Vastaamo.fi tietovuoto - keskustelu ja seuranta

Murha.infon foorumilta luin, että nyt Torilaudalla olisi jaettu lisää tietoja mm. listalla olleista poliiseista, mutta tällä kerralla jonkun ulkopuolisen toimesta. En viitsi linkittää suoraan postaukseen, kun siinä on mukana muuta tarpeetonta, mutta tässä olennaisimmat:

Mutta eipä aikaakaan, niin Torilaudalla oli uusi keskusteluketju aiheeseen liittyen, koska edellisessä tuli limiitti täyteen (1000 viestiä). Nyt piru pääsi poliisien kannalta irti, koska aiemmin mainittu anonyymi "XX" julkaisi kaikkien sinivuokkojen tiedot. Ne ovat siellä edelleen luettavissa ja toimittajat rillit höyryten ovat niitä runkanneet. Anonyymillä vuotajalla on siis mahdollisesti kymmenien tuhansien ihmisten arkaluontoiset tiedot ja hän ei satavarmasti ole ainoa. Hänen motiivinaan oli ilmeisesti poliisivihan lisäksi todistaa medialle, että tapahtunut vahinko on paljon painajaismaisempi, mitä monet tiedotusvälineet ovat antaneet viime päivinä ymmärtää. Eli laajaan levitykseen ei ole vuotanut vain 300 ihmisen tiedot, ei edes parin tuhannen; luultavasti koko tietokanta.
 
Tässä tätä ketjua lueskelen ja luulen, että täällä on sen verran tietävää porukkaa jotka osaisivat ehkä vastata kysymykseeni. Itse en ole kyseisen Vastaamon asiakas, mutta mietin, että pystyykö omia tietoja esim. lääkärikäynneiltä mitenkään poistamaan/piilottamaan näkyvistä näistä rekistereistä minne ne tallennetaan? (Esim Omakanta) tai joku julkisen puolen lääkäri. Hieman kuumottaa.
 
Murha.infon foorumilta luin, että nyt Torilaudalla olisi jaettu lisää tietoja mm. listalla olleista poliiseista, mutta tällä kerralla jonkun ulkopuolisen toimesta. En viitsi linkittää suoraan postaukseen, kun siinä on mukana muuta tarpeetonta, mutta tässä olennaisimmat:

Jep, pitää ihan paikkaansa, sinne on launtain ja sunnuntain välisenä yönä joku laittanut kuuden poliisin tiedot esiin. Ihan siis koko tiedoston sisältö, vastaavat kuin ne alunperin vuodetut 300 tiedostoa. Noista siis löytyy nimi, henkilötunnus, sähköposti, puhelinnumero, osoite sekä kaikki muistiinpanot terapiaistunnoista. Sitähän tosin kukaan ei voi varmaksi sanoa onko nämä lisätty oikeasti ulkopuolisen toimesta. Kyllä se alkuperäinen hakkeri varmasti osaa olla halutessaan myös käyttämättä sitä trippikoodiaan jolla on tähän asti itsensä tunnistanut ja postata anonyymisti kuten monet muutkin käyttäjät. Esimerkiksi tavoitteenaan johtaa tutkintaa harhaan ja uskotella, että tiedot olisi useammallakin.

Hetki sitten postattiin myös Aleksi Valavuoren tiedot jonkun anonyymin toimesta ilmeisesti sen takia kun Valavuori "uhosi" asiasta Twitterissä.

Tuli tässä muuten tätä kirjoittaessa mieleen, että miksi ihmeessä kukaan käyttää työsähköpostia rekisteröityessään yhtään mihinkään työn ulkopuoliseen palveluun tai asiaan? Nuo poliisien tiedotkin vuodettiin vain siksi, että ovat ilmoittaneet sähköpostikseen @poliisi.fi päätteisen osoitteen jolloin ne on äärettömän helppo löytää. Minulle ei tulisi mieleenkään rekisteröityä työsähköpostilla mihinkään mikä ei liity töihin ihan suoraan. Kai nyt kaikilla on myös ihan henkilökohtainen sähköposti? Työpaikat kun kuitenkin tuppaavat elämän aikana vaihtumaan. Näitäkään poliisien tietoja ei varmasti olisi erikseen vuodettu tällä tavoin, jos eivät olisi itse identifioineet itseään poliisiksi sähköpostiosoitteellaan.
 
Viimeksi muokattu:
Tässä tätä ketjua lueskelen ja luulen, että täällä on sen verran tietävää porukkaa jotka osaisivat ehkä vastata kysymykseeni. Itse en ole kyseisen Vastaamon asiakas, mutta mietin, että pystyykö omia tietoja esim. lääkärikäynneiltä mitenkään poistamaan/piilottamaan näkyvistä näistä rekistereistä minne ne tallennetaan? (Esim Omakanta) tai joku julkisen puolen lääkäri. Hieman kuumottaa.
Lyhyt vastaus on että potilastietoja ei pysty poistamaan tiettyjä poikkeuksia lukuunottamatta. Näiden lisäksi kirjauksia on mahdollista korjata jos kirjattu väärin tietoja. Poistoon lähinnä liittyy että tieto ei pidä alkujaankaan paikkaansa tai että potilastietoihin on kirjattu jotain sinne kuulumatonta. Mitä tulee piilottamiseen ehkä lähinnä aikaisemminkin täällä keskusteltu tietojen jakamisen kieltäminen ehkä lähinnä mitä voi tehdä
 
