Tietoturvauutiset ja blogipostaukset

Joskin mitä noita kurkistelin, niin sangen hyödyllisen näköisiä tutkimuksia tuolla mukana. Joistakin opinnäytetöistä toki paha sanoa mitään.
Jaa... Esim viime vuoden osalta on varsin monasti Success Clinic oy.

Success Clinic Oy on perustettu vuonna 1994. Se on osakeyhtiö, jonka kotipaikka on Helsinki, ja pääasiallinen toimiala Markkinatutkimus. Yhtiön toimitusjohtaja on Mika Kristian Teikari.

Yhtiön toinen toimiala on konsultointipalvelut.
En ainakaan omia tietojani haluaisi luovutettavan toimijalle joka käyttää niitä tavalla x ja myy lopputulosta ulos. Ja toistakymmentä lupaa syyllä tilastointi. Omaan nenään haisee aika oudolta. Kuka ja miten tällaisia toimijoita edes valvoo? Saati maailmalla? Ei mitenkään?
 
Eikös se vasta uutisoitu että jossain toisessakin yhteydessä juuri konsultit olivat potilastietoja katselleet luvatta/ilman pätevää syytä.
 
Jaa... Esim viime vuoden osalta on varsin monasti Success Clinic oy.


En ainakaan omia tietojani haluaisi luovutettavan toimijalle joka käyttää niitä tavalla x ja myy lopputulosta ulos. Ja toistakymmentä lupaa syyllä tilastointi. Omaan nenään haisee aika oudolta. Kuka ja miten tällaisia toimijoita edes valvoo? Saati maailmalla? Ei mitenkään?

Niin, mukana oli myös vähemmän hyödyllisen näköistä tavaraa. Rajaisin kyllä markkinointia pääasiallisesti edistävät 'tutkimukset' pois, vaikkapa juuri tarkentamalla vaatimuksia datan käyttökohteelle tutkimuskäytössä. Tosin tuolla olikin juuri eroteltu tietoluvat ja tietopyynnöt ja niissä erilaiset vaatimukset ja detailitaso.

Noi Success Clinicin hakemukset oli noita tietopyyntöjä[*][**], jotka palauttaa anonymisoitua dataa. "Lihavuuslääkkeiden käyttö Suomessa", "ADHD lääkityksien käyttö", ja alta voidaan todeta, että ei, sieltä ei saa postinumeron perusteella yksilöityä dataa ulos (Dataa sekä karkeistetaan että arvoja poistetaan, jos karkeistamisella ei saada anonyymiä tulosta).

Nopeasti tuota success clinicciä kurkistaen, tuosta tuskin on muodostunut haittaa, mutta kyllä tuo vähän tiedon väärinkäytöltä näyttää. (e. En ole vakuuttunut mietittyäni asiaa, että onko tuo edes suoranaista väärinkäyttöä. Toki lääkkeiden markkinointi kulostaa vähän pahalta, mutta jos se nyt perustuu siihen, että tiedetään, anonyymisti, paljonko lääkkeiden tarvitsijoita/käyttäjiä Suomessa on, niin noh...)

[*] tuolla on TL;DR; versio ja pidempi selostus tuosta datan anonymiteetistä. Tässä TL;DR, Alla täydellisempi.

Tuotamme tällä hetkellä joko aggregoitua taulukkomuotoista tilastotietoa tai perustunnuslukuja. Nämä tiedot poimitaan pyynnön mukaisesti yksilötasolla rekisterinpitäjiltä, jonka jälkeen muodostamme niistä anonyymin aineiston.


[**] Rehellisesti sanottuna kuulostaa siltä, että on taas luettu uutisia puolella silmällä ja hypätty junaan mukaan riehumaan:


Anonymisointi toteutetaan niin, että yksittäistä henkilöä ei voida suoraan tai välillisesti tunnistaa tietojen perusteella eikä yhdistää yksittäistä henkilöä koskevia tietoja muuhun tietoon.

Anonymisoinnin toteuttamisessa taulukkomuotoisen tilastotiedon kohdalla käytetään tietojen karkeistamista aina, kun se on mahdollista tuloksen käyttötarkoitus huomioon ottaen.

Solujen peittämistä eli arvojen poistamista sovelletaan, jos karkeistamisella ei saada tuotettua anonyymiä tulosta.
Peittämisessä käytetään sekä herkkien, paljastumisriskissä olevien solujen ensisijaista peittämistä että täydentävää peittämistä. Täydentävällä peittämisellä estetään herkkien arvojen päättely mahdollisten marginaalisummien kautta.

Anonymisointia toteuttaessa tarkastetaan tiedot myös ryhmän paljastumisen osalta sellaisissa tilanteissa, joissa kaikki tietyn ryhmän henkilöt saavat saman (arkaluontoisen) muuttujanarvon.

Anonymisoinnin toteutus perustuu tapauskohtaiseen harkintaan ja paljastumisriskin arviointiin. Peittäminen voidaan tehdä esimerkiksi käyttämällä herkkyyssääntönä kynnysarvoa viisi. Silloin aggregoidun tiedon tulee olla laskettu vähintään viiden henkilön tietojen perusteella. Tämä pätee sekä taulukkomuotoisen tilastotiedon että perustunnuslukujen kohdalla.
 
Joskin mitä noita kurkistelin, niin sangen hyödyllisen näköisiä tutkimuksia tuolla mukana. Joistakin opinnäytetöistä toki paha sanoa mitään.

Joo ja varsinkin kun ensin mediassa nyt poliitikot väittävät että tämä on hyvä keino henkien pelastamiseksi ja ensimmäisten myönnettyjen lupien joukossa on seuraava:
08.05.2024 Lääkärikeskus Mehiläinen Vertaileva analyysi eturistisiteen repeämistä ja uusinta-repeämistä: painopisteenä tärkeimmät riskitekijät – ikä ja sukupuoli


Myönnetty: 08.05.2024
Voimassa: 31.12.2026
Käyttötarkoitus: Tieteellinen tutkimus
Tutkimuksemme tarkoitus on verrata ACL repeämiä eri sukupuolten välillä sekä mahdollisia uusintarepeämien syitä korkean uusintarepeämäriskin potilailla (naissukupuoli ja ikä). Jotta saamme laajalti tarkasteltua hypoteesiamme (sukupuolten ja grafti-valintojen välillä on eroja ACL vammoissa), kokoamme retrospektiivisen otoksen Töölön Mehiläisessä leikatuista potilaista.

Onhan se kuolemanvaarassa kun eturistiside vähä venähtää. Voi jeesus mitä touhua. Jollain tapaa saattaisin ymmärtää tämän touhun jos kyseessä olis vaikka 10 vuotta sitten kuolleiden ihmisten terveystietoja ja tälläisiä oikeasti tarpeellisia tutkimuksia kuten syöpään liittyvien terveystietoja jaettaisiin ja myönnettäisiin lupia mutta nyt kaikkia flunssan tai eturistisiteen venähdystenkin terveystiedot jaellaan ties minne ympäri maailmaa. Kaikille jotka niitä ymmärtää vain kysyä. Onko meidän jollain viranomaisilla pääsy USA tai Ruotsin terveystietoihin? Ei varmasti.

Edit : Lainattu Ylen uutisesta lause "Sosiaaliturvaministeri Grahn-Laasonen korostaa, että terveysdatan tutkimuskäyttö on elintärkeää hoitojen kehittämiseksi ja ihmishenkien pelastamiseksi." Mitenkähän eturistisidevammat oikeasti liittyy tähän ihmishenkien pelastamiseksi, vaikka kyse olikin kyllä Töölön Mehiläisessä leikatuista potilaista...Eturistisiteitä on "muutama" korjattu menneinä vuosikymmeninä niin aika rutiinia pitäis olla nykylääketieteellä nuo hommat. En oikein mistään suunnasta ymmärrä polvivamman liittymistä edes tähän "elintärkeä hoitojen kehittämiseksi" kohtaan saati sitten ihmishenkien pelastamiseksi.
 
Viimeksi muokattu:
Jotain tälle hommalle pitäisi tehdä. En vain tiedä mitä. Ja olenko enää edes halukas mitään yrittämään.. minulla kun meni viimeistään nyt usko suomen valtioon kun tuossa muutama kuukausi sitten sain vihdoin päätöksen eduskunnan oikeusasiamieheltä, kanteluuni tietosuojavaltuutetun toimistosta joka ei ole käsitellyt asiaani lähes 4 vuoteen. Eduskunnan oikeusasiamies toteaa, että lakia on rikottu mutta ainoa toimenpide on huomautuksen antaminen tietosuojavaltuutetun toimistolle. Turha on näköjään mihinkään valittaa kun kukaan ei tee mitään, tai ei ole resursseja tehdä. Ja jos niistä valittaa ylemmälle taholle lain rikkomisesta, niin siitäkään ei käytännössä seuraa mitään. Masentaa tämä maailma.
 
