fi.m.wikipedia.org
Eihän niitä sanktioita ole mikään konttäsumma joka sitten jaetaan syyllisiksi löydetyille. Kyllä jokaisen osalta on ihan omat sanktiot. Negatiivinen julkisuus toki voidaan koittaa työntää johonkin suuntaan.
Myönnän kyllä, että on kaukaa haettua, mutta eipä olisi ensimmäinen kerta kun suomen oikeslaitos selittää mustan valkoiseksi ja kusen paskaksi.
Omavalvontahan on päivän sana. Kaikenmaailman Villetapiot vain vakuuttavat Valviralle, että kaikki kunnossa ja tietoturva huipputasoa, niin Valvira pesee kätensä ja voi todeta syyllisen olevan muualla.
Juurikin näin. Edellyttäen tietysti, että ne backportatut tietoturvafixit asennetaan. Ulkopuoleltahan emme pysty palvelinten todellista päivitystasoa selvittämään.
No ei tietenkään pitäisi, mutta käytännössä Suomen lainsäädäntö on niin umpisurkeaa, että sopimuksia voi tehdä vaikka ei ole todellisuudessa hajuakaan siitä kenen kanssa niitä tekee.Sanokaas viisaammat onko noissa viranomaisten toimenpideohjeissa uhreille järkeä vai ei?
Eikö tässä tapauksessa vuotaneet tiedot ole tyyliin nimi, sotu, osoite, puhelinnro ja potilaskertomukset? Noista varsinkin viimeinen on tietenkin se ikävin asia. Mutta ei kai noilla tiedoilla oikeasti voi ottaa lainoja toisen nimiin tai merkitä henkilöä yrityksen vastuuhenkilöksi? Luottokorttitietoja yms ei ole vuotanut.Neuvoja ja ohjeita tietovuodon uhreille | Tietovuotoapu
Tältä sivulta identiteettivarkauden tai tietovuodon uhrit saavat ajantasaisia ohjeita ja neuvoja. Sivu sisältää linkkejä viranomaisten ja muiden organisaatioiden verkkosivustoilla julkaistuihin ohjeisiin. Sivua päivitetään aktiivisesti.tietovuotoapu.fi
Aika pahasti ristiriidassa sen hallituksen tiedonannon kanssa, mutta siinä varmaan molemmat osapuolet pelaavat omaan pussiin ja totuus on jossakin puolivälissä.
yle.fi
Tässähän oli hyvää pohdintaa. Kyllähän tämä aikalailla syntipukki meininki on.
Minä käsitin, että se uusi paljastus oli tämä toimarin irtisanominen, jota ennen on tehty niitä tutkintapyyntöjä.Paljastaako pilkutus jotakin Vastaamon kiristäjästä? Miksi hän ei osaa teititellä suomeksi? Tämä tiedetään valtavasta kiristysvyyhdistä
Poliisi tutkii rikosta kaikin käytettävissä olevin resurssein eikä kaihda järeitäkään keinoja tekijän kiinni saamiseksi.
"Vastaamosta oli jo ennen uutta paljastusta tehty useita tutkintapyyntöjä, joissa poliisia pyydetään selvittämään, onko yritys syyllistynyt rikokseen tietojen säilyttämisessä tai tietoturvaan liityvissä laiminlyönneissä."
Mitä tuo "ennen uutta paljastusta" tarkoittaa? Siis ennen kuin tämä paskamyrsky tuli julkisuuteen? Aikamoista
"Marraskuun 2018 tietovuoto ja siihen johtaneet virheet paljastuivat minulle vasta Nixun tutkimuksen pohjalta lokakuussa 2020. "
Tuosta jutusta poimittu: ”Kiristäjän käyttämä englanti ei erityisesti viittaa syntyperäiseen englannin puhujaan. Esimerkiksi pilkunkäyttö sekä tietyt sanajärjestykset ja sanonnat viittaavat pikemmin suomen kuin englannin puhujaan.”Paljastaako pilkutus jotakin Vastaamon kiristäjästä? Miksi hän ei osaa teititellä suomeksi? Tämä tiedetään valtavasta kiristysvyyhdistä
Poliisi tutkii rikosta kaikin käytettävissä olevin resurssein eikä kaihda järeitäkään keinoja tekijän kiinni saamiseksi.
"Vastaamosta oli jo ennen uutta paljastusta tehty useita tutkintapyyntöjä, joissa poliisia pyydetään selvittämään, onko yritys syyllistynyt rikokseen tietojen säilyttämisessä tai tietoturvaan liityvissä laiminlyönneissä."
