Vastaamon potilastietoihin kohdistunut tietomurto

[foobar]

Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.

Olen oman työurani varrella ollut suunnittelemassa ja toteuttamassa sosiaali- ja terveysalan työvälineitä, esimerkiksi laitteita ja ohjelmistoja. Oleellista on se, että esimerkiksi silloisella työnantajallani oli erilaisia sertifiointeja, joista osa vaati alleen esimerkiksi ISO 9001:n. Ilman noita sertifiointeja medikaalipuolen asiakkaat eivät olisi edes vilkaisseet työnantajani suuntaan. Hommaan sisältyi toki se, asiat dokumentoitiin huolellisesti ja asiat tehttiin tiettyjen prosessien mukaisesti.

Olenkin nyt hieman ihmseissäni, että sellaiset organisaatiot kuten Oys ja Tays eivät ole auditoineet niinkin oleellista asiaa kuin alihankkijansa tietojärjestelmät. No, pääsevätpä luultavasti maksumiehiksi korvausasioissa. Poliitikot ovat olleet huomattavan leväperäisiä siinä, että auditointeja ei ole merkitty pakollisiksi näille b-sarjalaisille.

Olen harrastuksieni vuoksi tutustunut hyvin moniin ihmisten tekemiin typeryyksiin. Eräisiin sellaisiin joissa on kuollut kymmeniä tuhansia ihmisiä vain muutamissa hetkissä. Tämän tapauksen vuoksi ei ole vielä tiettävästi kuollut kukaan, mutta joka tapauksessa en lainkaan ihmettelisi vaikka niin kävisi. Typeryydeltään tämä ei kuitenkaan eroa millään tavalla Bhopalin vuoden 1984 typeryydestä (ahneus kostautuo ja kaupunkin virtasi paineistetusta 40 kuutiometrin säiliöstä metyyli-isosyanaattia, suolahappoa, sinappikaasua, syaanivetytä yms ei-niin-vaarattomia-aineita, tuho, kärsimys ja kurjuus olivat käsittämättömät)

Sitten folioattuosastolle
Näyttää kovasti siltä, että Vastaamon nykyiset omistajat aikovat pestä kätensä tästä. Hehän siis hakivat ja  saivat tuon 10 M€:n takavarikon. Enkä usko että sitä olisi haettu siksi, että siitä maksettaisiin todellisille uhreille korvauksia vaan pikemminkin siksi, että sujavasti pystyisivät purkamaan yrityskaupan.

Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.

Sekä itseoppiminen että suoraan koulunpenkiltä tulemalla järjestelmien toteuttaminen on huono idea. Se mitä missä tahansa vakavien asioiden kanssa tekemisissä olevan järjestelmän toteuttamisessa kunnialla tarvitaan on aiempi työkokemus, joka on tyypillisesti hankittu edellisten ammattilaissukupolvien kanssa menetelmät oppien ja niitä kehittäen. Jos Vastaamossa harjoitettu menetelmä olisi ollut aiemmin tiedossa (siis se, että ilmeisesti järjestelmän toteuttajatiimi on koostunut oleellisesti ottaen perheyrityksessä itseoppineesta pojasta äitinsä ohjauksessa) olisi kuka tahansa vakavasti työhönsä suhtautuva ohjelmistokehittäjä osannut sanoa että tässä on lähes mahdotonta hoitaa hommaa ainakaan tietosuoja- ja tietoturvapuolen osalta kunnialla.

Syvä ymmärrys näihin asioihin vaatii osaavan yhteisön kanssa toimimista ja oppimista - vaikka tunnenkin muutaman täysin itseoppineen huippuluokan kehittäjän, eivät nämä ole hypänneet toteuttamaan tällaisia projekteja yksin (sikäli kuin mitään merkittävän kokoista järjestelmää nykyään kehitetään yhden hengen voimin) vaan ovat ensin hankkineet kannuksensa oppimalla oikeassa työympäristössä muilta sen mitä kaikkea pitää miettiä kun kehitetään reaalimaailman ratkaisuja joissa on kyse hengen, terveyden tai ainakin omaisuuden kannalta kriittisistä jutuista.

[Nuivinator]

Muuten, jossakin mainittiin että korvaus voisi olla 300 - 1800 euroa per loukattu yksityisyys.

Lehtitietojen perusteella loukattuja yksityisyyksiä on jopa 40000 kappaletta. 1800 * 40000 = 72000000. Oys ja Tays (eli veronmaksajat) saattavat joutua maksumiehiksi, niiltä osin kun ovat ostopalveluita Vastaamolta hankkineet, mutta siitä huolimatta taitaa Tapiolta loppua käteinen.

Sitten tuohon koodaamisasiaan vähän.

Niiltä osin kun puhutaan pelkästään ruutupaperinkorvikkeesta, ts. tietokannasta jonka tarkoituksena on säilöä dataa, niin ei sellaisen pystyttäminen mitään kummoista osaamista tarvitse. Mysql-kanta pystyyn ja php:llä  sille käyttöliittymä.

Mutta tietoturvan ylläpito on aavistuksen hankalampaa, mutta ei sekään vielä tuossa tapauksessa mitään kvanttifysiikkaa (kvanttifysiikka on tuntemistani fysiikan osa-alueista ehkä kummallisin) ole. Palomuuraukset kuntoon, php & apache ajantasalla, linux-kerneliin grsec sopivilla säädöillä, kunnolliset salasanapolicyt tai muut vahvat autentikoitumistavat, ja niin edelleen. En tiedä  mitä Nixun työntekijät ovat löytäneet, mutta osaan jonkinverran kuvitealla kyllä.

