Vastaamo.fi tietovuoto - keskustelu ja seuranta

[lark]

Miksi ne oikeudelliset toimenpiteet käynnistää PTK Midco, joka on holding-yhtiö, jolla ei ole henkilöstöä. Eikö tämä olisi nimenomaan Interan tehtävä? Joku voisi myös lyhyesti tiivistää, mikä on holding-yhtiön idea.

 

[Freeze]

Joku voisi myös lyhyesti tiivistää, mikä on holding-yhtiön idea.

Holdingyhtiö – Wikipedia

fi.m.wikipedia.org

Holdingyhtiö eli hallintayhtiö on yhtiö, jonka tarkoitus on toisen yhtiön tai yhtiöiden omistaminen, hallitseminen ja valvominen. Holdingyhtiöllä on määräysvalta liiketoiminnasta osake-enemmistön omistuksen perusteella.

 

[basuem]

Tälläinenkin olemassa, oli pakko testata kun itse kuulun näihin tietovuodon uhreihin.

 

[FireFly Renaissance]

Tietomurron tekijää tuskin saadaan kiinni. Murrosta on kuitenkin pari vuotta aikaa niin lokitiedot on aika päiviä sitten kadonneet. Ja ne tiedot viime viikolla nettiin vuotanut henkilö ei välttämättä ole se alkuperäinen tietomurtaja. Kyllä nyt näyttää siltä että V. Tapio taitaa olla se joka sanktiot joutuu täysimääräisesti vastaanottamaan.

Eihän niitä sanktioita ole mikään konttäsumma joka sitten jaetaan syyllisiksi löydetyille. Kyllä jokaisen osalta on ihan omat sanktiot. Negatiivinen julkisuus toki voidaan koittaa työntää johonkin suuntaan.

 

[jad]

Aika kaukaa haettua ja kuka tahansa tietysti voi halutessaan vetää tuommoisen johtopäätöksen, mutta eipä taida tuomioistuimet sellaista vetää. Tuossa selitetään tarkemmin Viestintäsalaisuuden loukkaus - Minilex .

Myönnän kyllä, että on kaukaa haettua, mutta eipä olisi ensimmäinen kerta kun suomen oikeslaitos selittää mustan valkoiseksi ja kusen paskaksi.

Ei Valvira ole ketään pakottanut käyttämään heikkotasoisia suojausmenetelmiä ja laiskoja ylläpitäjiä. Kovin naiivia olisi myös olettaa, että Valviralla olisi resursseja valvoa ja testata aktiivisesti kaikkien toimijoiden tietojärjestelmiä. Uhkailla ja vaatia toki voi, mutta se on eri asia. Ja joku 10v välein tehtävä auditointikaan ei auta käytännössä yhtään mitään, kun systeemit happanevat käsiin vuodessa.

Omavalvontahan on päivän sana. Kaikenmaailman Villetapiot vain vakuuttavat Valviralle, että kaikki kunnossa ja tietoturva huipputasoa, niin Valvira pesee kätensä ja voi todeta syyllisen olevan muualla.

Ubuntu 16.04:ssä on tuo 2.4.18 ja siihen on tullut vuosien varrella päivityksiä vaikka kuinka. Ubuntu 16.04 on ihan validia kamaa ensi vuoden huhtikuuhun ja vielä senkin jälkeen, jos maksaa rahaa.

Juurikin näin. Edellyttäen tietysti, että ne backportatut tietoturvafixit asennetaan. Ulkopuoleltahan emme pysty palvelinten todellista päivitystasoa selvittämään.

 

[FireFly Renaissance]

Sanokaas viisaammat onko noissa viranomaisten toimenpideohjeissa uhreille järkeä vai ei?

Neuvoja ja ohjeita tietovuodon uhreille | Tietovuotoapu

Tältä sivulta identiteettivarkauden tai tietovuodon uhrit saavat ajantasaisia ohjeita ja neuvoja. Sivu sisältää linkkejä viranomaisten ja muiden organisaatioiden verkkosivustoilla julkaistuihin ohjeisiin. Sivua päivitetään aktiivisesti.

tietovuotoapu.fi

Eikö tässä tapauksessa vuotaneet tiedot ole tyyliin nimi, sotu, osoite, puhelinnro ja potilaskertomukset? Noista varsinkin viimeinen on tietenkin se ikävin asia. Mutta ei kai noilla tiedoilla oikeasti voi ottaa lainoja toisen nimiin tai merkitä henkilöä yrityksen vastuuhenkilöksi? Luottokorttitietoja yms ei ole vuotanut.

No ei tietenkään pitäisi, mutta käytännössä Suomen lainsäädäntö on niin umpisurkeaa, että sopimuksia voi tehdä vaikka ei ole todellisuudessa hajuakaan siitä kenen kanssa niitä tekee.

 

[debuggeri]

Tämä techbbs muuten pyörii 2.4.18 versiolla...

 

[PotilasSaarinen]

Villen viesti FBssä

 

[Makos]

Tämä techbbs muuten pyörii 2.4.18 versiolla...

Ovatkohan postaukseni vaarassa tulla julki?!1

 

[Kautium]

Villen viesti FBssä

Aika pahasti ristiriidassa sen hallituksen tiedonannon kanssa, mutta siinä varmaan molemmat osapuolet pelaavat omaan pussiin ja totuus on jossakin puolivälissä.

 

[swaggins]

Paljastaako pilkutus jotakin Vastaamon kiristäjästä? Miksi hän ei osaa teititellä suomeksi? Tämä tiedetään valtavasta kiristysvyyhdistä

Poliisi tutkii rikosta kaikin käytettävissä olevin resurssein eikä kaihda järeitäkään keinoja tekijän kiinni saamiseksi.

yle.fi

"Vastaamosta oli jo ennen uutta paljastusta tehty useita tutkintapyyntöjä, joissa poliisia pyydetään selvittämään, onko yritys syyllistynyt rikokseen tietojen säilyttämisessä tai tietoturvaan liityvissä laiminlyönneissä."