Mitä tuo "ennen uutta paljastusta" tarkoittaa? Siis ennen kuin tämä paskamyrsky tuli julkisuuteen? Aikamoista
Niin, onko tietoa onko nämä auditoitiin liittyvät vaatimukset ja niiden perusteella tehdyt asiakirjat julkisia? Nehän voi silloin kuka tahansa vaatia nähtäväksi. Veikkaan, että Valviran vaatimukset B-tason järjestelmille on ihan täyttä kuraa. Ja Vastaamon näitä vaatimuksia vasten tekemät omaehtoiset selvitykset ei kelpaisi edes ulkohuussin paperiksi. Kuten joku jo sanoi, niin _kaikki_ nämä vastaavaa sote-infoa käsittelevät instanssit pitäisi sitten ottaa Kanta-menettelyn mukaiseen prosessiin.
Minusta tuntuu, että nuo lehtien jutut otetaan juuri täältä, kun monesti noita IT-maailman ympärillä pyöriviä lööppijuttuja lukiessa tulee mieleen, että osa jutusta on melkein suoraan omia tai jonkun muun kirjoituksia foorumilta.
Onko mahdollista että joitakin olisi yritetty kiristää henkilökohtaisesti jo ennen kuin asia tuli julkisuuteen? Tyyliin meillä on sinulla tälläistä (ympäripyöreää) tietoa maksa tai julkaisemme. Vastaamon asiakas ei välttämättä ole täysin uskonut että kaikki tiedot on tosiaan vuotaneet mutta tehnyt varmuuden vuoksi tutkintapyynnön. Tai tieto on ollut niin yksilöityä että se ei ole voinut olla peräisin muualta kuin Vastaamosta.
Tälläkin palstalla ollaan nimimerkein vaikka kommentit eivät ole mitään verrattuna terapiatietoihin. Sen verran tärkeänä yksityisyyttä pidetään. Ja valitettavasti ihan varmasti löytyy niitä joita kiinnostaa.
Tässähän olisi nyt markkinarako täyttää Vastaamon jättämä aukko, jos kehittäisi psykoterapiatoimialalle soveltuvan tietojärjestelmän. Kunnollisia ei kuulemma ole saatavilla. Jos homma lähtee lentoon, niin firman voisi panna jonkun vuoden päästä lihoiksi hyvällä voitolla
Tuossa on nimenomaan tietosuojan kanssa ongelmaa, ei tietoturvan. Lähinnä tuosta uutisesta saa sen kuvan, että joku sossu pääsisi halutessaan katselemaan terveystietoja, jotka eivät työhön suoraan liity ja toisinpäin. Tietoturva on tuollaisessa hankkeessa "vähän" eri tasolla kuin näissä yksityisen perhefirmojen virityksissä.Apotti tosiaankin on tähtitieteellisen kallis, eikä voi olla mitään varmuutta siitä, että se olisi tietoturvansa puolesta mitenkään järeä tai 'hintansa veroinen'.
Tietosuojavaltuutettu Reijo Aarnio on vaatinut Vantaalta korjaustoimenpiteitä tietosuojariskien poistamiseksi. Järjestelmä otettiin keväällä käyttöön, vaikka tietosuojan riskien käsittely on vielä kesken tietosuojavaltuutetun toimistossa.
Aarnio on aiemmin todennut, ettei Apotti-järjestelmä voi laajentua ennen tietosuojaongelmien poistamista. Kysymys on siitä, että perusterveydenhuollon potilastietoja ja sosiaalihuollon asiakastietoja saavat katsoa vain kummankin alan tietyt ammattilaiset.
Uutisia
www.vantaa.fi
En tiedä asiasta ja kysyn mielenkiinnosta, mutta miten menetellään, jos esimerkiksi tuon ankkuroidun päätetyn version jälkeen tulee vaikka cve arvolla kova aukko, joka paikataan jossain versiossa? Eikö silloinkaan päivitetä?
yle.fi
Sitähän ei näe onko patchit tullu backporttina
| security, updates (main) | 2020-08-13 | |
| release (main) | 2016-04-16 |
Lainsäädännön mukaan työnantaja ei saa edes googlettaa työnhakijan tietoja rekrytilanteessa, saati sitten tutustua some-historiaan jne. Jotenkin "veikkaisin", että näin ihan satavarmasti tehdään. Mites sitten kun tuollainen hoitohistoria (missä voi olla vaikka huimausaineita tai muuta väärinkäyttöä, eriskummallisia sukupuoliasioita, väkivaltaa, rikoksia sun muita) on saatavilla...oon sen verran pessimisti, että saattaa olla vaikutusta tässäkin mielessä. Toivon toki olevani väärässä, ja kaikki ihmiset toimivat aina eettisesti oikein.