Oikeasti kompleksissa järjestelmissä vaadittava osaaminenkin on ihan eri tasolla. Ruutupaperin korvikkeena oleminen ei ole kompleksista. Paras arvaukseni on se, että Tapio on koodannut ulkoasultaan kiiltelevän järjestelmän, mutta unohtanut sitten sen kaiken oleellisimman - tietoturvan.

[Eisernes Kreuz]

Tämä on todella hyvä pointti, miksi monet jutut ovat oletusarvoisesti ulospäin auki, kun olisi tosiaan tietoturvallisempaa pitää ne kiinni aluksi. Suurimalla osalla ihmisistä ei ole mitään hajua mitä dataa heistä löytyy tuosta vaan.

Esimerkiksi tuo auton rekisterinumero-tiedot, jolla yhdellä haulla saa ajoneuvon omistajan ja haltijan henkilöllisyyden ja osoitteen selville tuosta vaan.
Ei vaadi suurtakaan kekseliäisyyttä balttialaiselta tai jopa kotimaiselta  varasliigalta käydä ajelemassa Helsinki-Vantaa lentokentän lentoparkeissa ja tsekata kalliimpien autojen omistajien tiedot ja sitten vaan rauhassa kodintyhjennys keikalle....

Lienee niitä impiwaaralaisen luottamusyhteiskunnan jäänteitä.

Nykyajan avointen rajojen ja vapaan liikkuvuuden Euroopassa luottamusyhteiskunta ei voi enää toimia.

[foobar]

Muuten, jossakin mainittiin että korvaus voisi olla 300 - 1800 euroa per loukattu yksityisyys.

Lehtitietojen perusteella loukattuja yksityisyyksiä on jopa 40000 kappaletta. 1800 * 40000 = 72000000. Oys ja Tays (eli veronmaksajat) saattavat joutua maksumiehiksi, niiltä osin kun ovat ostopalveluita Vastaamolta hankkineet, mutta siitä huolimatta taitaa Tapiolta loppua käteinen.

Sitten tuohon koodaamisasiaan vähän.

Niiltä osin kun puhutaan pelkästään ruutupaperinkorvikkeesta, ts. tietokannasta jonka tarkoituksena on säilöä dataa, niin ei sellaisen pystyttäminen mitään kummoista osaamista tarvitse. Mysql-kanta pystyyn ja php:llä  sille käyttöliittymä.

Mutta tietoturvan ylläpito on aavistuksen hankalampaa, mutta ei sekään vielä tuossa tapauksessa mitään kvanttifysiikkaa (kvanttifysiikka on tuntemistani fysiikan osa-alueista ehkä kummallisin) ole. Palomuuraukset kuntoon, php & apache ajantasalla, linux-kerneliin grsec sopivilla säädöillä, kunnolliset salasanapolicyt tai muut vahvat autentikoitumistavat, ja niin edelleen. En tiedä  mitä Nixun työntekijät ovat löytäneet, mutta osaan jonkinverran kuvitealla kyllä.

Oikeasti kompleksissa järjestelmissä vaadittava osaaminenkin on ihan eri tasolla. Ruutupaperin korvikkeena oleminen ei ole kompleksista. Paras arvaukseni on se, että Tapio on koodannut ulkoasultaan kiiltelevän järjestelmän, mutta unohtanut sitten sen kaiken oleellisimman - tietoturvan.

Jos ratkaisuna on ollut PHP (vieläpä niin vanha versio että sen tietoturvapäivitystuki on loppunut, ainakin yksi kaveri spekuloi näin), on kyllä helpompaa ampua itseään jalkaan kuin olla ampumatta, jopa noin yksinkertaisessa tilanteessa. Toki tässä tapauksessa ilmeisesti se aidan matalin kohta on löytynyt muualta, ei ole edes tarvinnut yrittää hankalampia asioita.

[Skeptikko]

Mutta tietoturvan ylläpito on aavistuksen hankalampaa, mutta ei sekään vielä tuossa tapauksessa mitään kvanttifysiikkaa (kvanttifysiikka on tuntemistani fysiikan osa-alueista ehkä kummallisin) ole. Palomuuraukset kuntoon, php & apache ajantasalla, linux-kerneliin grsec sopivilla säädöillä, kunnolliset salasanapolicyt tai muut vahvat autentikoitumistavat, ja niin edelleen.

Näin arkaluontoisella datalla olisi tämän lisäksi varmaan ainakin näin jälkiviisaudella ollut järkevä olla kryptattuna. Ja vielä mielellään niin, että ainakin jokaisen asiakkaan käyntikertomukset vielä eri avaimella kryptattuna ja mietittynä huolella avaintenhallinta ja muu toteutus. Kryptaus on hyvin helppoa toteuttaa tavalla, joka kuulostaa hyvältä, mutta jää helposti usein vain turvallisuusteatterin tasolle, että voi sanoa, että se data on vaikkapa kryptattu, mutta tosiasiassa toteutus on sellainen, että monia hyökkäystapoja vastaan ei ole saatu kovin hyvää suojaa (esimerkiksi pistämällä Oraclessa Transparent Data Encryptionin päälle, voi se olla niin läpinäkyvä hyökkääjällekin, että hän saa datat aivan yhtä hyvin kuin ilman kryptaustakin, jos vain saa yhteyden tietokantaan - ja yhteyden tietokantaan taas voi saada salasanoja tuntemattakin, jos vain ensiksi pääsee tietokantakoneelle sisään jne).

