Vastaamon tietomurto

[Tadu]

Ei välttämättä ole ollut tiedossa. Asiakastietolaissa olevat tietojärjestelmät jaetaan kahteen luokkaan: suoraan Kanta-palveluun liitetyt järjestelmät ovat niin sanotussa A-luokassa ja kaikki muut ovat luokassa B. Vastaamo on luokassa B ja B-luokkaan kuuluvien sosiaali- ja terveydenhuollon toimijoiden asiakastietojärjestelmien tietosuojaa ei käytännössä valvota, jos mitään ongelmia ei. Yksityiskohtaisemmin:

IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset

IS: Yksi mies vastaa 260 sote-yrityksen tietoturvan valvonnasta | Verkkouutiset

www.verkkouutiset.fi

Vastuu on vain yrityksen, tässä tapauksessa Vastaamon. Nimistä ja rahoittajista päätellen osaamista on ollut, mutta kiinnostusta ei. Yhteistyössä Vastaamon kanssa on ollut myös suuria julkisia toimijoita, kuten HUS. Kun Vastaamo ei ollut suoraan Kantaan liitetty, valvontaa ei Valviran puolelta ole ollut. Jatkossa tämä ongelma tulee korjata.

Siis kyllähän se vastuu on myös julkishallinnon tai lainsäädännön, jos se ei halua/pysty/voi valvoa tällaisten tietojen käsittelyä. Ei toki poista yrityksen vastuuta. Tämä siis toki vain oma mielipiteeni. Nyanssieroja.

Edit: Ei olisi vaikeaa vaatia noilta B-luokan järjestelmiltä voimassa olevaa kolmannen osapuolen tekemää tietoturva-auditointia.

 

[finnjewel]

Meikäläinen työssäni valtiolla vastaan järjestelmästä, jossa ei ole arkaluonteisia henkilötietoja, mutta eräänlaisia kevyisiin liikesalaisuuksiin verrattavia tietoja. Meikän softaa on auditoitu ja hakkeroitu (valkokaulushakkereiden toimesta) useita kertoja, jotta tietoturva on saatu varmasti riittävälle tasolle. Onhan se nyt absurdia, että kaikista arkaluonteisimpia henkilötietoja saadaan hallinnoida ihan miten halutaan, mutta oikeasti todella lievien valtion salaisuuksien kohdalla käytetään jättimäisiä summia rahaa tietoturvaan.

Minun työssäni on pääsy tietokantoihin estetty "oman verkon" ulkopuolelta. Omille työntekijöille joidenkin mm. henkilötietoja sisältävien järjestelmien käyttö on mahdollista etänä, mutta vain työntekijän omaan käyttöön luovutetuilla ja rekisteröidyillä työasemilla + virkapuhelimessa olevalla salasanaohjelmalla. Kallishan tuo on ollut, miljoonaluokkaa, mutta toimii.
Heikko kohtahan on ihminen: jos vieressä istuu aseella uhkaava tai lahjova rikollinen, niin siinäpä se tietoturva sitten oli.
e: tietysti lokitiedostot paljastavat 99% varmasti ketkä tietoja ovat katselleet.

 

[Morgoth]

Muutenkin tuo hetu tässä minusta ihan sivuseikka, täyttääkö kolmenumeroinen koodi muutenkaan mitään tietoturvakriteereitä.

Ei nykypäivänä tunnistautuminen voi perustua siihen, että tietää nimen ja jonkun siihen liittyvän koodin (on se nykymuotoinen hetu tai joku uusi) ja riittää että tämän sanoo puhelimessa tai naputtelee jonnekin nettisivulle. Joku kaksivaiheinen tunnistautuminen tai jotain järkevämpää tähän pitää keksiä. Nykyinen systeemi oli varmaan ihan tietoturvallinen 1990-lukuun asti.

 

[Cobol]

Siis kyllähän se vastuu on myös julkishallinnon tai lainsäädännön, jos se ei halua/pysty/voi valvoa tällaisten tietojen käsittelyä. Ei toki poista yrityksen vastuuta. Tämä siis toki vain oma mielipiteeni. Nyanssieroja.