Tuli tässä muuten tätä kirjoittaessa mieleen, että miksi ihmeessä kukaan käyttää työsähköpostia rekisteröityessään yhtään mihinkään työn ulkopuoliseen palveluun tai asiaan? Nuo poliisien tiedotkin vuodettiin vain siksi, että ovat ilmoittaneet sähköpostikseen @poliisi.fi päätteisen osoitteen jolloin ne on äärettömän helppo löytää. Minulle ei tulisi mieleenkään rekisteröityä työsähköpostilla mihinkään mikä ei liity töihin ihan suoraan. Kai nyt kaikilla on myös ihan henkilökohtainen sähköposti? Työpaikat kun kuitenkin tuppaavat elämän aikana vaihtumaan. Näitäkään poliisien tietoja ei varmasti olisi erikseen vuodettu tällä tavoin, jos eivät olisi itse identifioineet itseään poliisiksi sähköpostiosoitteellaan.
Jospa nuo ovat jotain työhön liittyviä käyntejä, polliisithan saattavat joutua johonkin järkyttäviin tilanteisiin ja niitä on käyty käsittelemässä.
 
En ole lukenut kaikkia aiheeseen liittyviä uutisia mutta onko tosiaan niin että noinkin tärkeille järjestelmille ei tehdä oikeaa tietoturva-auditointia? Toihan systeemi ois saanu urhomatit välittömästi. Minua tosiaan huolettaa sosiaali- ja terveyslaitosten tietoturva tämmöisten uutisten jälkeen. Sen verran olen ainakin kuullut että jotkut terveyskeskukset ja sairaalat käyttävät vielä jopa Windows XP:tä joka on jo itsessään aika puistattava ajatus.
 
En ole lukenut kaikkia aiheeseen liittyviä uutisia mutta onko tosiaan niin että noinkin tärkeille järjestelmille ei tehdä oikeaa tietoturva-auditointia? Toihan systeemi ois saanu urhomatit välittömästi. Minua tosiaan huolettaa sosiaali- ja terveyslaitosten tietoturva tämmöisten uutisten jälkeen. Sen verran olen ainakin kuullut että jotkut terveyskeskukset ja sairaalat käyttävät vielä jopa Windows XP:tä joka on jo itsessään aika puistattava ajatus.

Joo ulkopuolista auditointia ei tarvita koska "B-luokan" toimija ja järjestelmä... No tähän tulee taatusti muutos.
 
En ole lukenut kaikkia aiheeseen liittyviä uutisia mutta onko tosiaan niin että noinkin tärkeille järjestelmille ei tehdä oikeaa tietoturva-auditointia? Toihan systeemi ois saanu urhomatit välittömästi. Minua tosiaan huolettaa sosiaali- ja terveyslaitosten tietoturva tämmöisten uutisten jälkeen. Sen verran olen ainakin kuullut että jotkut terveyskeskukset ja sairaalat käyttävät vielä jopa Windows XP:tä joka on jo itsessään aika puistattava ajatus.
Ei pidä paikkaansa, suurimmassa osassa on jo seiska käytössä ;) Ja tämä ei ole vitsi. Meillä päivitettiin kymppiin reilu vuosi sitten.
 
Tuli tässä muuten tätä kirjoittaessa mieleen, että miksi ihmeessä kukaan käyttää työsähköpostia rekisteröityessään yhtään mihinkään työn ulkopuoliseen palveluun tai asiaan? Nuo poliisien tiedotkin vuodettiin vain siksi, että ovat ilmoittaneet sähköpostikseen @poliisi.fi päätteisen osoitteen jolloin ne on äärettömän helppo löytää. Minulle ei tulisi mieleenkään rekisteröityä työsähköpostilla mihinkään mikä ei liity töihin ihan suoraan. Kai nyt kaikilla on myös ihan henkilökohtainen sähköposti? Työpaikat kun kuitenkin tuppaavat elämän aikana vaihtumaan. Näitäkään poliisien tietoja ei varmasti olisi erikseen vuodettu tällä tavoin, jos eivät olisi itse identifioineet itseään poliisiksi sähköpostiosoitteellaan.

Joku ehti jo vastaamaankin että ehkä nuo oli työhön liittyviä asioita. Muutoin minullakin on monessakin palvelussa vielä työsähköposti koska kun tulin kauan sitten töihin niin se oli käytännössä täysin paskojen roxette92@jippii.fi ja gunsandroses4ever@suomi24 tasoisten sähköpostien sijaan jotenkin älykkään kuuloinen etunimi.sukunimi@virallinentaho.fi. Toki alan nörttinä ehdin varaamaan etunimisukunimi@gmailin jo kun se tuli 1GB inviteonlynä, mutta old habits die hard.

Mitään pysyviä järjesetlmiä kuten gmailia ei ollut edes olemassa, joka vuosi tuli uusia THE portaaleja. Ilmeisesti nuo vuodetut poliisiosoitteet esimerkiksi kuuluivat tyypeille jotka ovat aloittaneet töissään paljon ennen tätä aikaa joten on ehkä käytössä vain yksi virallinen sähköposti.
 
