäbä]

Tämä tässä on mielestäni kamalinta ja huolestuttavinta.
Toivon, että ihmiset eivät näitä kertomuksia lue saatikka levittele, jos niihin jossain törmäävät. Alhaista touhua, jopa sortua niitä lukemaan.

Itse olen jo niin kyyninen, että eiköhän näitä kertomuksia katsella ja naureskella porukalla, piittaamatta muiden ihmisten tunteista tai traumoista, mitä on nytkin jo tapahtunut. Pitäisi uhreja tukea ja tehdä heitä vahvemmaksi, mutta helppoa se ei ole varsinkaan tälle haavoittuvalle ihmisryhmälle.

 

[Barcelona]

On tästä tapauksesta ainakin se hyvä puoli että varmasti tää nyt herättää keskustelua aiheesta sen verran että jotain lakiuudistuksia, säännöksiä ja valvontaa tulee. Kyllä tää tapaus nyt on herättänyt koko kansakunnan ottamaan nyt nämä asiat vakavasti.

Asiantuntija penää yritysten johdon vastuuta tietoturvasta: "Nyt pitäisi herätä"

Vastaamon tietoturvavuoto toimii herätyksenä monillle yrityksille tietoturva-asioissa, arvioi Digi- ja väestötietoviraston johtava erityisasiantuntija Kimmo Rousku.

yle.fi

Kyllä Vastaamo joutuu tästä vastamaan jollain tavalla. Ainakin luottamus on mennyt, ja se on tolle firmalle paha kun asiakkaiden perusoletus on että asiat pysyy salassa. Vaikka siellä kaikki muut ois hoitanut asiansa mallikaasti niin se että it-asioista vastaava on nukkunut ruususen unta saattaa aiheuttaa sen että koko firmalta menee nyt maine ja lappu ilmestyy luukulle.

 

[Tadu]

On tästä tapauksesta ainakin se hyvä puoli että varmasti tää nyt herättää keskustelua aiheesta sen verran että jotain lakiuudistuksia, säännöksiä ja valvontaa tulee. Kyllä tää tapaus nyt on herättänyt koko kansakunnan ottamaan nyt nämä asiat vakavasti.

Asiantuntija penää yritysten johdon vastuuta tietoturvasta: "Nyt pitäisi herätä"

Vastaamon tietoturvavuoto toimii herätyksenä monillle yrityksille tietoturva-asioissa, arvioi Digi- ja väestötietoviraston johtava erityisasiantuntija Kimmo Rousku.

yle.fi

Kyllä Vastaamo joutuu tästä vastamaan jollain tavalla. Ainakin luottamus on mennyt, ja se on tolle firmalle paha kun asiakkaiden perusoletus on että asiat pysyy salassa. Vaikka siellä kaikki muut ois hoitanut asiansa mallikaasti niin se että it-asioista vastaava on nukkunut ruususen unta saattaa aiheuttaa sen että koko firmalta menee nyt maine ja lappu ilmestyy luukulle.

Sopivasti Vastaamon perustajat 2019 myivät enemmistön firmasta pois. Eka tietomurto oli 2018. Aikamoinen sattuma.

 

[AlapaanKarvaaja]

Itse olen jo niin kyyninen, että eiköhän näitä kertomuksia katsella ja naureskella porukalla, piittaamatta muiden ihmisten tunteista tai traumoista, mitä on nytkin jo tapahtunut. Pitäisi uhreja tukea ja tehdä heitä vahvemmaksi, mutta helppoa se ei ole varsinkaan tälle haavoittuvalle ihmisryhmälle.

Uskon, että lopulta hyvin pieni joukko edes näkee nuo potilastiedot, jos ja kun ne julkaistaan tai yritetään julkaista. Naureskelijat ovat luokkaa idiootit teinit ja mielenterveyden kanssa painivat, joskin jälkimmäistä ryhmää karsii se, että heidän tietojaan tässä nimenomaan on jaossa. Joka tapauksessa suurinta osaa ihmisistä ei kiinnosta toisten potilaskertomukset pätkääkään ja niitä joita se kiinnostaa, niin datan saaminen käsiin on pienen työn takana. Toivon, että vinkkauksia tulee poliiseille jos joku leveilee noilla kertomuksilla julkisesti. Se ei toki poista sitä huolta ja häpeää ajatuksesta, joka näille uhreille on tullut, että se tieto on kuitenkin saatavilla jossakin, jonkun aikaa.