Mitä tuo "ennen uutta paljastusta" tarkoittaa? Siis ennen kuin tämä paskamyrsky tuli julkisuuteen? Aikamoista

 

[Hyrra]

Kyllä tuli juuri sopivaan aikaan uutinen tästä tj toiminnasta, ihan kuin olisi tarkoituksella heitetty bussin alle jotta saataisiin syylliselle jokin muu nimi kuin Vastaamo ja median sekä ihmisten huomio muualle. Mutta tämänhän sitten näkee siitä kuinka pääomistaja toimii, oikeuteen ja hakee sitä kautta korvauksia vaiko vaan tyytyy "sopimaan" Ville Tapion kanssa tämän asian ja samalla mahdollisesti ostamaan loputkin Tapioiden osakkeet ja jatkamaan toimintaa puhtaalta pöydältä. Vaikeaahan se tulee olemaan mutta ei mahdotonta ja siihen nähden tämä nykyinen strategia jossa sormella osoitetaan jotain henkilöä sekä mm ilmoitetaan että meidän asiakkaat voivat tulla ilmaiseksi "keskustelemaan" terapeuttien kanssa asioista ilman että kyse olisi hoitoon liittyvästä työstä ja kuinka näitä keskusteluita ei tallenneta mihinkään kyllä menee ihan siihen kastiin että tässä todella yritetään vaan suojata omaa "sijoitusta". Todellisuudessahan Vastaamo on voinut tehdä korjauksia omaan tietoturvaan ennen myyntiä juuri sen takia että tiedettiin ostajan haluavan tehdä auditoinnin yritykseen ja katsottiin että tälläinen firman laittaminen myyntikuntoon on hyödyllistä. Onko sitten tällöin löydetty viitteitä tietomurrosta vaiko ei niin sehän selviää mahdollisesti myöhemmin.

Tässähän oli hyvää pohdintaa. Kyllähän tämä aikalailla syntipukki meininki on.

Isä sanoi töidensä puolesta 90 luvun alussa, että kaikki mikä verkkoon laitetaan on siinä verkossa enemmän tai vähemmän julkista. Ne asiat jotka eivät ole julkisia, eivät ole missään verkossa ja siltikin saattavat vaarantua.

Verkko tuo niin paljon hyötyjä, että tämän julkisuuden on usein todettu olevan pienempi paha, tietoisesti tai tiedostamatta.

 

[Lucas]

Siinä taitaa olla kiireinen ilta ja yö edessä Ville Tapiolle, Nina Tapiolla ja isä Perttu Tapiolla kun siirtelevät omaisuuttaan hämmästyttävää vauhtia bulvaanin nimiin kun saivat siitä Vastaamon osakkeiden myynnistä kesällä 2019 yli 10 miljoonaa euroa rahaa ja tiesivät jo siinä vaiheessa potilastietokannan varkaudesta.

Pienenä vinkkinä, että niitä kiinteistökauppoja voi tehdä keskellä yötäkin sähköisellä vahvalla tunnistautumisella ilman että tarvii edes kaupanvahvistajaa siinä mukana.

Kiinteistökauppa sähköisenä | asuntokauppalaki tietoa asunnon kauppakirjasta, myyjän vastuu, ostajan vastuu, asunnon homevauriot ja virheet

Kiinteitökaupan tekeminen sähköisenä

www.asuntokaupanvirheet.fi

Varmaan melkoinen kujanjuoksu menossa kun siirtelevät omaisuuksiaan bulvaanin nimiin kun mahdollisesti heti aamulla paukahtaa käräjiltä hukkaamiskieltoa ja vakuustakavarikkoa ja kiire on saada hillot jemmaan sitä ennen.

 

[Kautium]

Paljastaako pilkutus jotakin Vastaamon kiristäjästä? Miksi hän ei osaa teititellä suomeksi? Tämä tiedetään valtavasta kiristysvyyhdistä

Poliisi tutkii rikosta kaikin käytettävissä olevin resurssein eikä kaihda järeitäkään keinoja tekijän kiinni saamiseksi.

yle.fi

"Vastaamosta oli jo ennen uutta paljastusta tehty useita tutkintapyyntöjä, joissa poliisia pyydetään selvittämään, onko yritys syyllistynyt rikokseen tietojen säilyttämisessä tai tietoturvaan liityvissä laiminlyönneissä."

Mitä tuo "ennen uutta paljastusta" tarkoittaa? Siis ennen kuin tämä paskamyrsky tuli julkisuuteen? Aikamoista

Minä käsitin, että se uusi paljastus oli tämä toimarin irtisanominen, jota ennen on tehty niitä tutkintapyyntöjä.

 

[swaggins]

Aika pahasti ristiriidassa sen hallituksen tiedonannon kanssa, mutta siinä varmaan molemmat osapuolet pelaavat omaan pussiin ja totuus on jossakin puolivälissä.

"Marraskuun 2018 tietovuoto ja siihen johtaneet virheet paljastuivat minulle vasta Nixun tutkimuksen pohjalta lokakuussa 2020. "

Mielenkiintoista, että ei mainitse tuossa sanallakaan maaliskuun 2019 tietomurtoa. Myös sekin on tulkinnan varaista mitä tarkoitetaan "virheet palajstuivat". Jos esimerkiksi henkilö epäilee asian tapahtuneen 2v sitten ja sitten vasta nyt asia paljastuu niin eihän silloin mitään valehtele jos sanoo että "nyt asia paljastui". No eiköhän seuraavina päivinä tule enemmän infoa asiasta ja silloin tiedetään enemmän tästä järjettömästä tuuhioinnista.

Edit: IS:ssä näköjään juttu tuosta: Vastaamon ex-toimitusjohtaja Ville Tapio kiistää tietäneensä vuoden 2018 tietomurrosta: ”Nähtävästi inhimilliset virheet ketjuuntuivat”
"Tietoturvayhtiö Nixun tekemässä selvityksessä on käynyt ilmi, että Vastaamoon kohdistui myös toinen tietomurto. Tämä tapahtui maaliskuussa 2019. Kahrin mukaan vaikuttaa ilmeiseltä, että tässä kohtaa yhtiön toimitusjohtaja on ollut tietoinen tietomurrosta ja saanut tietoonsa Vastaamon tietoturvapuutteet. Maaliskuussa 2019 toteutettu hyökkäys sai Vastaamon korjaamaan asiakastietojärjestelmän suojauksessa olleen puutteen ja tekemään muita tietojärjestelmiä suojaavia toimenpiteitä. "

 

[lark]

Jos Vastaamosta on tehty jo aiemmin tutkintapyyntöjä, esimerkiksi 2020 alussa, niin olisi aika outoa, ettei Vastaamon hallitus, joka on pelkkää Intera Oyj:tä, olisi niistä tietoinen.