Todennäköisesti tuo root:root on hakkerin omasta tietokannasta. Toivottavasti ainakin.
Se on kyllä ollut alusta asti selvää, että tämä root:root juttu on ihan ankka. Kun ensinnäkään tuollaista oletustunnusyhdistelmää ei oikein millään järjestelmällä ole.

Itse veikkaan, että tässä on hyödynnetty jotain PHP:n tietoturva-aukkoa, jolla on päästy kantaan kiinni.
 
Joku ehti jo vastaamaankin että ehkä nuo oli työhön liittyviä asioita. Muutoin minullakin on monessakin palvelussa vielä työsähköposti koska kun tulin kauan sitten töihin niin se oli käytännössä täysin paskojen roxette92@jippii.fi ja gunsandroses4ever@suomi24 tasoisten sähköpostien sijaan jotenkin älykkään kuuloinen etunimi.sukunimi@virallinentaho.fi. Toki alan nörttinä ehdin varaamaan etunimisukunimi@gmailin jo kun se tuli 1GB inviteonlynä, mutta old habits die hard.

Mitään pysyviä järjesetlmiä kuten gmailia ei ollut edes olemassa, joka vuosi tuli uusia THE portaaleja. Ilmeisesti nuo vuodetut poliisiosoitteet esimerkiksi kuuluivat tyypeille jotka ovat aloittaneet töissään paljon ennen tätä aikaa joten on ehkä käytössä vain yksi virallinen sähköposti.

Voi olla tosiaan, että asia on jotenkin näin. Olen itsekin iältäni kolmenkympin paremmalla puolella ja ruvennut internetiä sekä sähköpostia käyttämään jo ennen 2000-lukua. Muistan itsekin omistaneeni juuri jotain vähän epämääräisiä @jippii.fi osoitteita aikoinaan, tosin tuolloin olin vielä niin nuori että mikään kesätöitä kummempi työnhaku ei ollut ajankohtaista. Gmail aloitti toimintansa 2004, eli siitäkin on kuitenkin jo yli 16 vuotta. Silloin minäkin rekisteröin itselleni etunimisukunimi@gmail.com osoitteen ja sitä on siitä asti käytetty oikeastaan ihan kaikessa.

Mutta näin nykypäivänä en tosiaan keksi mitään järkevää syytä käyttää työsähköpostia asioihin, jotka eivät liity suoraan töihin. Siinähän voisi esimerkiksi jäädä tärkeää dataa sinne sähköpostiin "jumiin" kun työsuhde päättyy syystä tai toisesta. Lisäksi teoriassa työnantajasi voi lukea sähköpostisi työsähköpostiosoitteestasi, eli ei tulisi mieleenkään käyttää sitä yhtään minkään henkilökohtaisten asioiden hoitamiseen. Toki yleensä työnantajaansa luottaa ja tuollainen työsähköpostinkin lukeminen työnantajan toimesta on laitonta ilman erityistä perustetta, mutta näissä asioissa olen aina mennyt yksityisyys edellä "better safe than sorry" -mentaliteetilla.
 
En ole lukenut kaikkia aiheeseen liittyviä uutisia mutta onko tosiaan niin että noinkin tärkeille järjestelmille ei tehdä oikeaa tietoturva-auditointia? Toihan systeemi ois saanu urhomatit välittömästi. Minua tosiaan huolettaa sosiaali- ja terveyslaitosten tietoturva tämmöisten uutisten jälkeen. Sen verran olen ainakin kuullut että jotkut terveyskeskukset ja sairaalat käyttävät vielä jopa Windows XP:tä joka on jo itsessään aika puistattava ajatus.
Pitäisi kyllä olla pakollinen auditointi kerran vuoteen kaikille potilastietoja käsitteleville järjestelmille. Ja tietomurron tapahtuessa kovat sanktiot, jos huomataan että auditointia ei ole suoritettu.

Toivottavasti tähän tulee jotain muutosta tämän tapauksen jälkeen.
 

Tuossa Vastaamon entisen työntekijän postaus aiheeseen liittyen jos kiinnostaa. Hyvä pointti tuo että koska kaikki materiaali on ollut sähköistä ja Vastaamon omaisuutta, ne jäävät sinne vaikka työntekijä lähtee potilaat mukanaan, mitä todennäköisesti nyt tulee joukkopaon omaisesti tapahtumaan. Toki ne voi sitten kirjallisesti erikseen pyytää jos tarvetta tulee.
 
Jep, pitää ihan paikkaansa, sinne on launtain ja sunnuntain välisenä yönä joku laittanut kuuden poliisin tiedot esiin. Ihan siis koko tiedoston sisältö, vastaavat kuin ne alunperin vuodetut 300 tiedostoa. Noista siis löytyy nimi, henkilötunnus, sähköposti, puhelinnumero, osoite sekä kaikki muistiinpanot terapiaistunnoista. Sitähän tosin kukaan ei voi varmaksi sanoa onko nämä lisätty oikeasti ulkopuolisen toimesta. Kyllä se alkuperäinen hakkeri varmasti osaa olla halutessaan myös käyttämättä sitä trippikoodiaan jolla on tähän asti itsensä tunnistanut ja postata anonyymisti kuten monet muutkin käyttäjät. Esimerkiksi tavoitteenaan johtaa tutkintaa harhaan ja uskotella, että tiedot olisi useammallakin.