Joo ja varsinkin kun ensin mediassa nyt poliitikot väittävät että tämä on hyvä keino henkien pelastamiseksi ja ensimmäisten myönnettyjen lupien joukossa on seuraava:

Onhan se kuolemanvaarassa kun eturistiside vähä venähtää. Voi jeesus mitä touhua. Jollain tapaa saattaisin ymmärtää tämän touhun jos kyseessä olis vaikka 10 vuotta sitten kuolleiden ihmisten terveystietoja ja tälläisiä oikeasti tarpeellisia tutkimuksia kuten syöpään liittyvien terveystietoja jaettaisiin ja myönnettäisiin lupia mutta nyt kaikkia flunssan tai eturistisiteen venähdystenkin terveystiedot jaellaan ties minne ympäri maailmaa. Kaikille jotka niitä ymmärtää vain kysyä. Onko meidän jollain viranomaisilla pääsy USA tai Ruotsin terveystietoihin? Ei varmasti.

En ymmärrä. Löysit joukosta ACL repeämän, ja valehtelet jotin 'vähän venähtämisestä'? Joo, ehkä siinä vaan parannetaan repeämän saaneiden elämää ja topipumisennustetta, mutta eh.

Siinä samassa listassa

Pohjois-Pohjanmaan hyvinvointialue (Pohde): Synnynnäiset immuunipuutokset Suomessa: Esiintyminen, sairastavuus, geneettiset löydökset ja ennuste
HUS-yhtymä: Perinnöllistä syöpäalttiusoireyhtymää sairastavien henkilöiden sairastavuus ja syöpäalttiusoireyhtymien yleisyys
HUS-yhtymä: Perinnöllistä syöpäalttiusoireyhtymää sairastavien henkilöiden sairastavuus ja syöpäalttiusoireyhtymien yleisyys
HUS: Tehostetun ilmanpuhdistuksen merkitys lasten ja päiväkodin työntekijöiden sairastuvuuteen
Ruokavirasto: Association between the consumption of thermally processed foods and the risk of cancer

Toki en väitä, että kaikki olisivat yhtä hyödyllisiä, mutta kuten sanoin "sangen hyödyllisen näköisiä tutkimuksia tuolla mukana".
 
1.Jotain tälle hommalle pitäisi tehdä.
2. Masentaa tämä maailma.

1. Ehdottomasti olen samaa mieltä kanssasi.
2. Et ole yksin tunteidesi kanssa varmastikkaan.

3. Tälle vois avata aivan kokonaan oman keskustelun tuonne Internet, tietoturva puolelle niin sais tässä taas linkkailla muita juttuja eikä kaikki hautaudu toistensa sekaan. Voin avata sellaisen yleisen keskustelun minne tästäkin jo osan keskustelusta vois siirtää.
 
En ymmärrä. Löysit joukosta ACL repeämän, ja valehtelet jotin 'vähän venähtämisestä'? Joo, ehkä siinä vaan parannetaan repeämän saaneiden elämää ja topipumisennustetta, mutta eh.

Siinä samassa listassa

Pohjois-Pohjanmaan hyvinvointialue (Pohde): Synnynnäiset immuunipuutokset Suomessa: Esiintyminen, sairastavuus, geneettiset löydökset ja ennuste
HUS-yhtymä: Perinnöllistä syöpäalttiusoireyhtymää sairastavien henkilöiden sairastavuus ja syöpäalttiusoireyhtymien yleisyys
HUS-yhtymä: Perinnöllistä syöpäalttiusoireyhtymää sairastavien henkilöiden sairastavuus ja syöpäalttiusoireyhtymien yleisyys
HUS: Tehostetun ilmanpuhdistuksen merkitys lasten ja päiväkodin työntekijöiden sairastuvuuteen
Ruokavirasto: Association between the consumption of thermally processed foods and the risk of cancer

Toki en väitä, että kaikki olisivat yhtä hyödyllisiä, mutta kuten sanoin "sangen hyödyllisen näköisiä tutkimuksia tuolla mukana".
Nyt en ihan ymmärrä, mitäs täs tuli valehdeltelua. Tarkoitin että miksi tuollaisia tietoja jaellaan kun niillä ei ole mitään tekemistä hengen pelastamisen kanssa? Samalla yritin myös myötäillä sinua että onhan siellä myös hyödyllisiä tutkimuksia myös varmasti, mutta en näe mitenkään tarpeellisenä minkään polvivammojen takia terveystietoja jaella ympäri maailmaa.

Edit: Taisit ymmärtää lainaukseni sekä lauseeni väärin. Pahoittelut ja yritän muokata sen järkevämmäksi.
 
Viimeksi muokattu:
Nyt en ihan ymmärrä, mitäs täs tuli valehdeltelua. Tarkoitin että miksi tuollaisia tietoja jaellaan kun niillä ei ole mitään tekemistä hengen pelastamisen kanssa?

Mikä on 'tuollaisia tietoja'? Tuossa yritetään selvittää, kuten tuossa lukee, miten graftivalinnat vaikuttaa uusintarepeämiin leikkauspotilailla.

Ja "tutkimuskäyttö on elintärkeää hoitojen kehittämiseksi ja ihmishenkien pelastamiseksi" ei tarkoita, etteikö osa tutkimuskäytöstä esimerkiksi 'vain' tuota parempia leikkaustuloksia ja säästä uusintaleikkauksilta. (e2. "hoitojen kehittämiseksi")

---------

"Onhan se kuolemanvaarassa kun eturistiside vähä venähtää. "

vs.

"Tutkimuksemme tarkoitus on verrata ACL repeämiä eri sukupuolten välillä sekä mahdollisia uusintarepeämien syitä korkean uusintarepeämäriskin potilailla (naissukupuoli ja ikä). Jotta saamme laajalti tarkasteltua hypoteesiamme (sukupuolten ja grafti-valintojen välillä on eroja ACL vammoissa), kokoamme retrospektiivisen otoksen Töölön Mehiläisessä leikatuista potilaista."


e. Kuten ilmeisesti tiedät: "Polven eturistisiteen repeämä on yleinen polven nivelsidevamma. Eturistiside repeää yleensä kerralla kokonaan poikki. Osittaiset repeämät ovat harvinaisempia. Revennyt eturistiside ei parane itsestään, vaan ristisidevamma vaatii useimmiten leikkaushoitoa."
 
Mikä on 'tuollaisia tietoja'? Tuossa yritetään selvittää, kuten tuossa lukee, miten graftivalinnat vaikuttaa uusintarepeämiin leikkauspotilailla.

Ja "tutkimuskäyttö on elintärkeää hoitojen kehittämiseksi ja ihmishenkien pelastamiseksi" ei tarkoita, etteikö osa tutkimuskäytöstä esimerkiksi 'vain' tuota parempia leikkaustuloksia ja säästä uusintaleikkauksilta. (e2. "hoitojen kehittämiseksi")

---------

"Onhan se kuolemanvaarassa kun eturistiside vähä venähtää. "

vs.

"Tutkimuksemme tarkoitus on verrata ACL repeämiä eri sukupuolten välillä sekä mahdollisia uusintarepeämien syitä korkean uusintarepeämäriskin potilailla (naissukupuoli ja ikä). Jotta saamme laajalti tarkasteltua hypoteesiamme (sukupuolten ja grafti-valintojen välillä on eroja ACL vammoissa), kokoamme retrospektiivisen otoksen Töölön Mehiläisessä leikatuista potilaista."


e. Kuten ilmeisesti tiedät: "Polven eturistisiteen repeämä on yleinen polven nivelsidevamma. Eturistiside repeää yleensä kerralla kokonaan poikki. Osittaiset repeämät ovat harvinaisempia. Revennyt eturistiside ei parane itsestään, vaan ristisidevamma vaatii useimmiten leikkaushoitoa."
Nyt ymmärrän mitä tarkoitat. Suutuspäissäni erittäin vähän "käänsin" asiaa. Valehteluksi en kuitenkaan väittäis sarkastiseksi tarkoitettua lausetta. Et vain ymmärtäny viestin kokonaisuutta?
 