Ja hyvin toteutettu kryptaus on usein vaikeaa saada toteutettua oikein, etenkin jos ei käytetä hyvin paljon jo hyväksi havaittuja ohjelmia, kirjastoja, käytäntöjä, protokollia jne. Jopa kryptologian ammattilaisten kehittelemistä ja jopa standardoiduista protokollista yms on usein myöhemmissä analyyseissä paljastunut vakavia ongelmia. Ja esimerkiksi monien algoritmien turvallinen käyttö edellyttää tietoa tunnetuista hyökkäystavoista ja heikkouksista ja kuinka näitä voi välttää. Siksi varsin tyypillisesti on syytä käyttää joidenkin alan ammattilaisten kehittämiä toteutuksia pohjana, joilla on edes kohtuullisen turvallisena pidetty maine.

Ja vaikka näissäkään ei olisi mokattu, niin turvallisuus on usein silti jonkinlaisen perusluottamuksen, hyväntahtoisuuden yms varassa - eli käytännössä oletetaan hylkkääjän olevan niin kiltti, ettei hyökkää tavalla, jota vastaan ei ole suojauduttu kunnolla. Esimerkiksi hyvin monessa paikassa turvallisuus murtuisi pahasti vaikkapa sillä, että hyökkääjä pestautuu siivoojaksi hyökkäyskohteeseen ja sitten kenenkään huomaamatta iskee vaikkapa keyloggerin kiinni ja sillä tavalla saa urkittua salasanoja yms (ja jos kone on sammutettuna, niin voi samalla kopioida vaikka koko kovalevyn sisällön ja vaikka kovalevy olisi kryptattukin, niin se saattaisi hyvinkin olla avattavissa keyloggerin keräämilla näppäimenpainalluksilla)... Ja monessa paikassa myös fyysinen turvallisuus on järjestetty sellaisilla rfid-korteilla, jotka on hyvin helppoa kopioida kenen tahansa (usein on luotettu vain siihen, ettei nollalohkoa/UID:ta pääsisi kloonikortissa kirjoittamaan, mutta Kiinasta saa noin eurolla kortteja, joissa tällaista turvallisuusteatteria edustavaa rajoitusta ei ole ja muutamalla kympillä saa myös automaattisen kopiointilaitteen). Lisäksi monia lukkoja tai ovia ainakin maailmalla on helppoa avata tiirikoimalla tai muilla fyysisillä tempuilla.

[turjake]

Ei tossa mitään uhreja ajatella vaan haluavat takaisin ne rahat jotka maksoivat firmasta,tuskin tapioilla olisi ollut varaa maksaa mitään korvauksia jos eivät olisi myyneet sitä firmaa?.Toi 10miljoonaa on kauppasumma minkä ne makso tosta firmasta ja nyt ne haluaa perua kaupan yms.Nythän noi olisi joutuneet maksamaan niitä korvauksia asiasta johon ne eivät ole voineet mitenkään vaikuttaa?.Nyt jonkun pitäisi hakea ton 10miljoonan lisäksi vielä toinen hukkaamiskielto noita korvauksia varten.

Duoda duoda. Vastaamo on oikeushenkilö, ja Oy muodossa. Kyllä se korvausvastuu taitaa firmaan jäädä? Ja kykeneekö se mitään korvaamaan,  kun valtiokin on suunnittelemassa tukevas yhteisosakkoa.

Firma oli jo nyt tappiollinen. Loputkin asiakkaat nostavat kytkintä, valtio iskee tukevan yhteisösakon ja korvausvaatimuksia sataa. Se taitaa olla konkurssi edessä ja tyhjästä on paha nyhjäistä.

Mitä tästä opimme. Kun kiristäjä saa tietoja haltuunsa, on vain maksettava ja pidettävä turpa kiinni. Jos tapaus pääsee julkisuuteen, asiakkaiden luottamus loppuu ja he katoavat, työntekijät nostavat kytkintä, johdossa tehdään puhdistuksia, osakkaiden omistusten arvo putoaa ja lopulta edessä on konkurssi. Poispotkituille johtajille uuden työn löytäminen voi myös osoittautua hankalaksi. Tälläistä tilannekuvaa vasten katsoen ei liene ihme ettei TJ puhunut tietomurrosta puoleentoista vuoteen mitään, ja on varsin todennäköistä että seuraava tietovuodolla kiristäjä saa miljoonansa eikä kukaan perään huutele. Kiristäjän kiinnijääminen voisi olla firmalle jopa vahingollisempaa kuin rahan menetys. Itseäni rehellisenä ihmisenä vituttaa tälläinen mutta minkäs teet, näin se toimii.

Poistettu lainauspyramidi.

[Skeptikko]

Mitä tästä opimme. Kun kiristäjä saa tietoja haltuunsa, on vain maksettava ja pidettävä turpa kiinni. Jos tapaus pääsee julkisuuteen, asiakkaiden luottamus loppuu ja he katoavat, työntekijät nostavat kytkintä, johdossa tehdään puhdistuksia, osakkaiden omistusten arvo putoaa ja lopulta edessä on konkurssi.