• Toimitusjohtaja
• Ville Samuli Tapio, toimitusjohtaja (9/2013)
  Näytä roolit muissa yrityksissä (1)
• Nina Anneli Tapio, toimitusjohtajan sijainen (9/2013)
  Näytä roolit muissa yrityksissä (2)
• Hallitus
• Tuomas Sakari Kahri, hallituksen puheenjohtaja (11/2019)
  Näytä roolit muissa yrityksissä (9)
• Tuomas Elo Sarkola, hallituksen jäsen (11/2019)
  Näytä roolit muissa yrityksissä (8)
• Tomi Henrik Terho, hallituksen jäsen (11/2019)
  Näytä roolit muissa yrityksissä (10)
• Antti Olavi Ylikorkala, hallituksen jäsen (11/2019)
  Näytä roolit muissa yrityksissä (4)

 

[Clarenz]

Paljastaako pilkutus jotakin Vastaamon kiristäjästä? Miksi hän ei osaa teititellä suomeksi? Tämä tiedetään valtavasta kiristysvyyhdistä

Poliisi tutkii rikosta kaikin käytettävissä olevin resurssein eikä kaihda järeitäkään keinoja tekijän kiinni saamiseksi.

yle.fi

"Vastaamosta oli jo ennen uutta paljastusta tehty useita tutkintapyyntöjä, joissa poliisia pyydetään selvittämään, onko yritys syyllistynyt rikokseen tietojen säilyttämisessä tai tietoturvaan liityvissä laiminlyönneissä."

Mitä tuo "ennen uutta paljastusta" tarkoittaa? Siis ennen kuin tämä paskamyrsky tuli julkisuuteen? Aikamoista

Tuosta jutusta poimittu: ”Kiristäjän käyttämä englanti ei erityisesti viittaa syntyperäiseen englannin puhujaan. Esimerkiksi pilkunkäyttö sekä tietyt sanajärjestykset ja sanonnat viittaavat pikemmin suomen kuin englannin puhujaan.”
ihan täsmälleen sama huomio mitä itselläni ja oliko se @FireFly Renaissance joka täällä tuota kielenkäyttöä spekuloi

 

[ollyz]

Summa summarum. Apottiin ja muihin upotetaan rahaa tolkuttomia määriä ja lisää tulee menemään. Ja sitten on 260 järjestelmää, joita "valvoo" yksi henkilö Valvirasta. Kukaan ei ole vaivautunut miettimään kokonaisuutta vaikka ihan riskienhallinnan kannalta. Saatanan tunarit, voisi jopa sanoa. Tässä pitäisi antaa monoa jo useammallekin virkamiehelle ja poliitikolle. Ja tietysti vankilaa noille [korjattu:] Vastaamon (oli Valviran) vastuullisille.

Onkohan julkinen asiakirja, jossa Valviran vaatmiustenmukaisuus on todennettu Vastaamon toimesta? Ja kuka sen on erehtynyt allekirjoittamaan ja sitten todentamaan? Tietysti jos vaatimukset on tyyliin "tietoturva on otettu huomioon" niin jepjep. Suomi on kuulemma digitalisaation kärkimaa, näin väitetään. Ei uskoisi.

Lenin sanoi aikanaan: "luottamus hyvä kontrolli parempi".

Niin, onko tietoa onko nämä auditoitiin liittyvät vaatimukset ja niiden perusteella tehdyt asiakirjat julkisia? Nehän voi silloin kuka tahansa vaatia nähtäväksi. Veikkaan, että Valviran vaatimukset B-tason järjestelmille on ihan täyttä kuraa. Ja Vastaamon näitä vaatimuksia vasten tekemät omaehtoiset selvitykset ei kelpaisi edes ulkohuussin paperiksi. Kuten joku jo sanoi, niin _kaikki_ nämä vastaavaa sote-infoa käsittelevät instanssit pitäisi sitten ottaa Kanta-menettelyn mukaiseen prosessiin.

Villetapio nyt hätäpäissään selittelee mitä selittelee. Ihan itte koodattu järjestelmä ei sitten loppupelistä ollutkaan niin hyvä. Syyttävä sormeni osoittaa kyllä kaikkia niitä viranomaisia ja muita instansseja kohtaan, jotka tähän hienoon systeemiin ovat langenneet. Ei pitäisi päästää kuin koiraa veräjästä. Tuo 10+ miljoonaa yrityskaupoista tulee olemaan mielenkiintoinen kuvio, tyhmempikin tajuaa että Vastaamon nykyinen markkina-arvo on pahasti negatiivinen. Tätä vielä salissa väännetään.

Joku kommentoi, että ei ketään kiinnosta yksittäisen henkiön tiedot. No eipä juu, miltähän se tuntuu henkilön kohdalta kun pelkää että kaikki varmaan lukeneet sairaskertomukset (vaikka ei olisikaan). Joku opettaja tuosta avautui, ymmärrän täysin että on saatanallis-perkeleellinen vitutus. Edessä saattaa olla vaikka alan vaihto tai pahimmillaan itsari kun tuosta määrästä puhutaan.

 

[Kautium]

Tuosta jutusta poimittu: ”Kiristäjän käyttämä englanti ei erityisesti viittaa syntyperäiseen englannin puhujaan. Esimerkiksi pilkunkäyttö sekä tietyt sanajärjestykset ja sanonnat viittaavat pikemmin suomen kuin englannin puhujaan.”
ihan täsmälleen sama huomio mitä itselläni ja oliko se @FireFly Renaissance joka täällä tuota kielenkäyttöä spekuloi

Minusta tuntuu, että nuo lehtien jutut otetaan juuri täältä, kun monesti noita IT-maailman ympärillä pyöriviä lööppijuttuja lukiessa tulee mieleen, että osa jutusta on melkein suoraan omia tai jonkun muun kirjoituksia foorumilta.