Voi olla vähän ikävämpi vaan tulevaisuudessa yrittää päästä johonkin vähänkin merkittävämpään poliittiseen tai virkamiesasemaan/korkeaan asemaan liike-elämässä, kun mahdollisille vastustajille tarjoutuu mahdollisuus kaivella vähän likapyykkiä menneisyydestä koska vaan halutessaan, jos se on jo nettiin laajasti levinnyt.
Ne vakavat aukot päivitetään yleensä backportattuna niihin vanhempiin vielä käytössä oleviin ja tuettuihin versioihin, eli sitä softaa ei itsessään tarvitse päivittää siihen uusimpaan versioon joka saattaisi rikkoa koko järjestelmän.
Veikkaan, että markkinarako paikkautuu terapeuteilla, jotka tekevät muistiinpanonsa paperille eivätkä jonkun "tein itse ja koodasin" järjestelmään. Yksityisiä tällaisia varmasti löytyy, en tiedä soveltuuko joihinkin veronmaksajien piikkiin meneviin Kela-prosesseihin mutta moniin muihin terapiatarpeisiin.
Jos nyt ymmärsin oikein niin nykyinen omistaja (sijoitusyhtiö) on vapauttanut Tapion tehtävistään ja epäilee, että tämä olisi tiennyt tietovuodosta jo ennen osakekauppoja? Sinällään aivan ymmärrettävä liike sijoitusyhtiöltä, jotta voivat mahdollisesti omia tappioitaan minimoida. Kakka on kyllä tuulettimessa pitkälti jo siltä osin. Pidän edelleen mahdollisena että Tapio ei ole tiennyt tietomurrosta ennen kauppoja. Jos on tiennyt, niin on todella, todella ala-arvoista toimintaa. Työntekijätasolla tuo 2019 on näkynyt niin, että potilaiden tietoja on järjestelmästä hävinnyt eikä kaikkia saatu takaisin näkyviin. Tästä olikin jo yle-uutisessa juttua kun joku oli halunnut aiemmin saada omat tietonsa lähetettäväksi toiseen hoitopaikkaan. Tämä järjestelmään liittyvä ongelma on käsittääkseni silloin puhuttu sisäisenä ongelmana, eikä ole epäilty että tietoja olisi joutunut ulkopuolisten käsiin. Älkää kysykö millä periaatteella tähän ratkaisuun on päädytty...
Siis hetkinen... ymmärsinkö oikein, että 2019 alussa Vastaamon työntekijätkin ovat tienneet, että järjestelmästä on maagisesti vain kadonnut tavaraa? Eikö tämmöinen vaatisi jonkin skriptin ajamisen tms? Ja tällaista ei kukaan siellä firman IT puolella osannut epäillä? En siis ole alan asiantuntija mutta haiskahtaa vähänJa juuri kun olin oman aiemman viestini julkaissut niin tulee ulos tämä Tapio-uutinen.
Jos sinne kantaan menee joku jekkuilemaan ja saanut päätunnukset sekä kantaan että palvelimelle niin sen jekkuilun voi peittää. (muutamalla huomiolla*)Siis hetkinen... ymmärsinkö oikein, että 2019 alussa Vastaamon työntekijätkin ovat tienneet, että järjestelmästä on maagisesti vain kadonnut tavaraa? Eikö tämmöinen vaatisi jonkin skriptin ajamisen tms? Ja tällaista ei kukaan siellä firman IT puolella osannut epäillä? En siis ole alan asiantuntija mutta haiskahtaa vähän
No rekrytoijat tuskin asioita niin paljon penkovat kuitenkaan. Missään kovin julkisessa paikassa näitä tietoja ei voi esillä pitää, kun esillä pitäjä syyllistyy rikokseen. Enemmän tämä on ongelma, jos joku haluaa oikeasti kaivella tai käyttää pahantahtoisesti.Lainsäädännön mukaan työnantaja ei saa edes googlettaa työnhakijan tietoja rekrytilanteessa, saati sitten tutustua some-historiaan jne. Jotenkin "veikkaisin", että näin ihan satavarmasti tehdään. Mites sitten kun tuollainen hoitohistoria (missä voi olla vaikka huimausaineita tai muuta väärinkäyttöä, eriskummallisia sukupuoliasioita, väkivaltaa, rikoksia sun muita) on saatavilla...oon sen verran pessimisti, että saattaa olla vaikutusta tässäkin mielessä. Toivon toki olevani väärässä, ja kaikki ihmiset toimivat aina eettisesti oikein.