Kyllä, ja konkreettinen valvonta eli valvomattomuus on kuvattua luokkaa.

Hallituksen suhtautumisesta kertoo jotain se, että ministeri Andersson pohti 23.10 nostaako oppositio Vastaamon tietomurron esille. Andersson moralisoi, kun eivät nostaneet ja ihmetteli, miten vähän rikosta on kommentoitu. Anderssonin twiitti löytyy ainakin Tere Sammalahden twitteristä kuvankaappauksena, jos Andersson on sen jo poistanut.

Tietoturva-asiantuntija Petteri Järvinen huomauttaa, että Vastaamon murtoon olisi pitänyt reagoida jo perjantaina 23.10. Hallitus kokoontui sunnuntaina 25.10 käsittelemään Vastaamoa.

Järvinen on oikeassa. Hallituksen tehtävä on reagoida ja antaa välittömästi apua ihmisille.

 

[The_Trooper]

Mitä kaikkea sillä hetulla sitten pystyy tekemään? Peruuttamatonta vahinkoa? Eikö hetun vaihtamista notkeampaa olisi vaatia vahvaa tunnistautumista about kaikkeen mihin kuvitella saattaa. Muutenkin tuo hetu tässä minusta ihan sivuseikka, täyttääkö kolmenumeroinen koodi muutenkaan mitään tietoturvakriteereitä. Jos haluaisin tietää Iivo Niskasen hetun niin vaihtoehtojahan on vain 500 (vai onko muutama enemmän).
Sen sijaan jos netistä on saatavissa tieto, että Pekka on käy terapiassa koska haluaa panna isäänsä perseeseen, niin Pekkaa saattaa alkaa ahistaa vähän enemmän kuin joku pitsatilauskälli ahdistaisi.

Itsekään en ole tämän tapauksen osalta pitänyt tuota hetujen jakamista niin merkittävänä asiana kuin potilastietojen. Onhan sitä maailman historiassa mennyt kirjeitä vääriin postilaatikoihin, lompakkoja kadonnut, passeja varastettu jne. Ymmärrän toki, että nyt puhutaan hieman isomman kokoluokan jutusta ja hetut ovat suoraan ammattirikollisten nähtävillä.

Silti pidän tuota potilastietojen julkistamista uhrien näkökulmasta rankimpana asiana käsitellä tässä jutussa. Voin vain kuvitella, jonkun nuoren jota on potkittu päähän koko elämä ja vihdoin uskaltanut asioistaan jollekin avautua. Sitten on kaikki kertomukset ihmisten nähtävillä verkossa. Siinä voi viimeisetkin luottamuksen rippeet rapistua yhteiskuntaa ja elämää kohtaan. Ja kuten nimim. benicio esimerkissään viittaa, siellä voi olla ihan mitä vaan. Kaikin puolin todella surullinen tapaus ja toivottavasti tekijät ja myös Vastaamo joutuvat vastuuseen.

 

[Vuokralainen]

Voin vain kuvitella, jonkun nuoren jota on potkittu päähän koko elämä ja vihdoin uskaltanut asioistaan jollekin avautua. Sitten on kaikki kertomukset ihmisten nähtävillä verkossa.

Tämä tässä on mielestäni kamalinta ja huolestuttavinta.
Toivon, että ihmiset eivät näitä kertomuksia lue saatikka levittele, jos niihin jossain törmäävät. Alhaista touhua, jopa sortua niitä lukemaan.

 

[Perusjäbä]

Tämä tässä on mielestäni kamalinta ja huolestuttavinta.
Toivon, että ihmiset eivät näitä kertomuksia lue saatikka levittele, jos niihin jossain törmäävät. Alhaista touhua, jopa sortua niitä lukemaan.

Itse olen jo niin kyyninen, että eiköhän näitä kertomuksia katsella ja naureskella porukalla, piittaamatta muiden ihmisten tunteista tai traumoista, mitä on nytkin jo tapahtunut. Pitäisi uhreja tukea ja tehdä heitä vahvemmaksi, mutta helppoa se ei ole varsinkaan tälle haavoittuvalle ihmisryhmälle.