 

[Tott]

"Vastaamosta oli jo ennen uutta paljastusta tehty useita tutkintapyyntöjä, joissa poliisia pyydetään selvittämään, onko yritys syyllistynyt rikokseen tietojen säilyttämisessä tai tietoturvaan liityvissä laiminlyönneissä."

Mitä tuo "ennen uutta paljastusta" tarkoittaa? Siis ennen kuin tämä paskamyrsky tuli julkisuuteen? Aikamoista

Onko mahdollista että joitakin olisi yritetty kiristää henkilökohtaisesti jo ennen kuin asia tuli julkisuuteen? Tyyliin meillä on sinulla tälläistä (ympäripyöreää) tietoa maksa tai julkaisemme. Vastaamon asiakas ei välttämättä ole täysin uskonut että kaikki tiedot on tosiaan vuotaneet mutta tehnyt varmuuden vuoksi tutkintapyynnön. Tai tieto on ollut niin yksilöityä että se ei ole voinut olla peräisin muualta kuin Vastaamosta.

Joku kommentoi, että ei ketään kiinnosta yksittäisen henkiön tiedot. No eipä juu, miltähän se tuntuu henkilön kohdalta kun pelkää että kaikki varmaan lukeneet sairaskertomukset (vaikka ei olisikaan). Joku opettaja tuosta avautui, ymmärrän täysin että on saatanallis-perkeleellinen vitutus. Edessä saattaa olla vaikka alan vaihto tai pahimmillaan itsari kun tuosta määrästä puhutaan.

Tälläkin palstalla ollaan nimimerkein vaikka kommentit eivät ole mitään verrattuna terapiatietoihin. Sen verran tärkeänä yksityisyyttä pidetään. Ja valitettavasti ihan varmasti löytyy niitä joita kiinnostaa.

 

[lark]

Apotti tosiaankin on tähtitieteellisen kallis, eikä voi olla mitään varmuutta siitä, että se olisi tietoturvansa puolesta mitenkään järeä tai 'hintansa veroinen'.

IT-hankinnoissa on isot riskit – Apotin tietosuojaongelmia perataan Vantaalla | Kuntalehti

kuntalehti.fi

Tietosuojavaltuutettu Reijo Aarnio on vaatinut Vantaalta korjaustoimenpiteitä tietosuojariskien poistamiseksi. Järjestelmä otettiin keväällä käyttöön, vaikka tietosuojan riskien käsittely on vielä kesken tietosuojavaltuutetun toimistossa.

Aarnio on aiemmin todennut, ettei Apotti-järjestelmä voi laajentua ennen tietosuojaongelmien poistamista. Kysymys on siitä, että perusterveydenhuollon potilastietoja ja sosiaalihuollon asiakastietoja saavat katsoa vain kummankin alan tietyt ammattilaiset.

Uutisia

www.vantaa.fi

 

[mikajh]

Villen viesti FBssä

Tässähän olisi nyt markkinarako täyttää Vastaamon jättämä aukko, jos kehittäisi psykoterapiatoimialalle soveltuvan tietojärjestelmän. Kunnollisia ei kuulemma ole saatavilla. Jos homma lähtee lentoon, niin firman voisi panna jonkun vuoden päästä lihoiksi hyvällä voitolla

 

[IhmeellinenJuttu]

Apotti tosiaankin on tähtitieteellisen kallis, eikä voi olla mitään varmuutta siitä, että se olisi tietoturvansa puolesta mitenkään järeä tai 'hintansa veroinen'.

IT-hankinnoissa on isot riskit – Apotin tietosuojaongelmia perataan Vantaalla | Kuntalehti

kuntalehti.fi

Tietosuojavaltuutettu Reijo Aarnio on vaatinut Vantaalta korjaustoimenpiteitä tietosuojariskien poistamiseksi. Järjestelmä otettiin keväällä käyttöön, vaikka tietosuojan riskien käsittely on vielä kesken tietosuojavaltuutetun toimistossa.

Aarnio on aiemmin todennut, ettei Apotti-järjestelmä voi laajentua ennen tietosuojaongelmien poistamista. Kysymys on siitä, että perusterveydenhuollon potilastietoja ja sosiaalihuollon asiakastietoja saavat katsoa vain kummankin alan tietyt ammattilaiset.

Uutisia

www.vantaa.fi

Tuossa on nimenomaan tietosuojan kanssa ongelmaa, ei tietoturvan. Lähinnä tuosta uutisesta saa sen kuvan, että joku sossu pääsisi halutessaan katselemaan terveystietoja, jotka eivät työhön suoraan liity ja toisinpäin. Tietoturva on tuollaisessa hankkeessa "vähän" eri tasolla kuin näissä yksityisen perhefirmojen virityksissä.

 

[Jorsetti]

Turhaan te näitä versionumeroita arvotte. Kuten on aiemminkkin sanottu, se ei ole mikään indikaatio siitä, onko järjestelmään asennettu päivitykset vai ei. Kaikki ns. vakavasti otettavat yrityskäytössä suositut Linux-jakelut toimivat niin, että jakelun version elinkaaren ajan softien versiot pysyvät samana, vaikka niihin tulee backportattuja tietoturvapäivityksiä. Tällä vältetään se, että palvelut hajoaisivat päivitysten myötä. Harvemmassa vakavasti otettavassa yrityksessä käännellään käsin ja asennellaan softista uusia versioita, vaan käytetään sitä versiota, jonka Linux-jakelun tuottaja tarjoaa.

Ubuntu 16.04:ssä on tuo 2.4.18 ja siihen on tullut vuosien varrella päivityksiä vaikka kuinka. Ubuntu 16.04 on ihan validia kamaa ensi vuoden huhtikuuhun ja vielä senkin jälkeen, jos maksaa rahaa.