Nyt ymmärrän mitä tarkoitat. Suutuspäissäni erittäin vähän "käänsin" asiaa. Valehteluksi en kuitenkaan väittäis sarkastiseksi tarkoitettua lausetta. Et vain ymmärtäny viestin kokonaisuutta?

Juu, ymmärsin, että vaihdoit leikkausta vaativan hoidon venähtämiseen, tutkittaessa hypoteesia siitä, että graftit vaikuttavat leikkausen parantumisennusteeseen, ollaksesi sarkastinen.

Tarkennatko mitkä osuudet tässä on sarkasmia, ja luitko ne vaatimukset "nyt kaikkia flunssan tai eturistisiteen venähdystenkin terveystiedot jaellaan ties minne ympäri maailmaa. Kaikille jotka niitä ymmärtää vain kysyä."?

Välitän yksityisyydestäni (jonkin verran, kirjoitanhan täällä anonyymisti, ja tiedostan itseeni liittyviä asioita kirjoittaessani, että minkälainen joukko minut tunnistaa niiden perusteella), mutta rehellisesti sanottuna, minulle ei ole mitään merkitystä sillä, että vaikka mun hypoteettisen luomenpoiston data menee muun massan mukana, ja vaikka menisi se kuuluisa postinumerokin mukana.
 
mutta rehellisesti sanottuna, minulle ei ole mitään merkitystä sillä, että vaikka mun hypoteettisen luomenpoiston data menee muun massan mukana, ja vaikka menisi se kuuluisa postinumerokin mukana.
Ja sua ei vaivaa, että kaikki labratulokset, lääkeostokset, mahdolliset käynnit esim. mielenterveys- tai sukupuolitautipolilla, eikös ne kaikki mene ne tiedot, ja erittäin hyvällä todennäköisyydellä ne tiedot pystytään kohdistamaan sinuun?
 
Ja sua ei vaivaa, että kaikki labratulokset, lääkeostokset, mahdolliset käynnit esim. mielenterveys- tai sukupuolitautipolilla, eikös ne kaikki mene ne tiedot, ja erittäin hyvällä todennäköisyydellä ne tiedot pystytään kohdistamaan sinuun?
Paljonkohan joku Meta olis valmis maksamaan tälläisistä tiedoista kun saavat muutenkin laajat profiloinnit tehtyä Insta, Whatsapp & Facebookin avulla. Tai kuinka helppoa olis yhdistää tiettyihin ihmisiin jonkun Metan kaltaisen jättifirman kaikilla näilä tiedoilla?
 
Ja sua ei vaivaa, että kaikki labratulokset, lääkeostokset, kaikki menee, ja erittäin hyvällä todennäköisyydellä ne tiedot pystytään kohdistamaan sinuun?

Mikä on tämä 'kaikki menee'? Ilmeisesti nyt puhutaan tietoluvista niiden tietopyyntöjen sijaan, kun niissä on sitä tarkempaa dataa (pseudoanonymisoitu, ei anonymisoitu). Alla aiheesta lisätietoa, ei oletettavasti mitään uutta kenellekään.

Joo ei. Alla olevilla rajoitteilla minua ei haittaa, että jotain tiettyä asiaa tutkittaessa saatan olla pseudoanonymoitu tapaus rajatun datan joukossa.


Tietolupahakemuksesta tai sen liitteenä toimitettavassa
tiedonhyödyntämissuunnitelmasta on ilmettävä, mistä hankkeessa on kyse sekä
miksi haettavia tietoja tarvitaan tietolupahakemuksessa ilmoitettuun
käyttötarkoitukseen
.

Tietolupahakemuksen kohteena oleva aineisto tulee kuvata joko
tietolupahakemuksessa tai sen liitteessä niin, että kuvauksesta selviää, mihin
tietoihin hakemus kohdistuu (jäljempänä ”poimintakuvaus”). Poimintakuvaukseen
tulee sisältyä vain tarpeellinen määrä henkilötietoja yleisen tietosuoja-asetuksen
minimointiperiaatteen mukaisesti.

Tietolupahakemuksessa on perusteltava, miksi haettavia tietoja tarvitaan
tietolupahakemuksessa ilmoitettuun käyttötarkoitukseen
. Tietolupahakemusta
käsittelevän viranomaisen on voitava arvioida hakemuksessa annettujen tietojen
perusteella, ovatko haetut tiedot tarpeellisia ja tarkoituksenmukaisia
suhteessa
hakemuksessa ilmoitettuun käyttötarkoitukseen.


3.2 Tiedonhyödyntämissuunnitelma tietolupahakemuksen liitteenä

Tietolupahakemuksella tulee toimittaa tiedonhyödyntämissuunnitelman tiedot.
Viranomaisen harkinnan mukaan tiedonhyödyntämissuunnitelman tiedot voidaan
pyytää joko osana tietolupahakemusta tai erillisellä liitteellä.
Tiedonhyödyntämissuunnitelmalla hakija osoittaa, miten se huomioi ja noudattaa
yleisen tietosuoja-asetuksen ja toisiolain mukaisia velvoitteita.
Tiedonhyödyntämissuunnitelmassa tulee huomioida koko tietolupahakemuksella
haettavien tietojen käsittelyn elinkaari.

Tiedonhyödyntämissuunnitelmaan tulee sisältyä seuraavat tiedot:
• Tietolupahakemuksella haettavien tietojen toisiolain mukainen
käyttötarkoitus (ks. edellä kohta 3.1/Tietojen käyttötarkoitus).
• Kaikki tietojen käsittelemiseen osallistuvat henkilöt, ja näiden mahdollinen
työnantaja tai muu taustaorganisaatio
.

Henkilötietojen käsittelyn oikeudellinen peruste niin tietolupahakemuksen
kohteena olevan aineiston kuin siihen mahdollisesti yhdistettävien
aineistojen osalta.
Oikeudellisella perusteella tarkoitetaan jotakin yleisen
tietosuoja-asetuksen 6 artiklan 1 kohdan mukaista oikeudellista perustetta
sekä tietosuojalain 4 §:n mukaista perustetta. Erityisten henkilötietojen
osalta oikeudellinen peruste valitaan yleisen tietosuoja-asetuksen 9 artiklan
2 kohdan ja tietosuojalain 6 §:n mukaisista perusteista


Tiedonhyödyntämissuunnitelmasta tulee käydä ilmi myös millaiseen
käsittely-ympäristöön ja miten käsiteltynä aineistoa haetaan.

Bonus: Lisäksi noita käsitellään ensisijaisesti etäyhteydellä 'kapselissa' ( Vakioehdot ).


e. Todettakoon (taas), että tämä ei tarkoita, etteikö tuota ole syytä tarkastella, ja mahdollisesti parantaa. En kuitenkaan heittäisi lasta pesuveden mukana.
 
Nyt ojisamalla on kova luotto tuohon itsesääntelevään tahoon joka haluaa myydä sitä tietoa, mutta taitaa unohtaa sellaisen aspektin tähän asiaan, että ne rajoitukset eivät enää koske jos se data vuotaa sieltä, kuten olemme nähneet jo monta kertaa, että tietoa valuu ulos kaikennäköisistä palveluista. Suosittelen olemaan kriittisempi oman ja yleisesti kaikkien yksityisyyden suhteen. Minusta tämä koko keissi on aivan valtava skandaali ja tälle todellakin pitäisi jotain tehdä. EI voi tämä asia mennä näin!
 
Nyt ojisamalla on kova luotto tuohon itsesääntelevään tahoon joka haluaa myydä sitä tietoa, mutta taitaa unohtaa sellaisen aspektin tähän asiaan, että ne rajoitukset eivät enää koske jos se data vuotaa sieltä, kuten olemme nähneet jo monta kertaa, että tietoa valuu ulos kaikennäköisistä palveluista. Suosittelen olemaan kriittisempi oman ja yleisesti kaikkien yksityisyyden suhteen. Minusta tämä koko keissi on aivan valtava skandaali ja tälle todellakin pitäisi jotain tehdä. EI voi tämä asia mennä näin!

Toki riskejä on olemassa. Tässä tuo tapa miten noita tietoja käsitellään pienentää niitä. Ts. Koostetaan valmiiksi, jaetaan kooste erikseen oletuksena suljetussa ympäristössä.

Suhteutettuna yllä mainittuun metaan tai googleen, koko datamäärä on mitätön. Käytännössä joo, jotain lääke, ruoka, päihde, liikunta-mainoksia saisi kohdistettua paremmin, mutta verrattuna vaikka siihen, että google osti mastercardin käyttötiedot (käsittääkseni jenkeissä vain kuitenkin), niin en usko, että on ihan kovin korkealla missään metan haavelistalla. Sen sijaan pahantekijät voisivat noista ehkä kaivaa jotain, mutta nähdäkseni riskit ovat aika minimaaliset, olettaen, että se miten tuolla työntekijät dataa hakevat yhdistämistä varten on järjestetty tietoturvallisesti.