Vähän samahan on näissä mahtipontisissa julistuksissa, että terroristien kanssahan ei neuvotella. Oikeastihan tietenkin kun terroristeilla on turhan paljon valtaa, niin näiden kanssa aivan varmasti neuvotellaan vähintäänkin salassa. Esimerkiksi jos terroristit esittäisivät uskottavan uhkauksen räjäyttää megatonnien ydinpommin Washingon DC:ssä tai korkealle pilvenpiirtäjään sijoitetusta ydinpommista New Yorkissa - ja vieläpä niin nopealla aikataululla, ettei väestöä olisi aikaa evakuoida, niin aivan varmasti neuvoteltaisiin ja jonkinasteisiin myönnytyksiinkin suostuttaisiin mitä luultavimmin. Samahan on nähtävissä Afganistanissa, kun Taleban osoittautui liian pitkäaikaiseksi ja kalliiksi piikiksi lihassa, niin lopulta sen kanssa sitten kuitenkin neuvotellaan.

Mites firman kirjanpitoon muuten pitää merkitä lunnaat kiristäjälle?.

Miten olisi vaikkapa junailla se bonuksen nimellä hallituksen puheenjohtajalle tms hyvin tehdystä työstä - ja sitten tämä bonuksen saanut taho hoitelee edelleen yksityisesti rahat edelleen kiristäjälle?

[Melbac]

Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.

Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.

IT-tekniikan harppauksen aikana 90-2000-luvuilla monissa vaiheissa opetus oli usein vanhentunutta ja "tuli perässä", kun kentällä kohdattiin sitä uusinta todellisuutta.

Moni tuttu käpistelijä jätti opinnot ja siirtyi kokopäiväiseen työelämään projektien kimppuun. Opinnoista kun ei oikeasti ollut hirveästi hyötyä jossain vaiheessa, vaan ihan työssä oppimisesta.

Eipä yhteen aikaan ollut mitään kunnon koulutusta tietotekniikkalalle eikä varsinkaan ohjelmointiin,sitten tuli jotain mutta yliopistoon kun tyhmät amikset ei kuitenkaan osaa englantia eikä varsinkaan koodata.

[P]

Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.

Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.

IT-tekniikan harppauksen aikana 90-2000-luvuilla monissa vaiheissa opetus oli usein vanhentunutta ja "tuli perässä", kun kentällä kohdattiin sitä uusinta todellisuutta.

Moni tuttu käpistelijä jätti opinnot ja siirtyi kokopäiväiseen työelämään projektien kimppuun. Opinnoista kun ei oikeasti ollut hirveästi hyötyä jossain vaiheessa, vaan ihan työssä oppimisesta.

Eipä yhteen aikaan ollut mitään kunnon koulutusta tietotekniikkalalle eikä varsinkaan ohjelmointiin,sitten tuli jotain mutta yliopistoon kun tyhmät amikset ei kuitenkaan osaa englantia eikä varsinkaan koodata.

Tuttava on tietokanta-alalla, tai siis ollut lie +20-25 vuotta. Oli yliopistossa opiskelemassa, mutta huomasi, että opetus laahasi siellä jäljessä, kun oli samalla töissä alan projekteissa...

Voit arvata kumpi jäi?

Ja muutama tuttu teki vastaavat, ilman tietomurtoja, kuin tämä Vastaamon Ville. Myivät itse koodaamansa firman liiketoimintoineen isolle pörssifirmalle ja hommasivat miljoonansa. Tämä tosin lähes vuosikymmen aikaisemmin kuin tuo Ville, joka on nuorempaa sukupolvea, mutta koodailut näköjään aloittanut aikana, jolloin it-koulutus monella alalla tuli kehityksen perässä.

Ja kun lukaiset, ei tuokaan Ville ole yksin kammioissaan pelkästään koodailut, vaan ollut mukana useissa projekteissa ennen tuota omaa Vastaamoaan.

[Radio]

Mikä oli se yksi aika, jolloin ei ollut "kunnon koulutusta" tietotekniikasta. Helsingin yliopistossa 60-70 luvuilla Tietojenkäsittelyopin laitoksella sain semmoisen annoksen tietoa, jota hyödynsin vielä 2000-luvulle asti.
Ei taideta ymmärtää, että PC ei ole oikea tietokone vaan lelu, eikä koodari ole systeemisuunnittelija.
Nythän on nähty että nämä itseoppineet villet ovat helvetin suuri riski muualla kuin siellä pelejä koodaamassa.

[P]

Mikä oli se yksi aika, jolloin ei ollut "kunnon koulutusta" tietotekniikasta. Helsingin yliopistossa 60-70 luvuilla Tietojenkäsittelyopin laitoksella sain semmoisen annoksen tietoa, jota hyödynsin vielä 2000-luvulle asti.
Ei taideta ymmärtää, että PC ei ole oikea tietokone vaan lelu, eikä koodari ole systeemisuunnittelija.
Nythän on nähty että nämä itseoppineet villet ovat helvetin suuri riski muualla kuin siellä pelejä koodaamassa.

Et ollut tyhjiössä 60-70-luvulta alkaen, vaan opit töissä perusteiden päälle.

90-luvulla sellainen aika oli joillain käpistelyn aloilla. Perusopintojen jälkeen moni jäi työelämään ja on siellä yhä.

[kgb]

Mitäs jos vaikka ylläpito ja muutkin keskustelijat keskustelisivat koodaamisesta ja tietoteknisen alan opetuksesta jossain muualla? Terv. Insinööriopinnot kesken jättänyt

[Radio]

Homman tietoteknistä osaamista olen aina pitänyt hyvänä.
Myös joillain jäsenillä on näkemystä asiasta.
Uusi ketju vaikka perikseen?