 

[Barcelona]

On tästä tapauksesta ainakin se hyvä puoli että varmasti tää nyt herättää keskustelua aiheesta sen verran että jotain lakiuudistuksia, säännöksiä ja valvontaa tulee. Kyllä tää tapaus nyt on herättänyt koko kansakunnan ottamaan nyt nämä asiat vakavasti.

Asiantuntija penää yritysten johdon vastuuta tietoturvasta: "Nyt pitäisi herätä"

Vastaamon tietoturvavuoto toimii herätyksenä monillle yrityksille tietoturva-asioissa, arvioi Digi- ja väestötietoviraston johtava erityisasiantuntija Kimmo Rousku.

yle.fi

Kyllä Vastaamo joutuu tästä vastamaan jollain tavalla. Ainakin luottamus on mennyt, ja se on tolle firmalle paha kun asiakkaiden perusoletus on että asiat pysyy salassa. Vaikka siellä kaikki muut ois hoitanut asiansa mallikaasti niin se että it-asioista vastaava on nukkunut ruususen unta saattaa aiheuttaa sen että koko firmalta menee nyt maine ja lappu ilmestyy luukulle.

 

[Tadu]

On tästä tapauksesta ainakin se hyvä puoli että varmasti tää nyt herättää keskustelua aiheesta sen verran että jotain lakiuudistuksia, säännöksiä ja valvontaa tulee. Kyllä tää tapaus nyt on herättänyt koko kansakunnan ottamaan nyt nämä asiat vakavasti.

Asiantuntija penää yritysten johdon vastuuta tietoturvasta: "Nyt pitäisi herätä"

Vastaamon tietoturvavuoto toimii herätyksenä monillle yrityksille tietoturva-asioissa, arvioi Digi- ja väestötietoviraston johtava erityisasiantuntija Kimmo Rousku.

yle.fi

Kyllä Vastaamo joutuu tästä vastamaan jollain tavalla. Ainakin luottamus on mennyt, ja se on tolle firmalle paha kun asiakkaiden perusoletus on että asiat pysyy salassa. Vaikka siellä kaikki muut ois hoitanut asiansa mallikaasti niin se että it-asioista vastaava on nukkunut ruususen unta saattaa aiheuttaa sen että koko firmalta menee nyt maine ja lappu ilmestyy luukulle.

Sopivasti Vastaamon perustajat 2019 myivät enemmistön firmasta pois. Eka tietomurto oli 2018. Aikamoinen sattuma.

 

[AlapaanKarvaaja]

Itse olen jo niin kyyninen, että eiköhän näitä kertomuksia katsella ja naureskella porukalla, piittaamatta muiden ihmisten tunteista tai traumoista, mitä on nytkin jo tapahtunut. Pitäisi uhreja tukea ja tehdä heitä vahvemmaksi, mutta helppoa se ei ole varsinkaan tälle haavoittuvalle ihmisryhmälle.

Uskon, että lopulta hyvin pieni joukko edes näkee nuo potilastiedot, jos ja kun ne julkaistaan tai yritetään julkaista. Naureskelijat ovat luokkaa idiootit teinit ja mielenterveyden kanssa painivat, joskin jälkimmäistä ryhmää karsii se, että heidän tietojaan tässä nimenomaan on jaossa. Joka tapauksessa suurinta osaa ihmisistä ei kiinnosta toisten potilaskertomukset pätkääkään ja niitä joita se kiinnostaa, niin datan saaminen käsiin on pienen työn takana. Toivon, että vinkkauksia tulee poliiseille jos joku leveilee noilla kertomuksilla julkisesti. Se ei toki poista sitä huolta ja häpeää ajatuksesta, joka näille uhreille on tullut, että se tieto on kuitenkin saatavilla jossakin, jonkun aikaa.