E. Toivotun kriittisyyden nimissä, yritä puhua asiasta, älä henkilöstä.
 
Nyt ojisamalla on kova luotto tuohon itsesääntelevään tahoon joka haluaa myydä sitä tietoa, mutta taitaa unohtaa sellaisen aspektin tähän asiaan, että ne rajoitukset eivät enää koske jos se data vuotaa sieltä, kuten olemme nähneet jo monta kertaa, että tietoa valuu ulos kaikennäköisistä palveluista. Suosittelen olemaan kriittisempi oman ja yleisesti kaikkien yksityisyyden suhteen. Minusta tämä koko keissi on aivan valtava skandaali ja tälle todellakin pitäisi jotain tehdä. EI voi tämä asia mennä näin!
Juurikin näin. Itselle olisi aikalailla ok antaa (ainakin suuri osa) noista tiedoista kaikenlaiseen tutkimuskäyttöön MUTTA kun noita tietovuotoja on tässä lähiaikoina tapahtunut vähän kaikenlaisilla toimijoilla niin en oikein haluaisi että joku taho jakelee omia (terveys)tietojani ilman että itse tiedän minne kaikkialle niitä on jaeltu.

Tuolla sivulla oli kaikenlaisia dokumentteja joissa viitataan muunmuassa Katakriin sun muihin vastaaviin ja jossain dokumentissa oli kymmeniä viittauksia kaikenlaisiin muihin dokumentteihin, pykäliin ja tiesmihin. Olisi ollut kohtuuton työ kahlata nuo kaikki dokumentit läpi että olisi saanut edes jonkinlaisen käsityksen kuinka noita oikeasti suojataan ja käyttöä rajoitetaan. Katakri sinänsä on jonkin verran tuttu työn puolesta mutta silti noita dokumentteja lukemalla ei tällainen jolla on edes joku haju noiden viitedokumenttien sisällöstä pysty oikein saamaan kokonaiskuvaa, saati sitten joku tavallinen tallaaja.
 

Nyt ruppee paljastumaan lisää aika jänniä tietoja. Paras anti on jutun lopussa tutkimusryhmän johtajasta (joka on jäänyt kiinni huumerikoksesta):

Tutkimusryhmän johtaja on perustanut myös oman yrityksen, joka tarjoaa tieteellistä tutkimusta suomalaisten geenitiedosta ja Findatan julkaisemista rekisteritiedoista.

Yrityksen sivuilla mainostetaan, että yritys auttaa asiakkaitaan pääsemään käsiksi suomalaiseen rekisteridataan, joka kattaa koko Suomen väestön. Aineistoon kuuluvat muun muassa diagnoosit, leikkaukset, lääkeostot ja -määräykset ja laboratoriotulokset.

Samoin yritys lupaa auttaa asiakkaitaan saamaan pääsyn laajasti kerättyihin suomalaisten geenitietoihin.

Ylen tietojen mukaan tutkimusryhmän johtaja oli itse henkilökohtaisesti yhteydessä Findataan, jotta heidän tutkimansa aineisto siirrettäisiin sinne laajempaa käyttöä varten.

Valmisaineiston syntymistä on valmisteltu erityisen aktiivisesti viime syksystä lähtien.

Samoihin aikoihin, syyskuussa 2023 tutkimusjohtaja perusti oman yrityksensä. Loppuvuoden aikana sen liikevaihto oli 15 000 euroa, joista 11 000 euroa oli voittoa.
 
Olen mielenkiinnolla seurannut tätä FinData/FinRegistry -spektaakkelia. Tällaiset MOT:n tekemät huomiot eivät eritoten ainakaan lisää luottamusta siitä miten dataa käsitellään ja kenen toimesta:

Suomalaisten tiedot sisältävästä jättiaineistosta nousi huoli – nyt selvisi, että osan tutkijoista taustoja ei selvitetä

" MOT löysi tutkimusryhmää johtaneen tutkijan taustasta rikoksen, joka kävisi ilmi myös turvallisuusselvityksessä. Mies tuomittiin huumausainerikoksesta ehdolliseen vankeuteen vuonna 2021. Tuomio näkyy hänen rikosrekisterissään vuoteen 2026. "

Olen itsekin ollut potilaana (aivan liian monta kertaa) HUS:n piirissä, ja olen yleensä antanut luvan potilaskertomukseni tietojen jaolle sillä ajatuksella että jos se hyödyttää jotakin toista potilasta niin mikäettei. Tällaiset asiat saavat minut toisiin ajatuksiin, ja kun ammatissani vielä vilahtelee GDPR, Katakri, NIS2 jne. -termejä harva se viikko niin kyllähän se alkaa mietityttää.

edit: @TenderBeef ehtikin just ennen minua :)
 
Pitää nyt vielä kirjoittaa, kun on puhetta Finregistry tahoon luottamisesta: tuolla FAQ:issa oli että noita tietoja saisi käyttöönsä vain internetyhteydettömällä turvakoneella ilman että saa tietokantaa omaan käyttöönsä. Tämähän on selvää huuhaata, koska tällaisella koneella mikään firma ei jaksaisi pyöritellä edes satojen ihmisten tietoja.

Jos noin tärkeästä asiasta johdetaan harhaan, niin en todellakaan luota tietojen olevan edes anonymisoituja.

Edit. Olikin etäkäyttökone
 
Viimeksi muokattu:
Pitää nyt vielä kirjoittaa, kun on puhetta Finregistry tahoon luottamisesta: tuolla FAQ:issa oli että noita tietoja saisi käyttöönsä vain internetyhteydettömällä turvakoneella ilman että saa tietokantaa omaan käyttöönsä. Tämähän on selvää huuhaata, koska tällaisella koneella mikään firma ei jaksaisi pyöritellä edes satojen ihmisten tietoja.

Jos noin tärkeästä asiasta johdetaan harhaan, niin en todellakaan luota tietojen olevan edes anonymisoituja.

Siis sinua on johdettu harhaan, kun et usko, että käyttävät tätä?

 
Siis sinua on johdettu harhaan, kun et usko, että käyttävät tätä?

Kiitos, tuosta lukeminen selvensi omaa hämmennystäni. En osannut lukea edellisen sivun FAQista etä -sanaa. En sitten tiedä miten aineiston siirto on estetty vaikkapa jos lukijan ruutu nauhoittaa kuvaa, mutta voihan sekin olla mahdollista (toivottavasti).
 
Plutuksen kortteja taitaa olla tekkiläisillä jonkin verran ja Solaris oli niiden entinen kortin tarjoaja joten laitetaan copy-paste mailista. Liki vuosi sitten tuli muutos mutta joku laki vaatinee säilyttämään tietoja ajan x. Eli odotellaan, mitä kaikkea on mahdollisesti vuotanut.

Millähän siinäkin pysyisi edes etäisesti mukana, mihin kaikkeen omia tietoja on tallennettu. Toivottavasti kukaan ei ainakaan perusta rekisteriä joka kerää tiedot, missä rekistereissä / palveluissa olet. Olisi lähellä samanlaista kultakaivosta korkattavaksi vs tuo findata.
Dear Customer,

We hope this message finds you well. We are writing to inform you that we are currently investigating a data breach where personal contact information may have been accessed.

While we want to assure you that there is no threat to your account or funds, it is crucial to be aware of the increased risk of phishing attempts during this time.

In light of this situation, we urge you to be vigilant and take the following precautionary measures:

1. Beware of Phishing Attempts: Do not act on any unsolicited call, email, or SMS that you may receive. Phishing attempts may try to trick you into providing personal information or clicking malicious links.
2. Do Not Share Your Personal Data: Never share your personal information, such as passwords or account details, with any third party.
3. Do Not Click on Suspicious Links: Avoid clicking on any links or downloading attachments from unsolicited messages.
4. No Direct Calls Asking for Personal Information: Neither we nor our partners will ever call you directly to ask for personal information. If you receive such a call, please report it to us immediately.

Please ensure that you only follow information coming from our official email addresses, which can be validated by the sender line showing either contact@solarisgroup.co.uk or no.reply@solarisgroup.co.uk

We are taking this matter very seriously and are working diligently to resolve it. Your security is our top priority, and we will keep you updated with any further developments.
 