[Ari-Lee]

Esille tulleiden seikkojen tuella, mm. Mikko Hyppösen julkaisemien havaintojen perusteella, olen vieläkin vakuuttunempi rikoksen tekijän olevan vain yksittäinen, erittäin vihainen ja pettynyt Suomen kansalainen. Enkä olisi yllättynyt vaan päinvastoin jos tuo henkilö itse löytyy anastamastaan tietokannasta. Nimikin minulla on mielessä. Pisteet vain yhdistyvät.

Ja näitä tietoturvattomuuksia on Suomi piukkana. Tietoturvattomuus on valtavirtaa. Siihen ei ole mitkään henkilörekisterilait pystyneet. Siihenkin on yksinkertainen selitys. Kaikki yritysten ja yhteisöjen välttämättömät ulkoistetut palvelut on hinnoiteltu ulos jo muutenkin yliraskailla yritysveroilla ja maksuilla. Sama syy kuin työvoimapula massatyöttömyydessä - Ei ole varaa, koska olemme /c auki jokavitunikinen jamppa ja lafka. Toinen syy on tietysti yritysjohdon silkka puhdas ahneus.

Ja kuitenkin ainoa keino edes yrittää välttää näin ikäviä rikoksia olisi ostaa ulkopuolisen tietoturvayhtiön palveluita. Nekään palvelut eivät estä mitään vaan minimoivat riskit.

[Bronx Zoo]

Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

[foobar]

Sain tänään kuulla tarinan jonka puitteissa olisi mahdollista että vuodetut tiedot eivät liittyisikään ulkopuoliseen murtoon vaan firman sisällä ilman johdon lupaa tapahtuneisiin rekisteritietojen käsittelyyn liittyneisiin lainvastaisiin tapahtumiin jotka olisivat johtaneet lopulta aineiston tai sen osien vuotamiseen ulkopuolisille. Minkäänlaista varmuutta narratiivin suhteen ei minulla kuitenkaan ole, mutta toisaalta miksi kiristäjien voisi myöskään olettaa kertovan totuuksia aiheen tiimoilta?

[Melbac]

Sosiaali- ja terveysministeriön vastaaja oli helpon salasanan takana – 25-vuotias it-yrittäjä tallensi uuden vastaajaviestin, valtionhallinnossa alkoi laaja selvitys
https://yle.fi/uutiset/3-11621710?origin=rss
Valtionhallinnossa selvitetään tapausta, jossa ulkopuolelta käsin on onnistuttu pääsemään käsiksi sosiaali- ja terveysministeriön puhelinvastaajaan. Tarkastuksen alla ovat myös muut valtion tietojärjestelmät.

Julkisuuteen tapaus tuli torstaina alkuillasta, kun Iltalehti(siirryt toiseen palveluun) kertoi 25-vuotiaan it-alan yrittäjän Steve Peltosen päässeen käsiksi sosiaali- ja terveysministeriön puhelinvastaajan yksinkertaisella salasanalla: 1234.

Peltonen kertoo, ettei kuunnellut vastaajaan jätettyjä viestejä. Sen sijaan hän vaihtoi vastaajaviestin, jossa kertoi kehnon salasanan ja kehotti vaihtamaan sen. Sitten hän tuli toisiin aatoksiin.

– Tajusin, etten halua antaa rikollisille mahdollisuutta ottaa salasanaa haltuunsa ja vaihdoin tilalle uuden viestin, Peltonen perustelee Ylelle.

Peltonen vaihtoi vastaajaan uuden salasanan ja kertoi seuraavassa tallenteessa puhelinnumeronsa, jotta voisi selvittää asian oikean tahon kanssa.

"Hei! Jos joku sosiaali- ja terveysministeriöstä haluaa takaisin pääsyn teidän vastausjärjestelmään, niin soittakaa numeroon...", Iltalehden kuulema vastaajaviesti alkoi.

Ylen soittaessa sosiaali- ja terveysministeriön vastaajaan kello 20 jälkeen tilalla oli uusi vastaajaviesti, jossa puhelinnumeroa ei kerrottu. Peltonen kertoo saaneensa niin paljon yhteydenottoja siihen mennessä. Ylen soittaessa uudelleen kello 22 maissa, kertoi automaattinen äänite vastaajan olevan täynnä.

Motiivina Vastaamon tietomurto
Peltonen ei itse halua kutsua vastaajaan käsiksi pääsyä murtautumiseksi. Motiivinsa hän kertoo perustuvan viime viikolla julkisuuteen tulleeseen psykoterapiakeskus Vastaamon tietomurtoon, jossa jopa tuhansien terapiakeskuksen asiakkaiden arkaluontoiset yksityisasiat ja henkilötiedot vaarantuivat ja päätyivät kiristyksen välineeksi.

– Kävin läpi muitakin julkisia palveluita ja yksityisiä palveluntarjoajia, mutta niissä turvallisuus oli hoidettu todella hyvin. Ei ollut mitään mahdollisuutta päästä läpi.

Sosiaali- ja terveysministeriön valmiuspäällikkö Pekka Tulokas vahvistaa Iltalehden uutisen paikkaansapitävyyden, muttei ota tarkemmin kantaa yksityiskohtiin, kuten puhelinvastaajan salasanaan.