Hetki sitten postattiin myös Aleksi Valavuoren tiedot jonkun anonyymin toimesta ilmeisesti sen takia kun Valavuori "uhosi" asiasta Twitterissä.
Vaikuttaa tosiaan siltä, että se jaossa ollut iso paketti on pitänyt sisällään koko potilasrekisterin ja se on nyt useammallakin henkilöllä ja osa näistä on valmis myös julkaisemaan niitä tietoja ainakin osittain. Siinä uhreille jälleen yksi syy lisää olla maksamatta mitään kiristäjille.
 
Joo ulkopuolista auditointia ei tarvita koska "B-luokan" toimija ja järjestelmä... No tähän tulee taatusti muutos.
Tällaiset luokittelut on vahva osoitus siitä, että tässä on taustalla ennen kaikkea valtiotason epäonnistuminen. Nyt huudellaan lähinnä pyörävarkaan perään, kun valtio on ensin omilla toimillaan pakottanut ihmiset säilyttämään pyöriä lukitsemattomina kadulla.

Valtiolla on positiivinen velvoite huolehtia ihmisten yksityisyydensuojasta. Koko oikeutus terveysalan digitalisaatioon nojaa siihen, että digitalisaatio ei vaaranna ihmisten henkilötietoja. Tältä oikeutukselta putosi nyt pohja.
 
Vastaamon hallituksen puheenjohtaja Tuomas Kahri kertoo STT:lle, että hän on nähnyt yhden työntekijälle lähetetyn kiristysviestin. Kahrin käsityksen mukaan kyseessä on sama viesti, jonka kiristyksen kohteeksi joutuneet asiakkaat ovat saaneet.


 
Viimeksi muokattu:
Pitäisi kyllä olla pakollinen auditointi kerran vuoteen kaikille potilastietoja käsitteleville järjestelmille. Ja tietomurron tapahtuessa kovat sanktiot, jos huomataan että auditointia ei ole suoritettu.

Toivottavasti tähän tulee jotain muutosta tämän tapauksen jälkeen.
Yksittäisiä paikkoja, ja vaatimuksetkaan vie välttämättä hyvään suuntaan.

niin se taasen tekee asioista kankeita, kalliita jne.

En tarkoita että pitäisi jokaisen tomian omalla vastuulla.

Ehkä taustalla vähän vaikuttaa kriittisyys ajatuksesta että jotkin potilastiedot olisivat isosti keskitettynä jossain yhdessä paikkaa ja vielä niin että dataan olisi teknisesti teoriassa yksitäisellä henkilöllä mahdollisuus päästä, edes salattuna, saati purkumahdollisuus.
 
Ylilaudalla joku kiinnitti huomiota siihen, että tietomurron kovin rangaistus on vuosi ehdotonta ja silloin rikos vanhenee kahdessa vuodessa.

Törkeä yksityiselämää loukkaavan tiedon levittäminen taas on rikos josta voi saada kolme vuotta vankeutta, jolloin se vanhenee vasta 10 vuoden jälkeen teosta.

Ei ole vuosi, vaan kaksi vuotta, eli syyteoikeus vanhenee viidessä vuodessa. Jos kyseessä on törkeä tietomurto, niin maksimi on 3v eli tällöin olisi 10 vuotta syyteoikeutta.

Halutessan näistä voisi vetää sellaisen johtopäätöksen, että lain silmissä kaikki mitä Internetissä tapahtuu on viestintää. Ja vuodettuja tietoja omalle koneelle ladattaessa todellakin saatat hankkia oikeudettomasti 'viestintää'

Aika kaukaa haettua ja kuka tahansa tietysti voi halutessaan vetää tuommoisen johtopäätöksen, mutta eipä taida tuomioistuimet sellaista vetää. Tuossa selitetään tarkemmin Viestintäsalaisuuden loukkaus - Minilex .
 
Tällaiset luokittelut on vahva osoitus siitä, että tässä on taustalla ennen kaikkea valtiotason epäonnistuminen. Nyt huudellaan lähinnä pyörävarkaan perään, kun valtio on ensin omilla toimillaan pakottanut ihmiset säilyttämään pyöriä lukitsemattomina kadulla.

Valtiolla on positiivinen velvoite huolehtia ihmisten yksityisyydensuojasta. Koko oikeutus terveysalan digitalisaatioon nojaa siihen, että digitalisaatio ei vaaranna ihmisten henkilötietoja. Tältä oikeutukselta putosi nyt pohja.
Tosiaan hieman tuntuu, että huomio koitetaan väkisin siirtää tähän hakkeriin vaikka kyseessä on todennäköisesti joku nuori yksittäinen veijari. Kuitenkin tämä ilmeisen luokaton tietoturva on ollut täysin Valviran hyväksymää. Tai oikeastaan Valviralla ei ilmeisesti ole mitään käryä näiden B-luokan järjestelmien suhteen. Todellista B-luokkaa kymmenien tuhansien ihmisten terapiatiedot ovatkin. Eikä sillä ettei murtautujakin pitäisi saada kiinni ja rangaistavaksi. Mutta pitäisi varmistaa myös ettei näin pääse jatkossa käymään. Joka vaatisi sen, että Valvira tekee työnsä ja valvoo miten potilastietoja säilytetään.
 