[**] Rehellisesti sanottuna kuulostaa siltä, että on taas luettu uutisia puolella silmällä ja hypätty junaan mukaan riehumaan:
Keskustelijoista keskustelu on kielletty ja tuo vastauksesi omaan viestiini on kyllä jo sitä.

Sen sijaan pahantekijät voisivat noista ehkä kaivaa jotain, mutta nähdäkseni riskit ovat aika minimaaliset, olettaen, että se miten tuolla työntekijät dataa hakevat yhdistämistä varten on järjestetty tietoturvallisesti.
Kyllä tuo rekisteri on sisällöltään sellainen, ettei kyse ole "ehkä kaivaa" vaan täysi katastrofi jos aineisto vuotaa.

Mutta oliko riskien pito minimaallisena mihin perustuva tieto? Ehkä jossain loputtoman suuren tekstimäärän seassa kerrotaan, miten fyysinen suojaus on toteutettu, miten henkilökunnan valvonta hoidetaan jne.
Ja myös se kiinnostaisi melkoisesti, millainen rajapinta tuon ja muiden rekisterien välillä on. Ei palvele ketään jos tuollaisen järjettömän rekisterin vuoksi muualle lisätään rajapintoja jotka taas lisäävät riskejä ko. kohteissa.

Itselle olisi aikalailla ok antaa (ainakin suuri osa) noista tiedoista kaikenlaiseen tutkimuskäyttöön MUTTA kun noita tietovuotoja on tässä lähiaikoina tapahtunut vähän kaikenlaisilla toimijoilla niin en oikein haluaisi että joku taho jakelee omia (terveys)tietojani ilman että itse tiedän minne kaikkialle niitä on jaeltu.
Tästä on todella helppo olla samaa mieltä. Osaa toki voi tutkimukseen käyttää ja järkevin perustein se olisi varmasti monelle ok. Nyt sen sijaan tehtiin hiljaisuudessa rekisteri joka myy jotain jollakin perusteella johonkin. Ja samalla luotiin aivan järjetön tietoturvariski.

Koko asian kruunaa luonnollisesti se, että datan jako on muka ok jos erikseen et sitä kiellä. Miten voit kieltää toimijalta, josta et ole koskaan kuullutkaan?

Tuolla sivulla oli kaikenlaisia dokumentteja joissa viitataan muunmuassa Katakriin sun muihin vastaaviin ja jossain dokumentissa oli kymmeniä viittauksia kaikenlaisiin muihin dokumentteihin, pykäliin ja tiesmihin. Olisi ollut kohtuuton työ kahlata nuo kaikki dokumentit läpi että olisi saanut edes jonkinlaisen käsityksen kuinka noita oikeasti suojataan ja käyttöä rajoitetaan. Katakri sinänsä on jonkin verran tuttu työn puolesta mutta silti noita dokumentteja lukemalla ei tällainen jolla on edes joku haju noiden viitedokumenttien sisällöstä pysty oikein saamaan kokonaiskuvaa, saati sitten joku tavallinen tallaaja.
Tästäkin on helppo olla samaa mieltä. Kovin moni ei todellakaan jaksa lukea sitä määrää tekstiä, mitä tuolla on. Ja vaikka lukisit, miten saat tiedon, onko omia tietojasi luovutettu missäkin yhteydessä? Niidenkin osalta tulisi lukea läpi, miten käsittelevät mitäkin dataa.

Myös lähtöpää kiinnostaisi. Onko jokaisella toimijalla ollut joku pienellä painettu "tietoja voidaan luovuttaa vapaasti ulkopuoliselle toimijalle"? Epäilen vahvasti ja moniko oikeasti antaisi luvan luovuttaa kaikki tiedot tietämättä kohdetta? Entä jos jossakin noista rekistereistä ei ole mitään tietoa? Sekin on tieto, ettei tietoa ole, ei tosin varmasti ole suostumustakaan siinä kohdassa.

Kysymysmerkkejä jää myös esimerkiksi omakannan osalta. Sieltä pystyy piilottamaan ainakin käyntitietoja ja reseptejä. Luovutetaanko tällaiset? Jos kiellät, meneekö tieto kiellosta myös tuonne? Ja yleensä aina omakantaan kirjautuessa tulee katsottua myös tietojen luovutukset läpi. Enpä ole tuollaista toimijaa nähnyt joten sekin herättää kysymyksiä. Onko luovutettu niin, ettei jää normaaleja merkintöjä?

Ainoa oikea ratkaisu olisi tehdä sama kuin Trafi aikanaan ja palvelu kiinni siihen asti, kunnes on oikeasti ja avoimesti selvitetty toiminta. Sen jälkeen harkita uudelleen, onko mitään syytä ylläpitää tuollaista.
 
Keskustelijoista keskustelu on kielletty ja tuo vastauksesi omaan viestiini on kyllä jo sitä.

Sitä ei oltu osoitettu sinulle, eikä edes pelkästään täällä keskustelijoille, vaan keskusteluun aiheesta yleisesti. Pahoittelut, jälkikäteen ajateltuna selvää, että sen voi tulkita noin.

Mutta oliko riskien pito minimaallisena mihin perustuva tieto? Ehkä jossain loputtoman suuren tekstimäärän seassa kerrotaan, miten fyysinen suojaus on toteutettu, miten henkilökunnan valvonta hoidetaan jne.

"nähdäkseni riskit ovat aika minimaaliset, olettaen, että se miten tuolla työntekijät dataa hakevat yhdistämistä varten on järjestetty tietoturvallisesti"

Mikä tieto riskien pidosta minimaalisena? Minulle on ihan ok, että en tarkalleen tiedä miten fyysinen suojaus on toteutettu, ja se sisältyy tuohon oletukseen.

Ja myös se kiinnostaisi melkoisesti, millainen rajapinta tuon ja muiden rekisterien välillä on. Ei palvele ketään jos tuollaisen järjettömän rekisterin vuoksi muualle lisätään rajapintoja jotka taas lisäävät riskejä ko. kohteissa.

Tuota mietin itsekin. Tosin, koska näitä samoja datoja on käsittääkseni Suomessa käytetty vuosikymmeniä jo tutkimuksessa, niin koko systeemi, rajapintoineen kaikkineen on mielestäni hyvä juttu, kun on virallinen taho™, joka keskitetysti hoitaa anonymisoinnin ja tarkistaa hakemukset ja datan käyttötarpeet. Tämäkin vaatii osaamista.

Tästä on todella helppo olla samaa mieltä. Osaa toki voi tutkimukseen käyttää ja järkevin perustein se olisi varmasti monelle ok. Nyt sen sijaan tehtiin hiljaisuudessa rekisteri joka myy jotain jollakin perusteella johonkin. Ja samalla luotiin aivan järjetön tietoturvariski.

Aika pitkälle kaikesta datasta voi olla hyötyä tutkimuksissa. Toki datan hyöty täytyy perustella ennen sen saamista. Järkevät perusteet on olemassa, kuten ennenkin, vaikka tuo toki (toimiessaan) yksinkertaistaa ja laskee kustannuksia tutkimusten tekemisessä. Ja keskittää myös yhteen paikkaan käsityksen siitä mitä tietoja mikäkin tietojen pyytäjä saa. Ei tuo ole mikään kaupallinen toimija.

Koko asian kruunaa luonnollisesti se, että datan jako on muka ok jos erikseen et sitä kiellä. Miten voit kieltää toimijalta, josta et ole koskaan kuullutkaan?

Ne tietopyynnöt on helppo:
GDPR: "Kaikessa tutkimustoiminnassa voidaan käyttää anonymisoituja tietoja ilman käsittelyperustetta. Anonymisoituja tietoja ei enää katsota henkilötiedoiksi, joten niihin ei sovelleta tietosuojasäännöksiä."

Tietoluvat toki haastavampi, ja asettaa vaatimuksia henkilötietojen käsittelyn suunnittelulle koko tiedon elinkaaren ajalta, mikä näytti olevan osa sitä lupaprosessia.

Tästäkin on helppo olla samaa mieltä. Kovin moni ei todellakaan jaksa lukea sitä määrää tekstiä, mitä tuolla on. Ja vaikka lukisit, miten saat tiedon, onko omia tietojasi luovutettu missäkin yhteydessä? Niidenkin osalta tulisi lukea läpi, miten käsittelevät mitäkin dataa.

En ole täysin vakuuttunut, että anonymisoinnin ja pseudoanonymisoinnin lisäksi kannattaisi luoda järjestelmää, mikä lähettäisi tietoa kaikille mukana oleville henkilöille. Ne tietoluvat (toisin kuin tietopyynnöt) oli muistaakseni salaisia, mikä on tietosuojan kannalta nähdäkseni perusteltua.