Hän on ollut illalla myös yhteydessä Peltoseen. Sitä, koituuko tapauksesta Peltoselle seuraamuksia, on Tulokkaan mukaan vielä liian varhaista arvioida.

Peltonen sanoo olevansa myös valmis mahdollisiin seuraamuksiin.

– Jos tästä tulee seuraamuksia minulle, niin tulkoon. Minun mielestäni tämä todistaa ennemminkin sen, että meidän pitäisi laittaa rahaa ja resursseja tietoturvan suojaamiseen.

– On kamalaa, että Vastaamon kaltainen tapahtuma voi olla edes mahdollista.

"Täyttää tietomurron tunnusmerkistön"
Sosiaali- ja terveysministeriön vastaajaviestin ohella vaihtui valtioneuvoston puhelinkeskuksen vaihteessa virka-ajan ulkopuolella palveleva nauhoite.

Tapahtumien kulkua selvittävät tahoillaan valtioneuvoston kanslia, sosiaali- ja terveysministeriö sekä Valtion tieto- ja viestintätekniikkakeskus Valtori.

– Tunnusmerkistö täyttää tietomurron ja tietojärjestelmän tai -liikenteen häirinnän tunnusmerkit ja meidän on tutkittava tapausta tarkemmin. Kyseinen tekijä tai tekijätaho on murtautunut valtionhallinnon järjestelmään ja sen vaikutukset ovat nyt tarkastelussa, sanoo valtioneuvoston turvallisuusjohtaja Ahti Kurvinen.

Kurvinen ei ota kantaa siihen, oliko tekijä Peltonen vai jokin muu taho. Vielä on Kurvisen mukaan myöskin liian aikaista kertoa, onko tietojärjestelmiin yrittänyt murtautua useampia eri tahoja illan aikana.

– Keskeistä on nyt se, että murretut tunnukset ja ne korvanneet uudet tunnukset suljetaan, sekä oikean nauhoitteen palauttaminen. Sen jälkeen on syytä varmistaa, ettei tapahtuneella ole ollut vaikutuksia valtion muihin järjestelmiin.

– Tämän hetken tiedoilla emme voi tietää tarkasti, mitä on tapahtunut. Julkisuudessa esillä on ollut tähän mennessä yksi tarina, Kurvinen sanoo.

Valtori selvittää Kurvisen mukaan käytössä olleita salasanoja ja yksityiskohtia. Tapahtuneesta on ilmoitettu myös keskusrikospoliisille, mutta rikosilmoitusta ei ole ainakan toistaiseksi tehty.

Kurvinen huomauttaa että tapahtumien selvittely on vasta alussa.

– Lähitunteina saadaan varmasti jo tietää enemmän.

Kuinka tyhmiä äijät oikein on?.Ei tollaista kannata mennä tekemään vaan on hiljaa tosta salasanasta ja pistää viesti että vaihtakaa se eikä mennä muuttamaan sitä eikä todellakaan mennä omalla nimellä ottamaan yhteyttä lehtiin ja/tai ilmoita vielä että mikä ns "default" salasana siellä on.Ilmeisesti nämä luulee että toi että ilmoitti tollaisesta on joku "vapauta vankilasta" kortti?.Tosta käsittääkseni tulee syyte(on pakko nostaa koska muuten tekee syyttäjä itse virkarikoksen tms?).

/edit
Tämä ei nyt liity suoraan tohon mutta sivuaa asiaa.

[Rasvari]

Kuinka tyhmiä äijät oikein on?.Ei tollaista kannata mennä tekemään vaan on hiljaa tosta salasanasta ja pistää viesti että vaihtakaa se eikä mennä muuttamaan sitä eikä todellakaan mennä omalla nimellä ottamaan yhteyttä lehtiin ja/tai ilmoita vielä että mikä ns "default" salasana siellä on.Ilmeisesti nämä luulee että toi että ilmoitti tollaisesta on joku "vapauta vankilasta" kortti?.Tosta käsittääkseni tulee syyte(on pakko nostaa koska muuten tekee syyttäjä itse virkarikoksen tms?).

En tiedä onko kyse tyhmyydestä. Kaveri totesi itsekin ettei välitä seuraamuksista ja halusi nostaa asian esiin.

Pelkkä tekninenkin tietoturva on haastavaa saada
100% pitäväksi ilman ihmillisiä kämmäilyitä. Virheitä voi jäädä järjestelmiin toimenpiteiden yhteisvaikutuksesta vaikka asioihin kiinitettäisiin huomiota. Erityisen hankalaa se on paikoissa jossa on iso ja repaleinen organisaatio ja kaikki tekeminen perustuu vastuiden siirtelyyn ja niillä uhkailuun.

Etiikka kyllä edellyttää ilmoittamaan haavoittuvuudesta järjestelmän omistajalle ja jos vastetta ei kuulu haavoittuvuus yleensä julkaistaan ilman yksityiskohtaisia hyödyntämisohjeita varoituksena muille käyttäjille.

[Melbac]

Kuinka tyhmiä äijät oikein on?.Ei tollaista kannata mennä tekemään vaan on hiljaa tosta salasanasta ja pistää viesti että vaihtakaa se eikä mennä muuttamaan sitä eikä todellakaan mennä omalla nimellä ottamaan yhteyttä lehtiin ja/tai ilmoita vielä että mikä ns "default" salasana siellä on.Ilmeisesti nämä luulee että toi että ilmoitti tollaisesta on joku "vapauta vankilasta" kortti?.Tosta käsittääkseni tulee syyte(on pakko nostaa koska muuten tekee syyttäjä itse virkarikoksen tms?).