No olipa taas varsin naiivi vastaus/näkemys, et vissiin ole koskaan ollut rekrytoitintehtävissä? Samaten kuten rekryssä ei saa kysyä esim. uskonnosta tai muista vastaavista.
Ei taida sisäpiiritiedon väärinkäyttö koskea listaamattomia yrityksiä.
No ei tässä mitään naivia ole. Ei se rekrytoija nyt vain lähde mihinkään tor verkkoon seikkailemaan ja käyttämään työpäivää/työpäiviä, jos ehkä sattuisi löytymään joku potilaskertomus jostain ja googlella niitä nyt ei tule löytämään / ne saa kyllä sieltä piiloon. Jos joku julkaisee nuo julkisessa verkossa kannattaa sitten varautua siihen, että poliisi hakee ja pääsee itsekin vähän toisenlaisiin rekistereihin.
www.hs.fi
Samaisella sivulla on kommentti myös toiseen suuntaan ja se liittyy siihen, että jos tietojen lukemisella on jokin henkilökohtainen tarkoitus (eli etsitään tietoa jota voisi käyttää hyväksi), niin siinä vaiheessa tietosuojarikoksen tunnusmerkit voivat täyttyä. Tuon henkilökohtaisen tarkoituksen osoittaminen voi vain olla hankalaa. Ainoa mikä tässä kokonaisuudessa on varmaa, on se että oikeuskäytäntö on epäselvä.
Vähän arvelinkin, että olisi sivun tekijän kannattanut ehkä pohtia vielä hetken aikaa ennen kuin menee ominpäin keräämään niitä tietoja tuollaiselle sivustolle.
Jossakin uutisessa oli juttua henkilöstä, joka olisi halunnut selvittää jo aikoja sitten, että mitä tietoja hänestä on talletettu Vastaamoon ja sieltä oltiin vastattu, että heiltä ei löydy mitään. Nyt oli sitten kuitenkin pamahtanut kiristyskirje postilaatikkoon. Tuskin niitä tietoja kukaan ulkopuolinen oli poistanut, vaan tietojärjestelmä oli vaan tavalla tai toisella sekaisin, eikä sieltä löytynyt ko. henkilöä. Nyt sitten vissiin tämän murron myötä jotain tietoja kuitenkin oli ollut siellä kannassa, jos ei muuten, niin ainakin yhteystietojen tasolla.Siis hetkinen... ymmärsinkö oikein, että 2019 alussa Vastaamon työntekijätkin ovat tienneet, että järjestelmästä on maagisesti vain kadonnut tavaraa? Eikö tämmöinen vaatisi jonkin skriptin ajamisen tms? Ja tällaista ei kukaan siellä firman IT puolella osannut epäillä? En siis ole alan asiantuntija mutta haiskahtaa vähän
Ei ole tosiaan mitenkään itsestään selvää, että näiden vuodettujen tietojen katselu, lataaminen tai tallentaminen henkilökohtaisessa yksityisessä tarkoituksessa olisi laitonta.Poliisit ovat kovin innokkaasti mediassa mainostaneet, että pelkkä tietojen lukeminen voi olla rikos. Ehkä näin joissakin tapauksissa, mutta ei se selvästikään ole ihan niin yksiselitteistä. Hesarissa oli artikkeli tuosta aiheesta, jossa useampikin rikosoikeuden professori kommentoi että ei se nyt ihan niin mene:
Tietosuoja | Tuhansien ihmisten potilaskertomukset vuosivat verkkoon – Onko Vastaamo-tietojen lukeminen rikos?
Oikeusoppineiden mukaan tietojen levittäminen esimerkiksi sosiaalisessa mediassa on rikos.
Samaisella sivulla on kommentti myös toiseen suuntaan ja se liittyy siihen, että jos tietojen lukemisella on jokin henkilökohtainen tarkoitus (eli etsitään tietoa jota voisi käyttää hyväksi), niin siinä vaiheessa tietosuojarikoksen tunnusmerkit voivat täyttyä. Tuon henkilökohtaisen tarkoituksen osoittaminen voi vain olla hankalaa. Ainoa mikä tässä kokonaisuudessa on varmaa, on se että oikeuskäytäntö on epäselvä.