Ainoa oikea ratkaisu olisi tehdä sama kuin Trafi aikanaan ja palvelu kiinni siihen asti, kunnes on oikeasti ja avoimesti selvitetty toiminta. Sen jälkeen harkita uudelleen, onko mitään syytä ylläpitää tuollaista.

Noh. Siitä vain kiinni, mutta mä näen tuon parannuksena sekä tietosuojaan että tutkimusten tekemiseen. Molemmat hyvä juttu.
 
Plutuksen kortteja taitaa olla tekkiläisillä jonkin verran ja Solaris oli niiden entinen kortin tarjoaja joten laitetaan copy-paste mailista. Liki vuosi sitten tuli muutos mutta joku laki vaatinee säilyttämään tietoja ajan x. Eli odotellaan, mitä kaikkea on mahdollisesti vuotanut.

Millähän siinäkin pysyisi edes etäisesti mukana, mihin kaikkeen omia tietoja on tallennettu. Toivottavasti kukaan ei ainakaan perusta rekisteriä joka kerää tiedot, missä rekistereissä / palveluissa olet. Olisi lähellä samanlaista kultakaivosta korkattavaksi vs tuo findata.
Tässä ilmeisesti kyse jostain maksukortti jutusta, kryptopalvelun visa kortista?

Mahdollisesti jotain tetoja vuotanut, pikkusen jänne maili kuitenkin, josaito, niin moni varmaan ohittanut.
Mailin sähköposti domainin sivuilta ei ihan suoraan osunut silmään uutista, no jokin yleisen oloinen kalasteluvaroitus oli.
 
Plutuksen kortteja taitaa olla tekkiläisillä jonkin verran ja Solaris oli niiden entinen kortin tarjoaja joten laitetaan copy-paste mailista.

En tiedä tuosta palvelusta mitään, mutta tuo sähköposti näyttää aika paljon tekoälyllä luodulta. ChatGPT arvioi sen olevan 60-70 % todennäköisyydellä tekoälyllä luotu:
Given the characteristics and analysis discussed, I would estimate the likelihood of the text being AI-generated to be around 60-70%. This estimation considers the highly structured format, polished and formal language, standard safety advice, and lack of specific details—all of which are indicative of AI generation but not exclusively so. There's still a significant chance that a human could have written the text, especially if following a strict template or corporate communication guidelines.
 
Viimeksi muokattu:
Mielenkiintoista, että en löytänyt oikein mitään keskustelua Chat Controllista TechBBS:n puolelta. Mutta asia ei suinkaan ole unohtunut. Tässä hieman tekstiä aiheesta:

Ei ihan kuitenkaan osu tämän langan aiheisiin. Nuo asiathan voidaan nähdä osittain myös turvallisuutta parantavana. Ehkäpä pitäisi perustaa oma Chat Control lanka, johon voisi ottaa mahdolliset jatkot aiheesta.

Tosin kuten kaikki asiaa seuranneet tietää, tämä on ikuinen vääntö, sekä molempien laitojen esityksiä riittää. Mikä sitten on todella toteutuva lainsäädäntö ja mikä on käytännössä toteutuvaa lainsäädännön molemmin puolin, jää kuitenkin nähtäväksi.
En jaksa uskoa, että menee tällaisena läpi jos ollenkaan. Näitä tuntuu tulevan tasaiseen tahtiin aina silloin tällöin EU:lta. Huolestuttavaa kyllä, että on edes tällaisia aikomuksia.
Tässä se viralinen EU:n linkki ja niiden materiaali:

Mutta tuohan on hukutettu tuollaiseen hallinnolliseen jargoniin. Sen näkee mitä siitä seuraa jatkossa. Kuten sanottu, koskee toisia ja ei koske niitä jotka asiaa haluaa kiertää.

Sama ongelma oli tuon kanssa, koitin kovasti hakea olisiko aiheesta mitään keskustelua aikaisemmin. Koska tämä tällaisena ikuisuusaiheena on vähän huono tähän lankaan floodaamaan. Lisäksi olisi hyvä jos aiheen viestit olisi omassa langassaan helpomman selattavuuden vuoksi. Lisäksi tässä vaiheessa tämähän menee politiikan eikä tekniikan puolelle.
Tiukille menee, tästähän piti äänestää alunperin jo tänään mutta jostain syystä lykkääntyi huomiselle. Suomen kanta horjuu ja on epävarmaa äänestetäänkö tällä kertaa puolesta vai vastaan, vielä kerkeäisitte ottamaan päättäjiin yhteyttä (esim. Leena Meri, Mari Rantanen muodossa etunimi.sukunimi@gov.fi) ja uudet mepit yms. tai muulla tavoin vaikuttamaan äänestystulokseen, vain mielikuvitus rajana.
We need your help
All you need to do is write an email.

Use the template below to draft a message to your Ministers, asking them to stop this law. Write back to us at comms@edri.org to let us know if you successfully reached out to your government.

Key Ministers’ contact details are:


Dear Minister [ADD NAME],

As a person living in Finland, I am asking you to reject the Belgian presidency’s proposed Council of the EU position on the Child Sexual Abuse Regulation. You hold a position of power in the Council negotiations, and you should use it to make the internet a more secure place for all.

The new proposal says that providers of private communications services can be forced to ask people to consent to faulty AI-based scanning of their private chats or be banned from sharing images, videos and URLs.

I understand that the proposal has the important intent of protecting children. However, this law will allow authorities to have anyone's legitimate conversations monitored. Scanning people's private chats without a legitimate reason is an intrusive practice that breaks the safety and trust of our online communication. This practice will also fundamentally undermine encryption - a technology that allows journalists, human rights defenders, businesses and government officials to keep their communications secure.

By making the internet less secure, the law will harm everyone, including those it wants to protect. Recent poll results show that 8o% of young people in 13 European countries would not feel comfortable being politically active or exploring their sexuality if authorities were able to monitor their digital communication, in order to look for child sexual abuse.

Instead of implementing sweeping surveillance measures, the law should focus on alternative, structural approaches to tackling the root of the horrific crime of child sexual abuse.

I urge you to oppose the Belgian presidency’s latest proposal and protect our safety online.​

Linkkejä:

"Ministerineuvosto aikoo äänestää asiasta torstaina, ja Suomen aikaisempi kielteinen kanta kuulemma horjuu. Tilanne neuvostossa on niin tiukka, että Suomen ääni saattaa ratkaista asian."
 
Taannoinen Traficomin murto case kanssa selviämässä. Kahdesta (oletettavasti) nyrkkipajasta viety tunnukset, joilla pääsee molempien käyttämästä laskutuspalvelusta hakemaan autojen omistajatietoja ja ihmisten luottotietoja ja ilmeisesti näiden välittäjäyhtiöiden tietokannoissa oli myös tietoja joiden säilytykseen ei ollut lupaa. Tajusivat vasta kun joku soitti ja kysyi miksi hänestä on tehty luottotietojen tarkastus.

HS maksumuuri: Tietovuoto | Miten toukokuussa paljastunut massiivinen tietovuoto tapahtui? Asiakirjat paljastavat, että keskiöön joutui pikkukaupungin autokorjaamo

ammattilaiset_asialla.png
 
Viimeksi muokattu:
Noh. Siitä vain kiinni, mutta mä näen tuon parannuksena sekä tietosuojaan että tutkimusten tekemiseen. Molemmat hyvä juttu.
Näkemyksiä on aika laidasta laitaan...
Tietoturvan parantumista on todella vaikea nähdä kun tehdään täysin turhia "isoveli valvoo"-rekisterejä. Tietosuoja paranee vain siinä tapauksessa, jos sama data luovutettaisiin joka rekisteristä erikseen keskitetty hoitaa paremmin anonymisoinnin.

Ne tietopyynnöt on helppo:
GDPR: "Kaikessa tutkimustoiminnassa voidaan käyttää anonymisoituja tietoja ilman käsittelyperustetta. Anonymisoituja tietoja ei enää katsota henkilötiedoiksi, joten niihin ei sovelleta tietosuojasäännöksiä."

Tietoluvat toki haastavampi, ja asettaa vaatimuksia henkilötietojen käsittelyn suunnittelulle koko tiedon elinkaaren ajalta, mikä näytti olevan osa sitä lupaprosessia.
Oikeus poistaa tiedot

Rekisteröidyllä on tietyissä tilanteissa oikeus saada rekisterinpitäjä poistamaan itseään koskevat tiedot ilman aiheetonta viivytystä. Oikeus tunnetaan myös nimellä oikeus tulla unohdetuksi.