En tiedä onko kyse tyhmyydestä. Kaveri totesi itsekin ettei välitä seuraamuksista ja halusi nostaa asian esiin.

Pelkkä tekninenkin tietoturva on haastavaa saada
100% pitäväksi ilman ihmillisiä kämmäilyitä. Virheitä voi jäädä järjestelmiin toimenpiteiden yhteisvaikutuksesta vaikka asioihin kiinitettäisiin huomiota. Erityisen hankalaa se on paikoissa jossa on iso ja repaleinen organisaatio ja kaikki tekeminen perustuu vastuiden siirtelyyn ja niillä uhkailuun.

Etiikka kyllä edellyttää ilmoittamaan haavoittuvuudesta järjestelmän omistajalle ja jos vastetta ei kuulu haavoittuvuus yleensä julkaistaan ilman yksityiskohtaisia hyödyntämisohjeita varoituksena muille käyttäjille.

No jokainen taplaa tyylillään mutta ei tollaiseen törmätä ellei tieten tahtoen yritä "murtautua" johonkin tietojärjestelmään.Itse olisin jättänyt tekemättä enkä olisi todellakaan yrittänyt edes noihin.Ennen muinoin noihin yritettiin sen nopean netin ja levytilan takia eikä yleensä se mitä siellä oli kiinnostanut porukkaa tippaakaan.Toi tyyppi on vähän kuin tyyppi joka kävelee naapurustossa ja kokeilee jokaista ovea jollain avaimeilla ja jos ovi on auki tai sen saa auki sillä avaimella niin se "hyvää hyvyyttään" kertoo siitä.Jos testataan jotain haavoittuvuutta niin silloin yritetään jotain ihan muuta.

[ikuturso]

Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

Niin, että tietomurtojako ei ole tapahtunut vaan varmuuskopion sisältänyt tietokone/kovalevy varastettu?

Vai mihin viittaat? Tällaisesta en ole kuullutkaan.

Sinänsä kuitenkin mielenkiintoista, että tämä Nixu oyj olisi kuitenkin todennut ulkopuolisen tietomurron tapahtuneen? Onko tietomurto hämäystä taholta, jolla oli jo kovalevy taskussa?

-i-

[justustr]

Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

Psykoterapiakeskuksen tärkein tehtävä on tietosuoja ja nyt näyttää siltä että ex-omistaja on tehnyt miljoonatilin tinkimällä juurikin firman ydintehtävästä. Keskuksella ei ole muuta tehtävää kuin pitää tietoja salassa (terapeuttien koordinointi on toisarvoinen tehtävä tuohon verrattuna) joten voidaan myös todeta, että asiakkaat ovat maksaneet palvelusta, jota he eivät ole saaneet. Kyseessä on siis myös petos.

Mikäli pitää paikkaansa että TJ on tiennyt tietovuodosta jo 2018 ja salannut sen, niin mitään selityksiä ei enää kaivata. Kovin mahdollinen rangaistus on ansaittu aina henkilökohtaisesta vararikosta lähtien. Toivottavasti joukkokanne saadaan mahdollisimman nopeasti pystyyn.

[foobar]

Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

Niin, että tietomurtojako ei ole tapahtunut vaan varmuuskopion sisältänyt tietokone/kovalevy varastettu?

Vai mihin viittaat? Tällaisesta en ole kuullutkaan.

Sinänsä kuitenkin mielenkiintoista, että tämä Nixu oyj olisi kuitenkin todennut ulkopuolisen tietomurron tapahtuneen? Onko tietomurto hämäystä taholta, jolla oli jo kovalevy taskussa?

-i-

Sekään että ulkopuolinen tietomurto olisi tapahtunut ei tarkoita suoraan sitä että nyt levitetty aineisto olisi välttämättä tällaisesta murrosta peräisin.

[ikuturso]

Sekään että ulkopuolinen tietomurto olisi tapahtunut ei tarkoita suoraan sitä että nyt levitetty aineisto olisi välttämättä tällaisesta murrosta peräisin.

No sehän nyt kruunaisi kaiken, että firmaan olisi murtauduttu pari kertaa netin kautta ja henkilökunta kantaisi lisäksi backup-levyjä toisesta ovesta pihalle.

Kuulostaa loistavalta.

-i-

[Nanfung]

No sehän nyt kruunaisi kaiken, että firmaan olisi murtauduttu pari kertaa netin kautta ja henkilökunta kantaisi lisäksi backup-levyjä toisesta ovesta pihalle.
Kuulostaa loistavalta.

Nettitietojen mukaan tietomurto tuli ilmi syyskuun lopussa? Toisaalta allekirjoittanut sai 1000 bitcoinin kiristyskirjeen jo 3.8.2020!
Mielelläni maksaisin 1000 bitcoinia, jos kirjeessä mainittu video allekirjoittanneesta julkaistaisiin kaikelle kansalle. Sillä näin ainutlaatuista pääsyä julkisuuteen ei varmaan enää tule?

[Murkula]

No sehän nyt kruunaisi kaiken, että firmaan olisi murtauduttu pari kertaa netin kautta ja henkilökunta kantaisi lisäksi backup-levyjä toisesta ovesta pihalle.

Kuulostaa loistavalta.