 

[Tadu]

Uskon, että lopulta hyvin pieni joukko edes näkee nuo potilastiedot, jos ja kun ne julkaistaan tai yritetään julkaista. Naureskelijat ovat luokkaa idiootit teinit ja mielenterveyden kanssa painivat, joskin jälkimmäistä ryhmää karsii se, että heidän tietojaan tässä nimenomaan on jaossa. Joka tapauksessa suurinta osaa ihmisistä ei kiinnosta toisten potilaskertomukset pätkääkään ja niitä joita se kiinnostaa, niin datan saaminen käsiin on pienen työn takana. Toivon, että vinkkauksia tulee poliiseille jos joku leveilee noilla kertomuksilla julkisesti. Se ei toki poista sitä huolta ja häpeää ajatuksesta, joka näille uhreille on tullut, että se tieto on kuitenkin saatavilla jossakin, jonkun aikaa.

Kun siellä on julkkisten mielenterveystietoja, niin ne aivan varmasti kiinnostavat liian montaa...

 

[Pavlikovsky]

On tästä tapauksesta ainakin se hyvä puoli että varmasti tää nyt herättää keskustelua aiheesta sen verran että jotain lakiuudistuksia, säännöksiä ja valvontaa tulee.

Same old story, valitettavasti. Aina pitää jotain isompaa näköjään sattua ennen kuin ymmärretään puuttua asioihin niihin kuuluvilla vakavuuden asteilla. Estonian jälkeen puhuttiin, että nyt laivaturvallisuus kuntoon, Konginkankaam jälkeen puhuttiin tieturvallisuuteen satsauksista ja ampumatragedioiden jälkeen mielenterveyteen satsaamisesta. Tärkeitä puheenvuoroja ja aloitteita, mutta liian myöhään ja näissä kaikissa yksikin tapaus on liikaa ja sitä ei enää saa peruutettua. Varmasti jatkossa laitetaan terveydenhuollon tietoihin/tärkeiden yksityisasioiden suojeluun enemmän jerkkua, mutta perusongelma eli ennaltaehkäisevä työ laahaa edelleen eri kohteissa. Okei, nyt ketään ei kuollut, mutta raakaa kärsimystä ja epäinhimillistä kohtelua tämä aiheuttaa kaikille tästä kärsineille ja heille valtavasti voimia ja tukea.

 

[benicio]

Kun siellä on julkkisten mielenterveystietoja, niin ne aivan varmasti kiinnostavat liian montaa...

Ja myös esim jossain huoltajuuskiistoissa tai muissa siviiliriidoissa ja kostoissa noita tullaan käyttämään täysin häikäilemättä hyväksi.

 

[wilco]

Sopivasti Vastaamon perustajat 2019 myivät enemmistön firmasta pois. Eka tietomurto oli 2018. Aikamoinen sattuma.

Mistäs nämä tiedot?

Että silleen...

 

[Metukka]

Onko tuo nyt oikeasti jossain muuallakin kuin netin keskustelupalstoilla kerrottu, että salasana on ollut root? Kuulostaa niin uskomattomalta ettei sitä voi todeksi uskoa. Jos joku petterijärvinen spekuloi tällaisen mahdollisuudella, niin helposti siitä muodostuu legenda totuuden ollessa kuitenkin jotain muuta.

 

[Noma]

Onko tuo nyt oikeasti jossain muuallakin kuin netin keskustelupalstoilla kerrottu, että salasana on ollut root? Kuulostaa niin uskomattomalta ettei sitä voi todeksi uskoa. Jos joku petterijärvinen spekuloi tällaisen mahdollisuudella, niin helposti siitä muodostuu legenda totuuden ollessa kuitenkin jotain muuta.

F-Securen tietoturvajohtaja kertoo Maikkarin uutisten haastattelussa seuraavaa:

– Tässä on ollut oletussalasanoja. Jos salasanoja ei uusi, näin siinä saattaa käydä. Salasanat ovat kaikkein helpoin tietoturvakonsti. Ne eivät maksa mitään eivätkä lopu koskaan.

 

[Tadu]

Mistäs nämä tiedot?

Että silleen...