Tosiaan hieman tuntuu, että huomio koitetaan väkisin siirtää tähän hakkeriin vaikka kyseessä on todennäköisesti joku nuori yksittäinen veijari. Kuitenkin tämä ilmeisen luokaton tietoturva on ollut täysin Valviran hyväksymää. Tai oikeastaan Valviralla ei ilmeisesti ole mitään käryä näiden B-luokan järjestelmien suhteen. Todellista B-luokkaa kymmenien tuhansien ihmisten terapiatiedot ovatkin. Eikä sillä ettei murtautujakin pitäisi saada kiinni ja rangaistavaksi. Mutta pitäisi varmistaa myös ettei näin pääse jatkossa käymään. Joka vaatisi sen, että Valvira tekee työnsä ja valvoo miten potilastietoja säilytetään.
Ei Valvira ole ketään pakottanut käyttämään heikkotasoisia suojausmenetelmiä ja laiskoja ylläpitäjiä. Kovin naiivia olisi myös olettaa, että Valviralla olisi resursseja valvoa ja testata aktiivisesti kaikkien toimijoiden tietojärjestelmiä. Uhkailla ja vaatia toki voi, mutta se on eri asia. Ja joku 10v välein tehtävä auditointikaan ei auta käytännössä yhtään mitään, kun systeemit happanevat käsiin vuodessa.

Syyllinen löytyy nimenomaan Vastaamosta, mutta jospa tämän tapauksen jälkimainigeissa sitten jossakin vaiheessa myös niitä vaatimuksia ja uhkasakkoja kiristetään, jotta nämä itseoppineet koodarit eivät pääse aiheuttamaan tällaisia katastrofeja.
 
Todennäköisesti tuo root:root on hakkerin omasta tietokannasta. Toivottavasti ainakin.

No tämän voi myös ajatella niin että vahvistaa tuon root:rootin.

- Kanta dumpattu kokonaisuudessaan
- Importti sisälle omalle koneelle
- Samat tunnarit toimii suoraan kuin originaalissa
 

" – B-luokan järjestelmiä on rekisterissä 260, ja minä olen ainoa valvova henkilö tällä hetkellä, joten sellainen ennakoiva, säännönmukainen, proaktiivinen valvonta on kyllä näille hyvin vähäistä, Härkönen kuvaa."

Summa summarum. Apottiin ja muihin upotetaan rahaa tolkuttomia määriä ja lisää tulee menemään. Ja sitten on 260 järjestelmää, joita "valvoo" yksi henkilö Valvirasta. Kukaan ei ole vaivautunut miettimään kokonaisuutta vaikka ihan riskienhallinnan kannalta. Saatanan tunarit, voisi jopa sanoa. Tässä pitäisi antaa monoa jo useammallekin virkamiehelle ja poliitikolle. Ja tietysti vankilaa noille [korjattu:] Vastaamon (oli Valviran) vastuullisille.

Onkohan julkinen asiakirja, jossa Valviran vaatmiustenmukaisuus on todennettu Vastaamon toimesta? Ja kuka sen on erehtynyt allekirjoittamaan ja sitten todentamaan? Tietysti jos vaatimukset on tyyliin "tietoturva on otettu huomioon" niin jepjep. Suomi on kuulemma digitalisaation kärkimaa, näin väitetään. Ei uskoisi.

Lenin sanoi aikanaan: "luottamus hyvä kontrolli parempi".
 
Viimeksi muokattu:
En ole lukenut kaikkia aiheeseen liittyviä uutisia mutta onko tosiaan niin että noinkin tärkeille järjestelmille ei tehdä oikeaa tietoturva-auditointia? Toihan systeemi ois saanu urhomatit välittömästi. Minua tosiaan huolettaa sosiaali- ja terveyslaitosten tietoturva tämmöisten uutisten jälkeen. Sen verran olen ainakin kuullut että jotkut terveyskeskukset ja sairaalat käyttävät vielä jopa Windows XP:tä joka on jo itsessään aika puistattava ajatus.
Mikä on oikeaa? On tietoturva-auditointia, "tietoturva-auditointia" ja sitten on ihan kunnon testausta. Pääosa auditeista on (valitettavasti) skannerin ajamista ja perusvirheiden tarkastusta jonka laatua/arvoa voi kyseenalaistaa aika reippaasti. Tästä saa kiittää pätemätöntä tilaajapuolta jotka ei vaadi parempaa, koska mikään ei vaadi ja muutaman tahon auditeihin tässä maassa luotetaan kuin kallioon.

Jos siihen tietoturvaan käytettäisiin edes vähän enemmän aikaa ja rahaa saisi ihan oikeaa testausta, jopa kehityksen aikaisia tietoturvatoimia (uhkamallinnusta, eri muotoista testausta jne. eli kehitysmalleihin sidottua tekemistä. Mutta kun katsoo nyt vellovaa keskusteluakin niin vaaditana tiukempaa lakia, viranomaiskontrollia jne. jotka ei johda kuin näihin minimivaatimusauditeihin joiden arvo on lähellä nollaa. Havaintoja tulee paljonkin, mutta liian paljon ihan perusvirheitä jää huomioimatta.

Tietoturva ei ole vain testausta eikä se maagisesti ilmesty kun tehdään lopussa auditointi. Kokonaisprosentti mitä IT taikka hankebudjeteista käytetään tietoturvaan tai turvallisuuteen ylipäätänsä on naurettavan pientä. Paperilla kyllä tehdään hommia, mutta todellisuus on muuta.
 