En tiedä asiasta ja kysyn mielenkiinnosta, mutta miten menetellään, jos esimerkiksi tuon ankkuroidun päätetyn version jälkeen tulee vaikka cve arvolla kova aukko, joka paikataan jossain versiossa? Eikö silloinkaan päivitetä?

 

[lark]

Tuolla on myös hyvää grafiikkaa, mutta ne ei siirtyneet näemmä tänne.

Kela odottaa selvitystä Vastaamolta: päätöksiä sen jälkeen – sairaanhoitopiiri jäädytti asioinnin psykoterapiakeskukseen

Sairaanhoitopiireissä aikeita selvittää muidenkin palveluntuottajiensa tietoturvan asianmukaisuutta.

yle.fi

Kela odottaa selvitystä Vastaamolta: päätöksiä sen jälkeen – sairaanhoitopiiri jäädytti asioinnin psykoterapiakeskukseen

Sairaanhoitopiireissä aikeita selvittää muidenkin palveluntuottajiensa tietoturvan asianmukaisuutta.

Tietoturva
26.10. 20:50

Psykoterapiakeskus Vastaamolla käy nyt asiakaskato. Pirkanmaan sairaanhoitopiiri ei lähetä Vastaamolle ennen asioiden selviämistä uusia potilaita. Juha Kemppainen / Yle

Minna Pantzar


Kela on pyytänyt Vastaamolta selvitystä siitä, onko Kelan asiakkaiden tietoja vuotanut tietomurron yhteydessä.

Kela on korvannut ison osan Psykoterapiakeskus Vastaamon asiakaskäynneistä ja on siksikin kiinnostunut tapahtuneen tietomurron yksityiskohdista.

Kela tiedottaa, että Kelan asiakkaita on syyskuusta 2011 ja 1.4.2019 välisenä aikana ollut kuntoutuspsykoterapiassa yhteensä noin 5 000. Kelan vaativaa lääkinnällisen kuntoutuksen psykoterapiaa on 1.1.2015-31.32019 saanut noin 160 asiakasta.

– Kela odottaa selvitystä Vastaamosta ja arvioi tarvittavat jatkotoimenpiteet selvitysten perusteella, sanoo etuuspäällikkö Tuula Ahlgren Kelan Kuntoutuspalvelujen ryhmästä.

Toimintasuunnitelman mukaan tänä vuonna Vastaamon tavoitteena on ollut jatkaa vahvaa kasvuaan eli toimia vähintään 25 paikkakunnalla ja työllistää 400 psykoterapeuttia vuoden 2020 loppuun mennessä.
Tavoite voi olla nyt mahdoton sillä muutkin asiakkaat ovat nyt varovaisia.

Ei uusia potilaita

Pirkaanmaan sairaanhoitopiiri on jäädyttänyt asioinnin Vastaamoon toistaiseksi.
– Vastaamo on tälläkin hetkellä yhtenä hyväksyttynä palvelutuottajana sairaanhoitopiirille, mutta emme luonnollisestikaan lähetä sinne uusia potilaita ennen kuin esillä oleva tietoturvallisuuskysymys on asianmutkaisesti ratkennut, sanoo johtajaylilääkäri Juhani SandTampereen yliopistollisesta sairalasta.

Kanta-Hämeen sairaanhoitopiirin mukaan asiakas voi vaihtaa toiseen terapiaan, jos ei haluaa Vastaamoon. Jos edelleen haluaa Vastaamoon, sairaanhoitopiiri arvioi täyttääkö Vastaamo tietoturvavaatimukset. Yli kymmenen Kanta-Hämeen keskussairaalan aikuispsykiatrian potilasta on saattanut joutua tietomurron uhriksi.

Kanta-Hämeen sairaanhoitopiiri haluaa selvittää myös muiden palveluntuottajiensa tietoturvan asianmukaisuuden. Se käynnistää selvityksen auditoinnin toimeenpanosta ja kysyy mukaan ainakin Pirkanmaan ja Etelä-Pohjanmaan sairaanhoitopiirejä.

Myös Varsinais-Suomen sairaanhoitopiiri suunnittelee jatkossa arvioivansa entistä laajemmin palveluntuottajiensa tietoturvallisuuden tasoa. Se seuraa tietomurron selvittämistä ja arvioi tilannetta säännöllisesti. Toistaiseksi uusia päätöksiä ei ole tehty.

Pohjois-Savon sairaanhoitopiirissä tilannetta selvitellään.

Helsingin ja Uudenmaan sairaanhoitopiirillä HUSilla on ollut yhteistyötä Vastaamon kanssa. HUS hankkii osan ostopalvelupsykoterapioistaan Psykoterapiakeskus Vastaamossa toimivilta psykoterapeuteilta. Psykiatrian linjajohtaja Jan-Henry Stenberg HUSilta sanoo, että on liian aikaista pohtia mahdollisia muutoksia.

Omistajia huolettaa

Vastaamon pääomistaja on PTK Midco, jonka taustalla vaikuttaa kotimainen pääomasijoittaja Intera Partners. Vastaamon hallituksen tiedossa on, että PTK Midco Oy on maanantaina 26.10.2020 käynnistänyt oikeustoimia, jotka liittyvät toukokuussa 2019 allekirjoitettuun yrityskauppaan Vastaamosta.
Omistajiin myös kuuluva Keva vastasi Ylelle, että Keva on heti tietomurron tultua julkisuuteen ollut yhteydessä Interaan ja tiedustellut, mihin toimenpiteisiin se omistajana on Vastaamo-asiassa ryhtynyt.

Psykoterapiakeskus Vastaamo oli vielä vuonna 2018 perheyritys.

 

[PiikitteleväPorkkana]

Tämä techbbs muuten pyörii 2.4.18 versiolla...

Sitähän ei näe onko patchit tullu backporttina

Protip:

2.4.18-2ubuntu3.17	security, updates (main)	2020-08-13
2.4.18-2ubuntu3	release (main)	2016-04-16

 

[ollyz]

Tälläkin palstalla ollaan nimimerkein vaikka kommentit eivät ole mitään verrattuna terapiatietoihin. Sen verran tärkeänä yksityisyyttä pidetään. Ja valitettavasti ihan varmasti löytyy niitä joita kiinnostaa.