-i-

Ehkä monien firmojen tyyli jättää varmuuskopiot kylmästi tekemättä on sittenkin viisasta. Ajatella

[Tabula Rasa]

No sehän nyt kruunaisi kaiken, että firmaan olisi murtauduttu pari kertaa netin kautta ja henkilökunta kantaisi lisäksi backup-levyjä toisesta ovesta pihalle.
Kuulostaa loistavalta.

Nettitietojen mukaan tietomurto tuli ilmi syyskuun lopussa? Toisaalta allekirjoittanut sai 1000 bitcoinin kiristyskirjeen jo 3.8.2020!
Mielelläni maksaisin 1000 bitcoinia, jos kirjeessä mainittu video allekirjoittanneesta julkaistaisiin kaikelle kansalle. Sillä näin ainutlaatuista pääsyä julkisuuteen ei varmaan enää tule?

1000 btc? Eli kun 40 = 450 000 = 1000btc 11,25 miljoonaa euroa. Ei sulla ainakaan pikkurahasta jää kiinni.

[starsailor]

Lisää tietoja on julkaistu. Nyt tulee rumaa jälkeä. Tiedot kohdistuvat pimeän verkon vihollisiksi katsomiin henkilöihin. Joku kirjoitti, että aikoo julkaista satojen ihmisten terapiatiedot ripoitellen.

[haermae]

Lisää tietoja on julkaistu. Nyt tulee rumaa jälkeä. Tiedot kohdistuvat pimeän verkon vihollisiksi katsomiin henkilöihin. Joku kirjoitti, että aikoo julkaista satojen ihmisten terapiatiedot ripoitellen.

Eei välttämättä.

Wordi-dokujen tmv. editoiminen ei ei kummoisia hakkeri-taitoja vaadi. Esim. henkilön X paranoia-terapiatietojen liittämiseksi henkilöön Jukka Julkinen, joka oikeasti on käynyt terapiassa työuupumuksen takia. Dokupohjan kerran nähtyään voi kuka tahansa luoda mallin mukaan ihan ikiomia "terapiatietoja" haluamistaan henkilöistä.

Jos siis lähipäivinä julkaistaan jonkun vaikkapa Rauli Viinistön "terapiatiedot", sisältäen vaikkapa erinäisiä kansanryhmiin liittyviä väkivalta-fantasioita, nuo tiedot eivät välttämättä ole paikkansa pitäviä.

Ei ole yleisessä tiedossa kuka ylipäätään on käynyt Vastaamolla terapiassa, tai mistä syystä hän on siellä käynyt -- jos on käynyt. Kiristäjä (tai kuka tahansa random-anonyymi) voi levitellä mitä tahansa "potilasasiakirjoja", eikä niitä kukaan (paitsi asianosainen itse) voi julkisesti todeta paikkansapitäviksi. Häkki nimittäin heilahtaisi silloin.

Miksi ihmeessä kenenkään pitäis ottaa todesta jonkun random-nettinyymin julkaisemat "terapiatiedot"?

Kaikki julkaistut tiedot voi kuitata yhdellä sanalla: Paskapuhetta.

[starsailor]

Lisää tietoja on julkaistu. Nyt tulee rumaa jälkeä. Tiedot kohdistuvat pimeän verkon vihollisiksi katsomiin henkilöihin. Joku kirjoitti, että aikoo julkaista satojen ihmisten terapiatiedot ripoitellen.

Eei välttämättä.

Miksi ihmeessä kenenkään pitäis ottaa todesta jonkun random-nettinyymin julkaisemat "terapiatiedot"?

Kaikki julkaistut tiedot voi kuitata yhdellä sanalla: Paskapuhetta.

Sanotaan, että jonkun kaveri käy katsomassa hänen tuntemansa henkilön terapiatietoja ja sitten huomaa, että hetkinen minähän olen näissä mukana ja mitä henkilö minusta on sanonut, ei ole kovin mukavaa. Silloin voi olla aika varma, että tiedot ovat oikeita, koska joku fantasiakirjailija tuskin voisi luoda oikeita tapahtumia. Minulla ei siis ole tietoa, että onko tiedot totta vai ei, mutta lähden siltä linjalta, että ne ovat totta. Ja siksi sanoin, että nyt näyttää pahalta näiden henkilöiden osalta.

Sanottakoon vielä kerran, että minulla on sympatiat näitä uhreja kohtaan, olivatpa he mitä tahansa. Minä en levitä tai omaa mitään tietoja kenestäkään.

[Nanfung]

No sehän nyt kruunaisi kaiken, että firmaan olisi murtauduttu pari kertaa netin kautta ja henkilökunta kantaisi lisäksi backup-levyjä toisesta ovesta pihalle.
Kuulostaa loistavalta.

Nettitietojen mukaan tietomurto tuli ilmi syyskuun lopussa? Toisaalta allekirjoittanut sai 1000 bitcoinin kiristyskirjeen jo 3.8.2020!
Mielelläni maksaisin 1000 bitcoinia, jos kirjeessä mainittu video allekirjoittanneesta julkaistaisiin kaikelle kansalle. Sillä näin ainutlaatuista pääsyä julkisuuteen ei varmaan enää tule?

1000 btc? Eli kun 40 = 450 000 = 1000btc 11,25 miljoonaa euroa. Ei sulla ainakaan pikkurahasta jää kiinni.

Muistin tipan verran vikaan, eli sen piti olla 1000 dollarin edestä bitcoineja. Odotan kuitenkin kiinnostavan videon julkaisua?