Tässä nyt on vähän sellanen ongelma että asiakkaana ei ole mitään mahdollisuutta tietää tai saada selville mihin tietoja tallennetaan, kuka niitä käsittelee, missä muodossa, millä algoritmeilla jne.

Täälläkin varmaan moni on töissä nähnyt isoissa firmoissakin kaikenlaista mikä ei oikein päivänvaloa kestä.
 
No tämän voi myös ajatella niin että vahvistaa tuon root:rootin.

- Kanta dumpattu kokonaisuudessaan
- Importti sisälle omalle koneelle
- Samat tunnarit toimii suoraan kuin originaalissa

Paitsi että tietokantadumpissa ei ole mukana tietokantaohjelman salasanoja.
 
Ehkä tämäkin tapaus lopulta saa aikaan esim lainmuutoksen jonka perusteella kaikki terveydenhuollon asiakastietoja keräävät toimijat joutuvat auditoimaan järjestelmänsä lain/valviran A luokan vaatimusten mukaan. Itse en ainakaan muista että isojen kuntien/sairaanhoitopiirien potilastietoja olisi vuotanut julkisuuteen muuten kuin urkinnan kautta ja ainakin vielä on luottoa oman kunnan ja sairaanhoitopiirin järjestelmiin. Toisaalta nyt on tullut myös suurelle yleisölle paljon tietoa ja siitä voi olla hyötyä esim valitessaa yksityistä sairaanhoitopalvelun tarjoajaa, katsoo vaan että se on liittyny kanta palveluun jolloin voi odottaa heidän tietoturvan olevan edes jollain tasolla kunnossa.
 
Kai tässä se ongelma on, että terapiaa puoskarin* toimesta ei lasketa oikeaksi lääketieteeksi, kuten vaikkapa just hammaslääkärikäyntejä, ja siksi B-luokka.

* psykologi tms. vs. psykiatri
 
Kai tässä se ongelma on, että terapiaa puoskarin* toimesta ei lasketa oikeaksi lääketieteeksi, kuten vaikkapa just hammaslääkärikäyntejä, ja siksi B-luokka.

* psykologi tms. vs. psykiatri
Taitaa olla enemmänkin palveluntarjoajan koosta kiinni, ei varmaankaan yksittäisen terapeutin ole rahallisesti kannattavaa tehdä tälläistä investointia, tälläiset asiat kyllä pitää ottaa huomioon myös jos ja kun uudistuksia tehdään. Toisaalta psykiatri ja hoidon toteuttava taho esim psykologi ovat kyllä molemmat terveydenhuollon ammattilaisia, toimenkuva vaan on hieman erilainen.
 
Viimeksi muokattu:
Mikä on oikeaa? On tietoturva-auditointia, "tietoturva-auditointia" ja sitten on ihan kunnon testausta. Pääosa auditeista on (valitettavasti) skannerin ajamista ja perusvirheiden tarkastusta jonka laatua/arvoa voi kyseenalaistaa aika reippaasti. Tästä saa kiittää pätemätöntä tilaajapuolta jotka ei vaadi parempaa, koska mikään ei vaadi ja muutaman tahon auditeihin tässä maassa luotetaan kuin kallioon.

Jos siihen tietoturvaan käytettäisiin edes vähän enemmän aikaa ja rahaa saisi ihan oikeaa testausta, jopa kehityksen aikaisia tietoturvatoimia (uhkamallinnusta, eri muotoista testausta jne. eli kehitysmalleihin sidottua tekemistä. Mutta kun katsoo nyt vellovaa keskusteluakin niin vaaditana tiukempaa lakia, viranomaiskontrollia jne. jotka ei johda kuin näihin minimivaatimusauditeihin joiden arvo on lähellä nollaa. Havaintoja tulee paljonkin, mutta liian paljon ihan perusvirheitä jää huomioimatta.

Tietoturva ei ole vain testausta eikä se maagisesti ilmesty kun tehdään lopussa auditointi. Kokonaisprosentti mitä IT taikka hankebudjeteista käytetään tietoturvaan tai turvallisuuteen ylipäätänsä on naurettavan pientä. Paperilla kyllä tehdään hommia, mutta todellisuus on muuta.

Joku voisi jopa esittää toiveen digitaalisten tietoturva-asioiden yhteiskuntavastuullisuuden yms. tason parantamisesta siis ihan lainsäädännöllisellä tasolla.
 
Kai tässä se ongelma on, että terapiaa puoskarin* toimesta ei lasketa oikeaksi lääketieteeksi, kuten vaikkapa just hammaslääkärikäyntejä, ja siksi B-luokka.

* psykologi tms. vs. psykiatri
Se B-luokka tarkoittaa, että organisaation tietojärjestelmää ei ole liitetty kansalliseen Kanta-palveluun. Ei se tarkoita, että se automaattisesti olisi jotenkin paska palvelu, vaikka tässä tapauksessa näin ehkä olikin.

Kantaan liitettävät palvelut kuuluvat A-luokitukseen ja niillä on samalla myös erilaiset tietoturvavaatimukset ja sertifioinnit.
 

Liikenne- ja viestintävirasto Traficom on avannut yhdessä muiden viranomaisten kanssa Tietovuotoapu.fi-sivuston, jonne kootaan oleellinen tieto Psykoterapiakeskus Vastaamon tietomurron uhrien auttamiseksi. Sivustolla on tarjolla toimintaohjeita ja auttavien tahojen yhteystiedot.