Tätä oikeutta ei ole, jos tietojen käsittely on tarpeen

  • sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi
  • rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten
  • kansanterveyteen liittyvää yleistä etua koskevista syistä
  • yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos oikeus saada tiedot poistetuksi todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti
  • oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Liittyykö kansanterveyteen myydä data minne tahansa? Tai se, oletko ollut esimerkiksi sosiaalitoimen asiakas?
Kyseenalaistaisin kyllä myös sen, estääkö tai vaikeuttaa suuresti jos yksittäinen henkilö haluaa tietonsa poistettavan.

En tiedä mutta uskoisin myös siihen olevan pykälänsä, miten ja mikä toimiva voi kerätä keskitetysti dataa useasta paikasta.
 
Tässä ilmeisesti kyse jostain maksukortti jutusta, kryptopalvelun visa kortista?
Helppoa: Earn 3-9% Crypto Rewards | Plutus Debit Card

Mahdollisesti jotain tetoja vuotanut, pikkusen jänne maili kuitenkin, josaito, niin moni varmaan ohittanut.
Mailin sähköposti domainin sivuilta ei ihan suoraan osunut silmään uutista, no jokin yleisen oloinen kalasteluvaroitus oli.
"Jos aito" on hieman erikoinen tuollaisen mailin kohdalla, jossa ei pyydetän tekemään mitään, luovuttamaan mitään, tulee taholta jota tietää käyttäneensä jne. Lisäksi:

Näköjään luottokorttikeskusteluun on laitettu sama asia. Eli muillekin on tullut.
En tiedä tuosta palvelusta mitään, mutta tuo sähköposti näyttää aika paljon tekoälyllä luodulta. ChatGPT arvioi sen olevan 60-70 % todennäköisyydellä tekoälyllä luotu:
Ihan mahdollista. Kun kone lukee jo uutisiakin useammalla kanavalla niin enpä ole yllättynyt jos generoi mailejakin.
 
Viimeksi muokattu:
"Jos aito" on hieman erikoinen tuollaisen mailin kohdalla, jossa ei pyydetän tekemään mitään, luovuttamaan mitään, tulee taholta jota tietää käyttäneensä jne.
Ei välttämättä erikoinen,

"Tietää käyttäneensä", Posti, Danske, PayPal, Nordea, DHL jne. palveluita käyttäneillä usein samaa fiilis kun saamaansa mailia lukevat.

Tuossa mailissa kiinnitti se huomiota että siinä luotiin luottamusta tietiystä emailista tuleviin viesteihin, ja varoiteltiin muista viesteistä.

Plutus kortin nettisivuiksi arvoin plutus.it ja seillä ei pienellä selailulla osunut tiedotetta, ja ei myöskään tuosta solarisgroup.co.uk juuresta. ehkä odotin silmille paremmpin hyppäävää infoa.
Toki mailista kerrottuun domainiin ei sinänsä pitäisi luottaa. Eli se lokiikka että hakeudun palvelun virallisille sivuilla klikkailematta viestin linkkejä ja tarkista virallisilta, luotetuilta sivuilta onko väitettyssä asiassa perää.


Tämä lisää kovasti viestin uskottavuutta. Kiitos linkistä.

Toivotaan ettei jatkoksi seuraa huijareita jotka spämmää lisätietoja tutkimusten etemisestä.
 
Ei välttämättä erikoinen,

"Tietää käyttäneensä", Posti, Danske, PayPal, Nordea, DHL jne. palveluita käyttäneillä usein samaa fiilis kun saamaansa mailia lukevat.
Menee kyllä osin ohi ketjun aiheen mutta pienellä riskillä silti...

Tietää käyttäneensä on täysin eri, jos kyseessä on vaikkapa Posti, jota käyttää käytännössä jokainen suomalainen. On varsin tärkeää osata erotella lähettäjätahot toisistaan. Miten todennäköisesti jokin lähes kaikille täysin tuntematon toimija lähestyy maililla (ilman pakollisia linkkejä) jotain sellaista, joka ei aiheesta tiedä mitään? Ja aiheuttaako normaalisti mitään toimia, jos "singsangpinpong" lähestyy maililla? Aivan, ei aiheuta. Eli tässä kohdassa puhutaan kohtuullisen marginaaliryhmän asiasta joten (lähes) jokainen tietää, mistä on kyse.

Nyt ollaan jo ohi ketjun aiheen mutta toisaalta myös ketjun aiheessa.
Tuossa mailissa kiinnitti se huomiota että siinä luotiin luottamusta tietiystä emailista tuleviin viesteihin, ja varoiteltiin muista viesteistä.
Kyseiset osoitteet eivät olleet linkkeinä vaan puhtaana tekstiä. Headerit katsoen edelleen sama.
Miten siis mielestäsi esimerkiksi mainitsemasi Posti voisi varoittaa? Omasta mielestäni luonnollista olisi tarjota tekstinä ne osoitteet, joista lisätietoa on mahdollisesti tulossa.

Toki, ymmärrän ajatuksen riskeistä eikä sähköposti ole paras tapa infota mistään.
Entä linkki lisätietoihin? Ymmärrän täysin, miksi sitä ei ole laitettu. Nyt tuo piti hakea itse lähettäjäksi mainitulta taholta. Hankalaa mutta järkevää.

Plutus kortin nettisivuiksi arvoin plutus.it ja seillä ei pienellä selailulla osunut tiedotetta, ja ei myöskään tuosta solarisgroup.co.uk juuresta. ehkä odotin silmille paremmpin hyppäävää infoa.
Kannattaa muistaa, ettei kyseessä ole varsinaisesti suuren yleisön tuote. Plutus on vaihtanut palveluntarjoajaa tosiaan liki vuosi sitten joten tavallaan heillä ei enää ole kytköksiä aikaisempaan tahoon. Asiallista mainita? Tottakai. Kriittistä? On ja ei, mitään suoraa vuotoa rahaan liittyen ei kuitenkaan ole.

Toki mailista kerrottuun domainiin ei sinänsä pitäisi luottaa. Eli se lokiikka että hakeudun palvelun virallisille sivuilla klikkailematta viestin linkkejä ja tarkista virallisilta, luotetuilta sivuilta onko väitettyssä asiassa perää.
Edelleen... Copypaste oli suoraan mailista. Itse asiassa ei ollut mitään linkkejä, ainoastaan puhtaasti tekstinä asiat. Ainoat linkit olivat "peru uutiskirjeet" tms mutta pasteamassani sisällössä ei ollut ainoatakaan linkkiä.

Toki, riskit ovat olemassa joka tapauksessa. Mutta vähänkin valveutuneempi (ei noita kortteja muilla ole), pystyy tässä tapauksessa varmistamaan helposti todenperäisyyden. Monessa muussa yhteydessä tilanne olisi eri mutta voisitko ystävällisesti perustaa vaikka "tunnista email-kusetukset"-ketjun?

Tämä lisää kovasti viestin uskottavuutta. Kiitos linkistä.

Toivotaan ettei jatkoksi seuraa huijareita jotka spämmää lisätietoja tutkimusten etemisestä.
Jos alkuperäinen kertoo (epäilemääsi tapaan) osoitteiden kertomisen niin nämä karsiutuvat sillä.
Tottakai, riskinsä tässäkin mutta ko. tapauksessa sanoisin huijauksen mahdollisuuden olevan noin nolla.

Mutta tosiaan, oma ketju "näin tulkitset huijaukset" tms?

Ja edit... linkki mukaan: Miten tunnistaa scammerit eri kanavissa
Aloitin tuollaisen. Olisi varsin toivottavaa jos saataisiin yhteen paikkaan tietoa huijausten välttämiseen.
 
Kannattaa muistaa, ettei kyseessä ole varsinaisesti suuren yleisön tuote. Plutus on vaihtanut palveluntarjoajaa tosiaan liki vuosi sitten joten tavallaan heillä ei enää ole kytköksiä aikaisempaan tahoon. Asiallista mainita? Tottakai. Kriittistä? On ja ei, mitään suoraa vuotoa rahaan liittyen ei kuitenkaan ole.

Lokiikka oli se että jos henkilöön otetaan yhteyttä jonkin yhteisön taholta, jotain tieturva juttua, miten tavis sen tarkistaa. Yksi on se että menee ko firman sivuille ja tarkistaa onko siellä asiasta infottu. Jos siellä ei löydy tietoa, niin aika menetetty juttu.