 

[Tadu]

Uskon, että lopulta hyvin pieni joukko edes näkee nuo potilastiedot, jos ja kun ne julkaistaan tai yritetään julkaista. Naureskelijat ovat luokkaa idiootit teinit ja mielenterveyden kanssa painivat, joskin jälkimmäistä ryhmää karsii se, että heidän tietojaan tässä nimenomaan on jaossa. Joka tapauksessa suurinta osaa ihmisistä ei kiinnosta toisten potilaskertomukset pätkääkään ja niitä joita se kiinnostaa, niin datan saaminen käsiin on pienen työn takana. Toivon, että vinkkauksia tulee poliiseille jos joku leveilee noilla kertomuksilla julkisesti. Se ei toki poista sitä huolta ja häpeää ajatuksesta, joka näille uhreille on tullut, että se tieto on kuitenkin saatavilla jossakin, jonkun aikaa.

Kun siellä on julkkisten mielenterveystietoja, niin ne aivan varmasti kiinnostavat liian montaa...

 

[Pavlikovsky]

On tästä tapauksesta ainakin se hyvä puoli että varmasti tää nyt herättää keskustelua aiheesta sen verran että jotain lakiuudistuksia, säännöksiä ja valvontaa tulee.

Same old story, valitettavasti. Aina pitää jotain isompaa näköjään sattua ennen kuin ymmärretään puuttua asioihin niihin kuuluvilla vakavuuden asteilla. Estonian jälkeen puhuttiin, että nyt laivaturvallisuus kuntoon, Konginkankaam jälkeen puhuttiin tieturvallisuuteen satsauksista ja ampumatragedioiden jälkeen mielenterveyteen satsaamisesta. Tärkeitä puheenvuoroja ja aloitteita, mutta liian myöhään ja näissä kaikissa yksikin tapaus on liikaa ja sitä ei enää saa peruutettua. Varmasti jatkossa laitetaan terveydenhuollon tietoihin/tärkeiden yksityisasioiden suojeluun enemmän jerkkua, mutta perusongelma eli ennaltaehkäisevä työ laahaa edelleen eri kohteissa. Okei, nyt ketään ei kuollut, mutta raakaa kärsimystä ja epäinhimillistä kohtelua tämä aiheuttaa kaikille tästä kärsineille ja heille valtavasti voimia ja tukea.

 

[benicio]

Kun siellä on julkkisten mielenterveystietoja, niin ne aivan varmasti kiinnostavat liian montaa...

Ja myös esim jossain huoltajuuskiistoissa tai muissa siviiliriidoissa ja kostoissa noita tullaan käyttämään täysin häikäilemättä hyväksi.

 

[wilco]

Sopivasti Vastaamon perustajat 2019 myivät enemmistön firmasta pois. Eka tietomurto oli 2018. Aikamoinen sattuma.

Mistäs nämä tiedot?

Että silleen...

 

[Metukka]

Onko tuo nyt oikeasti jossain muuallakin kuin netin keskustelupalstoilla kerrottu, että salasana on ollut root? Kuulostaa niin uskomattomalta ettei sitä voi todeksi uskoa. Jos joku petterijärvinen spekuloi tällaisen mahdollisuudella, niin helposti siitä muodostuu legenda totuuden ollessa kuitenkin jotain muuta.

 

[Noma]

Onko tuo nyt oikeasti jossain muuallakin kuin netin keskustelupalstoilla kerrottu, että salasana on ollut root? Kuulostaa niin uskomattomalta ettei sitä voi todeksi uskoa. Jos joku petterijärvinen spekuloi tällaisen mahdollisuudella, niin helposti siitä muodostuu legenda totuuden ollessa kuitenkin jotain muuta.

F-Securen tietoturvajohtaja kertoo Maikkarin uutisten haastattelussa seuraavaa:

– Tässä on ollut oletussalasanoja. Jos salasanoja ei uusi, näin siinä saattaa käydä. Salasanat ovat kaikkein helpoin tietoturvakonsti. Ne eivät maksa mitään eivätkä lopu koskaan.

 

[Tadu]

Mistäs nämä tiedot?

Että silleen...

Tällainen yritys on tietomurron kohteeksi joutunut Vastaamo

Kasvua, kansainvälistymisaikeita ja lainsäädännöllisesti heikosti valvottu B-luokan tietojärjestelmä.

www.is.fi

" Tällä hetkellä Ville Tapio omistaa yhtiöstä Asiakastiedon mukaan 27 prosenttia, ja Nina Tapio kolme prosenttia. Pääomistaja on pääomasijoittaja Interan Rahasto II, joka osti Vastaamon enemmistön kesällä 2019. "

Vastaamon tietojärjestelmään on saatettu tehdä yhden sijaan kaksi murtoa – tietomurron uhreille tarjolla keskusteluapua

Muun muassa Mieli ry:n valtakunnallinen kriisipuhelin tarjoaa tukea vuorokauden ympäri.

yle.fi

" Nyt yhtiö tiedottaa, että sen järjestelmiin on todennäköisesti tunkeuduttu myös toisen kerran marraskuun lopun 2018 ja maaliskuun 2019 välisenä aikana. "

Aikamoinen sattuma vai hyvin ajoitettu kauppa.