Edit: Tietovuotoapu | Tietovuotoapu
 
Tänään muuten alkoi #Digiturvaviikko :think:

Mikä #Digiturvaviikko?
Digiturvaviikolla haastamme organisaatiot ja niiden työntekijät käyttämään yhden työtunnin viikon aikana digitaalisen turvallisuuden edistämiseen.

Digiturvaviikolla järjestetään monipuolista ja opettavaista ohjelmaa digitaalisen turvallisuuden kentältä myös organisaatioiden asiantuntijoille. Ohjelmassa on haastatteluita kiinnostavien henkilöiden kanssa, havainnollistavia casetarinoita organisaatioilta digitaalisen turvallisuuden eri osa-alueilta sekä muun muassa livehakkerointia.

Pienillä digitaalisen arjen valinnoilla rakennamme turvallista digitaalista yhteiskuntaa. Yhdessä kehitämme Suomesta maailman digiturvallisimman maan.

:think:
Ihan kiva, mutta entä se piruparka kuluttaja, jonka luottamuksellinen tieto on levällään erilaisissa "B-luokan" järjestelmissä :facepalm:
 
Kun joku kyseli aikaisemmin noiden subdomainien selvittämisestä niin teoriassa kaikkia mahdollisia ei saa ilman bruteforcea(joka sekään nyt ei kauaa kestä, kaikki on suhteellista), mutta tällä tarvittavalla tasolla ne todellakin saa sekunneissa:

1603576610511.png

Mitenkäs, osaakos joku heittää lonkalta kuinka monta tietoturvapäivitystä tuon 2.4.18 Apassin ja uusimman välillä on tullut? Mietin että meneekö moinen enää edes törkeän huolimattomuuden piikkiin? Selkokielinen kanta, palvelin avoinna julkiseen verkkoon ja vanhat versiot... :/
 
Mitenkäs, osaakos joku heittää lonkalta kuinka monta tietoturvapäivitystä tuon 2.4.18 Apassin ja uusimman välillä on tullut? Mietin että meneekö moinen enää edes törkeän huolimattomuuden piikkiin? Selkokielinen kanta, palvelin avoinna julkiseen verkkoon ja vanhat versiot... :/
Uusin vakaa versio taitaa olla 2.4.46
Onko tässäkin parilliset versionumerot vakaita?!
 
Ei kai tuossa 2.4.18 Apachessa mitään hirveän vakavia aukkoja ole, joista helposti pääsisi mitään suoraan palvelimelle tekemään.

Mutta kyllähän jo tuo, että nuo palvelimet suoraan kertoo headereissa mikä versio täällä vastailee, antaa kuvan ettei siellä paljon näitä asioita ole viitsitty miettiä.

www.vastaamo.fi kertoo muuten yhä edelleen jopa sen mikä iän ikuinen PHP-versio sitä pyörittää :facepalm:
 
Shodan.io myös tarjoaa aika hyvin tietoja: 95.175.109.219

PHP versio 5.6.40 ei sekään mikään tuorein ja muutama CVE löytyy sieltäkin PHP PHP version 5.6.40 : Security vulnerabilities

Ubuntu 16.04.1 sentään LTS versio, uusin päivitys sillekin kyllä jo 16.04.7.

"Mitä sitä toimivaa järjestelmää päivittämään" samalla ois voinut päivittävä kaveri fiksata ihan vahingossakin nyt käytetyn aukon.
 
Joo, tuon jälkeen löysinkin tollasen sivun jonka mukaan tuossa versiossa olisi 26 security vulnerabilitiä... Tiedä sitten :/
Tuo Ubuntu 16.04 Apache on numeroitu seuraavasti. Uusin on 2.4.18-2ubuntu3.17 ja jotain päivityksiä siihen tulee.
 
Iltasanomien jutussa pohditaan miksi hakkeri odotellut 2 vuotta. Voisiko olla että on sen ajan yrittänyt saada Vastaamolta rahaa, joka kuitenkin kieltäytynyt ja painanut asian nk. "villaisella" ja toivonut ettei paska osu tuulettimeen.

Samaan aikaan Vastaamo tehnyt B-suunnitelman, siirtänyt varoja yrityksestä ulos ja siten varautua pahimpaan.
Tilinpäätöstiedoissa yhdessä vuodessa lähes 1 meur muutos tuloksessa joka herättää epäilyksiä ainakin itselleni.
 
Iltasanomien jutussa pohditaan miksi hakkeri odotellut 2 vuotta. Voisiko olla että on sen ajan yrittänyt saada Vastaamolta rahaa, joka kuitenkin kieltäytynyt ja painanut asian nk. "villaisella" ja toivonut ettei paska osu tuulettimeen.

Samaan aikaan Vastaamo tehnyt B-suunnitelman, siirtänyt varoja yrityksestä ulos ja siten varautua pahimpaan.
Tilinpäätöstiedoissa yhdessä vuodessa lähes 1 meur muutos tuloksessa joka herättää epäilyksiä ainakin itselleni.
Minä en usko tähän. Omien lähteideni pohjalta pidän todennäköisimpänä sitä, että eivät vain ole tajunneet joutuneensa tietomurron kohteeksi tuolloin 2018-2019. Uskon että ovat saaneet tiedon tästä vasta kun kiristys alkanut ja tehneet sitten rikosilmoituksen. Eli noin kuukausi sitten.
 