Tällainen yritys on tietomurron kohteeksi joutunut Vastaamo

Kasvua, kansainvälistymisaikeita ja lainsäädännöllisesti heikosti valvottu B-luokan tietojärjestelmä.

www.is.fi

" Tällä hetkellä Ville Tapio omistaa yhtiöstä Asiakastiedon mukaan 27 prosenttia, ja Nina Tapio kolme prosenttia. Pääomistaja on pääomasijoittaja Interan Rahasto II, joka osti Vastaamon enemmistön kesällä 2019. "

Vastaamon tietojärjestelmään on saatettu tehdä yhden sijaan kaksi murtoa – tietomurron uhreille tarjolla keskusteluapua

Muun muassa Mieli ry:n valtakunnallinen kriisipuhelin tarjoaa tukea vuorokauden ympäri.

yle.fi

" Nyt yhtiö tiedottaa, että sen järjestelmiin on todennäköisesti tunkeuduttu myös toisen kerran marraskuun lopun 2018 ja maaliskuun 2019 välisenä aikana. "

Aikamoinen sattuma vai hyvin ajoitettu kauppa.

 

[Zeta03]

Ei nykypäivänä tunnistautuminen voi perustua siihen, että tietää nimen ja jonkun siihen liittyvän koodin (on se nykymuotoinen hetu tai joku uusi) ja riittää että tämän sanoo puhelimessa tai naputtelee jonnekin nettisivulle.

Vaikkei tähän suoranaisesti liitykään eikä isoa tuhoa saa aikaan, niin huvittaa tuo Mehiläisen lääkäriajanvaraus. Se tehdään edelleen hetulla, luulisi tuon kokoisella firmalla olevan jo käytössä pankkitunnistautuminen tuossa pelkässä ajanvarauksessakin...

 

[Metukka]

F-Securen tietoturvajohtaja kertoo Maikkarin uutisten haastattelussa seuraavaa:

Olikos se niin, että Linux-koneissa pitää se vanha salasana erikseen poistaa (tässä tapauksessa root), kun luo uuden tai muuten se vanhakin salasana on edelleen voimassa? Hämärästi sellaista muistelen.

 

[Zeta03]

Onko tuo nyt oikeasti jossain muuallakin kuin netin keskustelupalstoilla kerrottu, että salasana on ollut root?

Tietomurron tekijä oli itse kertonut "it was not, the login was root:root". Piruko sitä tietää puhuiko totta vai palturia

 

[Tuamas]

Mitä kaikkea sillä hetulla sitten pystyy tekemään? Peruuttamatonta vahinkoa?

Ei mitään peruuttamatonta vahinkoa, mutta paljon pientä kiusaa, jonka ehkäisemiseksi uhrin on nähtävä vaivaa.

Ohessa lyhyt lista, joissa ei tarvita vahvaa tunnistautumista ja joilla voi tehdä kiusaa, paitsi jos uhri on ryhtynyt ennakoiviin toimenpiteisiin:
- Luoton ottaminen, esimerkiksi Klarnan laskurahoitus ei käsittääkseni vaadi kuin HETUn, ei vahvaa tunnistautumista ja palvelu on tarjolla sadoilla ellei tuhansilla nettikaupoilla
- Merkitseminen bulvaaniksi yhtiöön kaupparekisteriin
- Muuttoilmoitus
- Kirkosta eroaminen

 

[Zeta03]

Ei mitään peruuttamatonta vahinkoa, mutta paljon pientä kiusaa, jonka ehkäisemiseksi uhrin on nähtävä vaivaa.

- Kirkosta eroaminen

Luokitellaanko tuo nyt sitten kiusaksi vai palvelukseksi? *hymiö*

 

[Cobol]

Olikos se niin, että Linux-koneissa pitää se vanha salasana erikseen poistaa (tässä tapauksessa root), kun luo uuden tai muuten se vanhakin salasana on edelleen voimassa? Hämärästi sellaista muistelen.