Hämmentää jos Plutus ei kerro asiasta sivuillaan, vaikka kyse olisi heille pienestä asiakasmäärästä, toinen tietenkin tuon toisen firman, no oli siellä, kuten postasit, mutta jotekin helposti löydettävissä pitäisi olla.


Miten todennäköisesti jokin lähes kaikille täysin tuntematon toimija lähestyy maililla (ilman pakollisia linkkejä) jotain sellaista, joka ei aiheesta tiedä mitään? Ja aiheuttaako normaalisti mitään toimia, jos "singsangpinpong" lähestyy maililla? Aivan, ei aiheuta.
Eikö tuo ole se miina, Jos on singsangpinpongin asiakas ja häntä feikki singsangpinpong lähestyy, niin joku voi kokea sen luotettavammaksi sen pienuuden takia, vs se että feikki posti lähestyy.

Tässä ainakin oli epäily makskorttiyhtiön asiakastiedoista vuotamisesta, eli sinänsä välineet kohdentaa aidon asiakasrekisterinavulla.
 
Lokiikka oli se että jos henkilöön otetaan yhteyttä jonkin yhteisön taholta, jotain tieturva juttua, miten tavis sen tarkistaa. Yksi on se että menee ko firman sivuille ja tarkistaa onko siellä asiasta infottu. Jos siellä ei löydy tietoa, niin aika menetetty juttu.
Laitoin alulle uuden... Laitatko ystävällisesti sinne, tämä ketju on kuitenkin uutisia, ei keskustelua varten,

Linkki muuten jäi pois. Eli Miten tunnistaa scammerit eri kanavissa
 
Viimeksi muokattu:
Applen AirPods ja Beats kuulokkeisiin julkaistu firmware päivitykset. Korjaa haavoittuvuuden CVE-2024-27867.
 
Useilla web-sivustoilla käytetty polyfill.io domain on kaapattu alkuvuodesta ja saastuttaa web-sivustot haitallisella JavaScript koodilla.

uBlock Origin estääkin kyseisen domainin jo ennestään.

The polyfill.io domain is being used to infect more than 100,000 websites with malware after a Chinese organization bought the domain earlier this year.
polyfill.io is now serving malicious code hidden in those scripts, meaning anyone visiting a website using the domain will end up running that malware in their browser.


 
Useilla web-sivustoilla käytetty polyfill.io domain on kaapattu alkuvuodesta ja saastuttaa web-sivustot haitallisella JavaScript koodilla.

uBlock Origin estääkin kyseisen domainin jo ennestään.

The polyfill.io domain is being used to infect more than 100,000 websites with malware after a Chinese organization bought the domain earlier this year.
polyfill.io is now serving malicious code hidden in those scripts, meaning anyone visiting a website using the domain will end up running that malware in their browser.



Itsellä ei näemmä ollut "badware" uBO uAssets listaa käytössä, mutta oli lisättynä toisella listalla joka on käytössä:

 
Viimeksi muokattu:
Useilla web-sivustoilla käytetty polyfill.io domain on kaapattu alkuvuodesta ja saastuttaa web-sivustot haitallisella JavaScript koodilla.
Tämäntyyppisiä yllättävän vähän, mutta aihe mistä välillä keskusteltu "huonoissa web sivuissa", eli osa surffailee asetuksilla mikä estää ulkopuolisen sisällön, tai ainakin ulkopuoliset scriptit ym, perustellen iso homma selvittää kymmenen ulkopuolisen luotettavuus.

Nyt sitten heillä hetki missä vaiva palkitaan, jos eivät ole tuota osoitetta valkolistanneet....
 
OpenSSH-ohjelmistosta löytynyt kriittinen haavoittuvuus.
Haavoittuvuuden kohde
Linux-järjestelmillä
  • OpenSSH:n versiot alkaen 8.5p1, ennen versiota 9.8p1.
  • OpenSSH:n versiot ennen 4.4p1.
OpenBSD-pohjaiset järjestelmät eivät ole haavoittuvia.

Edit: Ubuntuihin löytyy jo päivitys
 
Viimeksi muokattu:
Ciscon laitteissa haavoittuvuus


Cisco ja Sygnia julkaisivat maanantaina tiedotteet haavoittuvuudesta CVE-2024-20399, joka vaikuttaa Cisco NX-OS -ohjelmistoon. Ohjelmiston haavoittuvaa versiota on käytössä Nexus-sarjan kytkimissä, joita löytyy tyypillisesti yritysverkkoympäristöistä erityisesti datakeskuksista. Cisco on julkaissut listan potentiaalisesti haavoittuvista laitteista.

Haavoittuvuuden takia admin-oikeudet hankkineet hyökkääjät voivat paikallisesti antaa mitä vain komentoja kytkinten käyttöjärjestelmään. Haavoittuvuus johtuu siitä, että tiettyjä laitteen konfigurointivaiheen argumentteja ei validoida asianmukaisesti, ja hyökkääjä voi syöttää haluamiaan komentoja, Cisco selventää.

Hyökkääjät ovat voineet myös ajaa omia komentojaan ilman, että järjestelmä kirjoittaa lokiin mitään, jolloin hyväksikäytön on voinut myös peittää.
 
OpenSSH-ohjelmistosta löytynyt kriittinen haavoittuvuus.
Haavoittuvuuden kohde
Linux-järjestelmillä
  • OpenSSH:n versiot alkaen 8.5p1, ennen versiota 9.8p1.
  • OpenSSH:n versiot ennen 4.4p1.
OpenBSD-pohjaiset järjestelmät eivät ole haavoittuvia.

Edit: Ubuntuihin löytyy jo päivitys

Toi ei onneksi ole niin paha mitä voisi ensisilmäyksellä olettaa. Suht vaikea toteutettava jo 32-bit käyttiksellä kestäen siis tunteja, siitä väitellään että onko tuo edes ongelma 64-bit käyttiksen kanssa.

EDIT: Fedora julkaissu korjauksen myös
 
Viimeksi muokattu:
Authyn käyttämisestä on syytä luopua asap:
Itse en sitä käytä mutta eikö tuo ole nyt vähän ylimitoitettua? Pelkkiä puhelinnumeroita on paljastunut.. jotka siis käyttävät Authya. Toki varmasti kohdennetaan jotain hyökkäyksiä sen perusteella mutta eihän se nyt ole mitenkään erikoista, joka tapauksessa pitää olla aina varuillaan, ettei ratkea mihinkään kalasteluun. EDIT: Toki voi yleisesti ajatella, että onko tuo puulaaki yleisesti turvallinen jos vuotoja tapahtuu..
 
Itse en sitä käytä mutta eikö tuo ole nyt vähän ylimitoitettua? Pelkkiä puhelinnumeroita on paljastunut.. jotka siis käyttävät Authya. Toki varmasti kohdennetaan jotain hyökkäyksiä sen perusteella mutta eihän se nyt ole mitenkään erikoista, joka tapauksessa pitää olla aina varuillaan, ettei ratkea mihinkään kalasteluun. EDIT: Toki voi yleisesti ajatella, että onko tuo puulaaki yleisesti turvallinen jos vuotoja tapahtuu..
Ehdotin luopumista lähinnä sen takia, että tämä ei ole ainut kerta kun tietoturvaan keskittyvää tuotetta sörkitään. Twilio breach let hackers gain access to Authy 2FA accounts

Authy on sen verran suosittu työkalu, että pääsy siihen varmasti houkuttaa monia rikollisia. MFA-tietojen varastaminen ei välttämättä saa isoa tuhoa aikaiseksi, mutta oman mielenrauhan vuoksi itse käyttäisin muuta työkalua. Jokainen toki käyttäkööt mitä haluaa.
 
2FA-työkalut kannattaa valita sellaisiksi, että ne toimivat offlinessa ilman mitään tunnuksia mihinkään palveluun. Ei ole riskiä siitä, että tunnukset tai seedit vuotaa jonnekin.
 
Authy on sen verran suosittu työkalu, että pääsy siihen varmasti houkuttaa monia rikollisia. MFA-tietojen varastaminen ei välttämättä saa isoa tuhoa aikaiseksi, mutta oman mielenrauhan vuoksi itse käyttäisin muuta työkalua. Jokainen toki käyttäkööt mitä haluaa.

Joka on mikä?
 

Statistiikka

Viestiketjuista
258 912
Viestejä
4 495 951
Jäsenet
74 314
Uusin jäsen
bohku

Hinta.fi

Back
Ylös Bottom