Samaan aikaan Vastaamo tehnyt B-suunnitelman, siirtänyt varoja yrityksestä ulos ja siten varautua pahimpaan.
Tilinpäätöstiedoissa yhdessä vuodessa lähes 1 meur muutos tuloksessa joka herättää epäilyksiä ainakin itselleni.
Tuo nyt voi selittyä ihan kirjanpidollisilla toimilla. Ei firmasta niin vain pysty nostamaan varoja ulos. Tai jos sen tekee laittomasti, niin harvemmin näkyy tuloksessa.

Mutta se toki mielenkiintoista, että vuosi sitten kesällä perustajat myivät enemmistön pääomasijoittajille (linkki jo edellisellä sivulla tässä ketjussa): Vastaamon perustajat saivat viime vuonna miljoonapotin – vuoden 2020 tärkeiden asioiden listalla oli ”IT Kotipesä kuntoon”
 
Uusin vakaa versio taitaa olla 2.4.46
Onko tässäkin parilliset versionumerot vakaita?!

Turhaan te näitä versionumeroita arvotte. Kuten on aiemminkkin sanottu, se ei ole mikään indikaatio siitä, onko järjestelmään asennettu päivitykset vai ei. Kaikki ns. vakavasti otettavat yrityskäytössä suositut Linux-jakelut toimivat niin, että jakelun version elinkaaren ajan softien versiot pysyvät samana, vaikka niihin tulee backportattuja tietoturvapäivityksiä. Tällä vältetään se, että palvelut hajoaisivat päivitysten myötä. Harvemmassa vakavasti otettavassa yrityksessä käännellään käsin ja asennellaan softista uusia versioita, vaan käytetään sitä versiota, jonka Linux-jakelun tuottaja tarjoaa.

Ubuntu 16.04:ssä on tuo 2.4.18 ja siihen on tullut vuosien varrella päivityksiä vaikka kuinka. Ubuntu 16.04 on ihan validia kamaa ensi vuoden huhtikuuhun ja vielä senkin jälkeen, jos maksaa rahaa.
 
Tuo nyt voi selittyä ihan kirjanpidollisilla toimilla. Ei firmasta niin vain pysty nostamaan varoja ulos. Tai jos sen tekee laittomasti, niin harvemmin näkyy tuloksessa.

Mutta se toki mielenkiintoista, että vuosi sitten kesällä perustajat myivät enemmistön pääomasijoittajille (linkki jo edellisellä sivulla tässä ketjussa): Vastaamon perustajat saivat viime vuonna miljoonapotin – vuoden 2020 tärkeiden asioiden listalla oli ”IT Kotipesä kuntoon”

Niin en tarkoittanutkaan että varoja olisi nostettu laittomasti, vaan maksettu reilummin osinkoja, nostettu omistajien palkkoja yms. eikä jätetty varoja taseeseen mahdollisten korvausten pelossa.
 
Samaan aikaan Vastaamo tehnyt B-suunnitelman, siirtänyt varoja yrityksestä ulos ja siten varautua pahimpaan.

Miten päädyit tuohon tulkintaan? 2018 maksoi osinkoja 200k. 2019 teki tappiota, mikä nyt ei ainakaan paranna osingonmaksokykyä.

Tilinpäätöstiedoissa yhdessä vuodessa lähes 1 meur muutos tuloksessa joka herättää epäilyksiä ainakin itselleni

Miksi? Pikkukioskeissa tuloksen suuret heittelyt eivät ole mitenkään poikkeuksellisia. Investointi vaikka uusiin toimitiloihin ja vähän liian isot rekrytoinnit, niin äkkiä sen tuloksen saa tappiolle. En siis ole lainkaan tutustunut tuohon firmaan, mutta ei pelkkä tappiollinen tulos vielä kerro yhtään mitään yhtään mistään.
 

Vastaamo: Toimitusjohtaja pimitti tietoja murrosta yli 1,5 vuotta – potkut ja oikeustoimia
Vastaamo kertoo irtisanoneensa toimitusjohtajansa. Hallituksen puheenjohtaja ottaa yhdessä johtoryhmän kanssa Vastaamon johdettavakseen. Samalla alkavat oikeustoimet.

Psykoterapiakeskus Vastaamon toimitusjohtaja pimitti tiedon yhtiön palvelimille tehdystä tietomurrosta yli puolentoista vuoden ajan. Vastaamon hallituksen puheenjohtaja Tuomas Kahri kertoo Ilta-Sanomille, että yhtiön toimitusjohtajana sen perustamisesta asti toiminut Ville Tapio on vapautettu tehtävistään.
Tämän lisäksi Vastaamon omistava Intera Partnetsin holding-yhtiö PTK Midco Oy on aloittanut siviilioikeudelliset toimenpiteet. Kahri on vaitonainen toimenpiteistä.

Nämä saattavat olla esimerkiksi omaisuuden turvaamistoimia. Käytännössä tämä voi tarkoittaa omaisuuden takavarikkoja ja hukkaamiskieltoja.
Tapio on ollut sivussa tehtävistään nyt noin puolentoista viikon ajan. Varsinainen irtisanominen tapahtui tänään maanantaina.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
259 279
Viestejä
4 503 457
Jäsenet
74 378
Uusin jäsen
Juhkelix

Hinta.fi

Back
Ylös Bottom