KRP:n edustaja kyllä väitti, että tietoja lukeva henkilö saattaisi syyllistyä rikokseen, mutta ehkä tuossa oli kyse lähinnä damage controllista. Eli epätäsmällisellä ilmaisulla oli tarkoitus estää sitä, että vuodetuille tiedoille naureskelusta tulisi yleistä kansanhuvia.
Niinpä ja tavallaan tämä on ymmärrettävää. Toisaalta en kyllä hirveästi innostu siitäkään, että viranomainen voisi puhua medialle mitä sattuu kun nyt on menossa tällainen "tarkoitus pyhittää keinot" -tilanne.
Siksi sanoinkin, että ainoa mikä tässä kokonaisuudessa on varmaa, on se että oikeuskäytäntö on epäselvä. Ja kuten oli jo aiemmin puhetta, jos niitä tietoja ei päädy laajemmin julkiseen verkkoon, niin ei viranomaisilla riitä resurssit eikä menetelmät jäljittää yksittäisiä kansalaisia, jotka Tor-verkossa selailevat jotain yksittäisiä foorumeita/sivuja, eli tämä on edelleen tällaista hypoteettista keskustelua.
Kun valvontaa ei ole niin amatöörit pääsee rellestämään. Hienoja lauseita paperilla, että kyllä valvotaan ja seurataan, mutta todellisuudessa ketään ei kiinnosta. Suomen tietäen tästä ei opita mitään. Toimari sai kenkää ja sillä siisti. Kaikki hoidettu kuntoon ja voidaan jatkaa normaalisti.
Juuri tähän olin tulossa itsekin kommentoimaan jotta tuo EU klausuuli koskenee vain henkilökohtaista käsittelyä yhteisymmäryksessä tehdyistä kanssakäymisistä (joku antaa sinulle yhteystietonsa ja sinä hänelle), ei sitä että katseleeko internetissä potilastietoja.
Kun kyseessä on yksityinen firma niin Vastaamolle ja sen omistajille koituu kyllä merkittävät vahingot tästä. Toimitusjohtaja sai jo potkut, sitten varmaan omistajaperheeltä lähtee pois iso osa omaisuudesta kun aletaan oikeudessa käymään sitä läpi, että firman myyntivaiheessa kuka tiesi murrosta ja mitä. Vastaamo on jo entinen firma vaikka tietysti nykyinen toimari ei sitä voi myöntää.
Oli puhe pelkästään tietojen katsomisesta, ei lataamisesta tai mistään muustakaan laajemmasta.
Tuo vaatii kyllä jo tuottamuksellisuutta, koska ei taida olla sellaista MySQL-pakettia jaossa, joka oletusasennuksella kuuntelisi mitään muuta kuin localhostia.
Tuo on se, mitä olen itse ihmetellyt. En ole minkään tason IT-ammattilainen, mutta tuntuu ihan käsittämättömältä että tuollaiset tiedot ovat kannassa selkokielisinä.Tuo vaatii kyllä jo tuottamuksellisuutta, koska ei taida olla sellaista MySQL-pakettia jaossa, joka oletusasennuksella kuuntelisi mitään muuta kuin localhostia.
Ja hakkerin touhujen huomattavaan vaikeuttamiseen olisi tässä tapauksessa riittänyt jo se, että arkaluonteiset tiedot olisivat olleet kannassa salattuna. Uskomatonta, että tätäkään ei oltu tehty
Alusta asti on ollut itselleni ilmeisen selvää, että jotain on ollut pielessä ja pahasti. MySQL palvelimen kryptaamisen puute ja etäyhteyden mahdollisuus tässä kontekstissa viittaa kyllä siihen että infraa on ylläpidetty hälläväliä asenteella, minkä vastuuhenkilöinä on ollut datanomitasoisia perusjamppoja.Tuo vaatii kyllä jo tuottamuksellisuutta, koska ei taida olla sellaista MySQL-pakettia jaossa, joka oletusasennuksella kuuntelisi mitään muuta kuin localhostia.
Ja hakkerin touhujen huomattavaan vaikeuttamiseen olisi tässä tapauksessa riittänyt jo se, että arkaluonteiset tiedot olisivat olleet kannassa salattuna. Uskomatonta, että tätäkään ei oltu tehty