Lainsäädännön mukaan työnantaja ei saa edes googlettaa työnhakijan tietoja rekrytilanteessa, saati sitten tutustua some-historiaan jne. Jotenkin "veikkaisin", että näin ihan satavarmasti tehdään. Mites sitten kun tuollainen hoitohistoria (missä voi olla vaikka huimausaineita tai muuta väärinkäyttöä, eriskummallisia sukupuoliasioita, väkivaltaa, rikoksia sun muita) on saatavilla...oon sen verran pessimisti, että saattaa olla vaikutusta tässäkin mielessä. Toivon toki olevani väärässä, ja kaikki ihmiset toimivat aina eettisesti oikein.

 

[Don Stupido]

Aikajana tässä kyllä todellakin muodostuu mielenkiintoiseksi, että koska Vastaamossa on asiasta tiedetty, siinä mielessä että saadaanko samaan soppaan vielä sisäpiiritiedon väärinkäyttökin esim. entisen tj:n ja samalla merkittävän omistajan suhteen.

Niille joiden tietoja on varastettu, rauhoittelisin sen verran, että ei ketään oikeasti loppujenlopuksi kiinnosta.

Voi olla vähän ikävämpi vaan tulevaisuudessa yrittää päästä johonkin vähänkin merkittävämpään poliittiseen tai virkamiesasemaan/korkeaan asemaan liike-elämässä, kun mahdollisille vastustajille tarjoutuu mahdollisuus kaivella vähän likapyykkiä menneisyydestä koska vaan halutessaan, jos se on jo nettiin laajasti levinnyt.

 

[Technocrat]

En tiedä asiasta ja kysyn mielenkiinnosta, mutta miten menetellään, jos esimerkiksi tuon ankkuroidun päätetyn version jälkeen tulee vaikka cve arvolla kova aukko, joka paikataan jossain versiossa? Eikö silloinkaan päivitetä?

Ne vakavat aukot päivitetään yleensä backportattuna niihin vanhempiin vielä käytössä oleviin ja tuettuihin versioihin, eli sitä softaa ei itsessään tarvitse päivittää siihen uusimpaan versioon joka saattaisi rikkoa koko järjestelmän.

 

[Cereal killah]

Tässähän olisi nyt markkinarako täyttää Vastaamon jättämä aukko, jos kehittäisi psykoterapiatoimialalle soveltuvan tietojärjestelmän. Kunnollisia ei kuulemma ole saatavilla. Jos homma lähtee lentoon, niin firman voisi panna jonkun vuoden päästä lihoiksi hyvällä voitolla

Veikkaan, että markkinarako paikkautuu terapeuteilla, jotka tekevät muistiinpanonsa paperille eivätkä jonkun "tein itse ja koodasin" järjestelmään. Yksityisiä tällaisia varmasti löytyy, en tiedä soveltuuko joihinkin veronmaksajien piikkiin meneviin Kela-prosesseihin mutta moniin muihin terapiatarpeisiin.

 

[Attekun]

Ja juuri kun olin oman aiemman viestini julkaissut niin tulee ulos tämä Tapio-uutinen. Jos nyt ymmärsin oikein niin nykyinen omistaja (sijoitusyhtiö) on vapauttanut Tapion tehtävistään ja epäilee, että tämä olisi tiennyt tietovuodosta jo ennen osakekauppoja? Sinällään aivan ymmärrettävä liike sijoitusyhtiöltä, jotta voivat mahdollisesti omia tappioitaan minimoida. Kakka on kyllä tuulettimessa pitkälti jo siltä osin. Pidän edelleen mahdollisena että Tapio ei ole tiennyt tietomurrosta ennen kauppoja. Jos on tiennyt, niin on todella, todella ala-arvoista toimintaa. Työntekijätasolla tuo 2019 on näkynyt niin, että potilaiden tietoja on järjestelmästä hävinnyt eikä kaikkia saatu takaisin näkyviin. Tästä olikin jo yle-uutisessa juttua kun joku oli halunnut aiemmin saada omat tietonsa lähetettäväksi toiseen hoitopaikkaan. Tämä järjestelmään liittyvä ongelma on käsittääkseni silloin puhuttu sisäisenä ongelmana, eikä ole epäilty että tietoja olisi joutunut ulkopuolisten käsiin. Älkää kysykö millä periaatteella tähän ratkaisuun on päädytty...

 

[swaggins]

Ja juuri kun olin oman aiemman viestini julkaissut niin tulee ulos tämä Tapio-uutinen. Jos nyt ymmärsin oikein niin nykyinen omistaja (sijoitusyhtiö) on vapauttanut Tapion tehtävistään ja epäilee, että tämä olisi tiennyt tietovuodosta jo ennen osakekauppoja? Sinällään aivan ymmärrettävä liike sijoitusyhtiöltä, jotta voivat mahdollisesti omia tappioitaan minimoida. Kakka on kyllä tuulettimessa pitkälti jo siltä osin. Pidän edelleen mahdollisena että Tapio ei ole tiennyt tietomurrosta ennen kauppoja. Jos on tiennyt, niin on todella, todella ala-arvoista toimintaa. Työntekijätasolla tuo 2019 on näkynyt niin, että potilaiden tietoja on järjestelmästä hävinnyt eikä kaikkia saatu takaisin näkyviin. Tästä olikin jo yle-uutisessa juttua kun joku oli halunnut aiemmin saada omat tietonsa lähetettäväksi toiseen hoitopaikkaan. Tämä järjestelmään liittyvä ongelma on käsittääkseni silloin puhuttu sisäisenä ongelmana, eikä ole epäilty että tietoja olisi joutunut ulkopuolisten käsiin. Älkää kysykö millä periaatteella tähän ratkaisuun on päädytty...