Vanhoissa Linux-versioissa ei ollut rootilla oletuksena salasanaa lainkaan. Sudolla voi vaihtaa voimassa olevan pääkäyttäjäm salasanan ja muistaakseni sen jälkeen ei tarvitse vanhaa salasanaa tappaa erikseen. Itselläni ei ole tällä hetkellä Linuxia palvelinkäytössä, vain työasemassa (Mint), joten en pysty testaamaan.

 

[Morgoth]

Vanhoissa Linux-versioissa ei ollut rootilla oletuksena salasanaa lainkaan. Sudolla voi vaihtaa voimassa olevan pääkäyttäjäm salasanan ja muistaakseni sen jälkeen ei tarvitse vanhaa salasanaa tappaa erikseen.

Ei tarvitse eikä missään vähänkään järkevämmässä systeemissä ole edes salittuna kirjautua suoraan roottina palvelimelle. Eihän tuossa ole mietitty oikeastaan mitään tietoturvan kannalta.Kaiken kruunaa mikäli tuo on ihan oikeasti ollut avoimena internetiin.

Mikäli asiaa on tosiaan ollut noin niin sen palvelimen on taatusti korkannut moni muukin, mutta ovatko sitten olleet kiinnostuneita potilastietokannasta tätä kiristäjää lukuunottamatta. En oikein keksi nopeasti hyvää vertausta reaalimaailmassa, mutta eihän vastaamon johto tätä vastuuta voi millään paeta tai tuo voi olla millään tavalla asiallisesti hoidettu. Kukas tuosta sitten joutuu vastuuseen? Toimari ja yhtiön hallitus lopulta? Sitä en osaa arvioida millaisia tuomiota on mahdollisesta antaa.

Mikäli murto tapahtunut jo 2018 vuonna niin mitä tässä on kaksi vuotta tapahtanut? Ettei vain kiristäminen olisi alkanut jo aikaisemmin ja tässä no jotain muutakin kuin mitä toistaiseksi tullut ilmi? Tuo omistajavaihdos ihan mielenkiintoinen kuvio.
Toki olla sattumaakin.

 

[DAF]

Teeman ympärillä käydyssä keskustelussa on pari ongelmaa/vinoumaa.

Tässä on kyse paljon suuremmasta ja rankemmasta asiasta kuin siitä, että se ja tämä henkilö on käynyt vastaanotolla ja "on ihan ok käydä psykoterapiassa". Siitä, mitä siellä sisällöissä on - tai mikä kohteen tunne on, mitä siellä on. Mitä kaikkea on kertonut terapiassa läheisistään, itsestään, vaikkapa työpaikan sivusuhteesta, virallisesta parisuhteestaan, sukulaisistaan, lapsuuden hyväksikäyttökokemuksista jne. jne. Siinä tilanteessa on täysin samantekevää, mitä de facto siellä tiedoissa lukee - kaikki tämä voi uhrin näkökulmasta siellä lukea, ja kaikki se pelottaa. Ei se, että "joku saa tietää että kävin terapiassa". Todella rankka, elämään vaikuttava pelko, jota kaikki eivät välttämättä kestä.

Tästä syystä vähän ihmetyttää, että julkikeskustelussa edelleen ollaan lähinnä huolissaan ja ohjeistetaan siitä, jos henkilötunnus tms. on vuotanut. Ne ovat aika lailla sivuseikka tässä uhrien osalta. Samalla ne uhrit, joita on saatu haastatteluun ovat jutuissa huolissaan lähinnä hetusta, koska terapiassa ei heidän kertomansa mukaan ole käsitelty mitään erityistä. Tämä jopa peittää sek keskustelun ihmisistä, jotka ovat nyt piilossa jossain kiven alla ja harkitsevat tämän johdosta jopa elämänsä päättämistä. Eivät he anna edes "nimi muutettu"-haastatteluja Ylelle tai Hesarille.

Tämä on tämän kuvottavan rikoksen suurin juttu. Tietoturvan petraamiseen tämä toivottavasti johtaa, samoin ehkä hetujärjestelmän uusimiseen, GDPR-korvauksiin jne., mutta näiden ihmisten elämän pilaamista ja mahdollista itsemurhaa ne eivät peruuta.