Siis hetkinen... ymmärsinkö oikein, että 2019 alussa Vastaamon työntekijätkin ovat tienneet, että järjestelmästä on maagisesti vain kadonnut tavaraa? Eikö tämmöinen vaatisi jonkin skriptin ajamisen tms? Ja tällaista ei kukaan siellä firman IT puolella osannut epäillä? En siis ole alan asiantuntija mutta haiskahtaa vähän

 

[Attekun]

En tiedä tästä tarkemmin muuta kuin sen että osa tiedoista ei ollut saatavilla, jostain syystä. Ei normaali työntekijä siellä osaa varmaan tämmöistä mahdollisuutta edes ajatella koska ei ole tietoa siitä miten tietojen säilytys on rakennettu. Esimerkiksi isompien organisaatioiden kohdalla on arkipäivää että välillä tiedot ovat näkymättä tai järjestelmässä on jotain toimintaongelmia. Viimeksi tänään oli Kannan kanssa toimivuusongelmia joka hidasti järjestelmiä. En osaa tarkemmin sanoa mitä se IT-tuki on siellä Vastaamossa on ollut mutta selkeästi aika heikkoa.

 

[PiikitteleväPorkkana]

Siis hetkinen... ymmärsinkö oikein, että 2019 alussa Vastaamon työntekijätkin ovat tienneet, että järjestelmästä on maagisesti vain kadonnut tavaraa? Eikö tämmöinen vaatisi jonkin skriptin ajamisen tms? Ja tällaista ei kukaan siellä firman IT puolella osannut epäillä? En siis ole alan asiantuntija mutta haiskahtaa vähän

Jos sinne kantaan menee joku jekkuilemaan ja saanut päätunnukset sekä kantaan että palvelimelle niin sen jekkuilun voi peittää. (muutamalla huomiolla*)
*Mikäli logeja ei lähetetä mihinkään toiseen logienkeruujärjestelmään
*Valvonta ei hälytä mikäli logit tyhjennetään tai logit ei kulje keruuseen
*Tai admin tunnuksia ei valvota eikä logiteta


Kun itse it-alalla olen niin voin kertoa että, aktiivinen tietomurto on vaikea havaita subjektiivisilla havainnoilla joilla katselet järjestelmää, jos siis ei kuluteta resursseja vaikka coineja mainaamalla tai kannasta lirutellaan hiljaa dataa pihalle jne.. Nimenomaan tollainen tietojen katoaminen voi devaajan ja ylläpitäjän silmissä näyttää bugilta, mutta kertoohan se jotain että järjestelmät on päivitetty tuolloin maaliskuussa ja epäilty selvästi jotain tapahtuneen...

Edit:
En nyt tarkoita ylläpitäjällä db adminia, ne kyllä yleensä tietää mitä ne tekee ja näkevät suht nopeasti mikä vikana.

 

[FireFly Renaissance]

Lainsäädännön mukaan työnantaja ei saa edes googlettaa työnhakijan tietoja rekrytilanteessa, saati sitten tutustua some-historiaan jne. Jotenkin "veikkaisin", että näin ihan satavarmasti tehdään. Mites sitten kun tuollainen hoitohistoria (missä voi olla vaikka huimausaineita tai muuta väärinkäyttöä, eriskummallisia sukupuoliasioita, väkivaltaa, rikoksia sun muita) on saatavilla...oon sen verran pessimisti, että saattaa olla vaikutusta tässäkin mielessä. Toivon toki olevani väärässä, ja kaikki ihmiset toimivat aina eettisesti oikein.

No rekrytoijat tuskin asioita niin paljon penkovat kuitenkaan. Missään kovin julkisessa paikassa näitä tietoja ei voi esillä pitää, kun esillä pitäjä syyllistyy rikokseen. Enemmän tämä on ongelma, jos joku haluaa oikeasti kaivella tai käyttää pahantahtoisesti.

 

[ollyz]

No rekrytoijat tuskin asioita niin paljon penkovat kuitenkaan. Missään kovin julkisessa paikassa näitä tietoja ei voi esillä pitää, kun esillä pitäjä syyllistyy rikokseen. Enemmän tämä on ongelma, jos joku haluaa oikeasti kaivella tai käyttää pahantahtoisesti.

No olipa taas varsin naiivi vastaus/näkemys, et vissiin ole koskaan ollut rekrytoitintehtävissä? Samaten kuten rekryssä ei saa kysyä esim. uskonnosta tai muista vastaavista.

Ei näitä tietoja tietenkään mihinkään pöytäkirjoihin merkitä, koska se olisi syrjintää. Aina löytyy joku asiallinen peruste olla palkkaamatta muuten pätevää henkilöä jos niin halutaan. En ymmärrä, miten tätäkin asiaa pitäisi sulle rautalangasta vääntää?

Muokkaus: niin jos tarkoitit että kaikki firmat ottavat "varmuuskopion" vuodetuista filuista vastaisen varalle niin ei varmasti. Tarkoitin, että jos ne nykyiset ja ehkä tulevat vuodot on vapaasti nähtävillä (netti ei unohda), niin saattaa niitä joku käydä nimen perusteella vilkaisemassa.

 

[Paapaa]

saadaanko samaan soppaan vielä sisäpiiritiedon väärinkäyttökin esim. entisen tj:n ja samalla merkittävän omistajan suhteen

Ei taida sisäpiiritiedon väärinkäyttö koskea listaamattomia yrityksiä.

 

[FireFly Renaissance]

No olipa taas varsin naiivi vastaus/näkemys, et vissiin ole koskaan ollut rekrytoitintehtävissä? Samaten kuten rekryssä ei saa kysyä esim. uskonnosta tai muista vastaavista.

Ei näitä tietoja tietenkään mihinkään pöytäkirjoihin merkitä, koska se olisi syrjintää. Aina löytyy joku asiallinen peruste olla palkkaamatta muuten pätevää henkilöä jos niin halutaan. En ymmärrä, miten tätäkin asiaa pitäisi sulle rautalangasta vääntää?

Muokkaus: niin jos tarkoitit että kaikki firmat ottavat "varmuuskopion" vuodetuista filuista vastaisen varalle niin ei varmasti. Tarkoitin, että jos ne nykyiset ja ehkä tulevat vuodot on vapaasti nähtävillä (netti ei unohda), niin saattaa niitä joku käydä nimen perusteella vilkaisemassa.

No ei tässä mitään naivia ole. Ei se rekrytoija nyt vain lähde mihinkään tor verkkoon seikkailemaan ja käyttämään työpäivää/työpäiviä, jos ehkä sattuisi löytymään joku potilaskertomus jostain ja googlella niitä nyt ei tule löytämään / ne saa kyllä sieltä piiloon. Jos joku julkaisee nuo julkisessa verkossa kannattaa sitten varautua siihen, että poliisi hakee ja pääsee itsekin vähän toisenlaisiin rekistereihin.

Mutta aina voi tietenkin löytyä se vittumainen naapuri, kusipäinen teini tai joku muu taho. Rekrytoijasta en ihan heti olisi huolissani. Ja olisi hyvä olla uhreja sellaisella pelottelemattakin.

 

[Kautium]

Poliisit ovat kovin innokkaasti mediassa mainostaneet, että pelkkä tietojen lukeminen voi olla rikos. Ehkä näin joissakin tapauksissa, mutta ei se selvästikään ole ihan niin yksiselitteistä. Hesarissa oli artikkeli tuosta aiheesta, jossa useampikin rikosoikeuden professori kommentoi että ei se nyt ihan niin mene:

Tietosuoja | Tuhansien ihmisten potilaskertomukset vuosivat verkkoon – Onko Vastaamo-tietojen lukeminen rikos?

Oikeusoppineiden mukaan tietojen levittäminen esimerkiksi sosiaalisessa mediassa on rikos.

www.hs.fi

Rikosoikeuden professorien mukaan tietojen pelkkä lukeminen ei ole rikoslain mukainen rikos.

”Tietojen lukeminen on ehdottomasti moraalisesti moitittavaa, ja minun neuvoni on, että jos arkaluonteisia tietoa tulee sähköpostiin tai somessa vastaan, ne kannattaa hävittää välittömästi. Rikosoikeudellisesti tietojen lukija ei kuitenkaan syyllisty rikokseen”, rikos- ja prosessioikeuden Matti Tolvanen Itä-Suomen yliopistosta sanoo.

Samoilla linjoilla on myös rikosoikeuden professori Kimmo Nuotio Helsingin yliopistosta.

”Jos kyse on täysin sivullisesta, joka lukee näitä tietoja, se ei nähdäkseni olisi rikoslain nojalla rangaistavaa, eikä mahdollisesti tietosuojalainsäädännönkään”, Nuotio kertoo.

Nuotio korostaa, että tietojen levittäminen on rikoslakirikos. Silloin rikosnimikkeenä on yksityiselämää loukkaava tiedon levittäminen, josta voidaan tuomita sakkoja tai enintään kaksi vuotta vankeutta.

Matti Tolvanen kertoo, että levittämisrikosta arvioidessa katsotaan sitä, miten laajalle tieto on levinnyt. Tietojen näyttämistä tuttaville ei lasketa rikokseksi, sillä loukkaavan tiedon levittäminen on rikos, jos tieto saatetaan julkisuuteen.

”Tietojen näyttäminen yhdelle henkilölle ei täytä rikoksen tunnusmerkkejä, mutta oikeuskäytännössä on katsottu, että parille kymmenelle hengelle tiedon levittäminen esimerkiksi sosiaalisessa mediassa on jo rikos. Tiedon levittäjä voi myös syyllistyä tietyin edellytyksin kunnianloukkaukseen”, Tolvanen arvioi.

Samaisella sivulla on kommentti myös toiseen suuntaan ja se liittyy siihen, että jos tietojen lukemisella on jokin henkilökohtainen tarkoitus (eli etsitään tietoa jota voisi käyttää hyväksi), niin siinä vaiheessa tietosuojarikoksen tunnusmerkit voivat täyttyä. Tuon henkilökohtaisen tarkoituksen osoittaminen voi vain olla hankalaa. Ainoa mikä tässä kokonaisuudessa on varmaa, on se että oikeuskäytäntö on epäselvä.

Sellainenkin tuolla mainittiin, että siitä eilen julkaistusta tietovuodot.fi -sivustosta on tulossa oma tutkintansa tietosuojavaltuutetun toimesta:

Verkossa on julkaistu palvelu, josta Vastaamon asiakkaat voivat katsoa sähköpostin avulla, ovatko heidän tietonsa vuotaneet jo verkkoon. Lainoppineet pitävät palvelua arveluttavana, sillä verkkosivuston tekijä on luonut oman henkilörekisterin potilaista.

”Nyt tietosuojavaltuutettu joutuu selvittämään, onko kyseessä laiton henkilörekisteri”, Tomi Voutilainen sanoo.

Vähän arvelinkin, että olisi sivun tekijän kannattanut ehkä pohtia vielä hetken aikaa ennen kuin menee ominpäin keräämään niitä tietoja tuollaiselle sivustolle.

Siis hetkinen... ymmärsinkö oikein, että 2019 alussa Vastaamon työntekijätkin ovat tienneet, että järjestelmästä on maagisesti vain kadonnut tavaraa? Eikö tämmöinen vaatisi jonkin skriptin ajamisen tms? Ja tällaista ei kukaan siellä firman IT puolella osannut epäillä? En siis ole alan asiantuntija mutta haiskahtaa vähän

Jossakin uutisessa oli juttua henkilöstä, joka olisi halunnut selvittää jo aikoja sitten, että mitä tietoja hänestä on talletettu Vastaamoon ja sieltä oltiin vastattu, että heiltä ei löydy mitään. Nyt oli sitten kuitenkin pamahtanut kiristyskirje postilaatikkoon. Tuskin niitä tietoja kukaan ulkopuolinen oli poistanut, vaan tietojärjestelmä oli vaan tavalla tai toisella sekaisin, eikä sieltä löytynyt ko. henkilöä. Nyt sitten vissiin tämän murron myötä jotain tietoja kuitenkin oli ollut siellä kannassa, jos ei muuten, niin ainakin yhteystietojen tasolla.

Uutisia aiheesta on niin älyttömän paljon, että en nyt äkkiseltään löytänyt lähdettä.

 

[oongee]

Poliisit ovat kovin innokkaasti mediassa mainostaneet, että pelkkä tietojen lukeminen voi olla rikos. Ehkä näin joissakin tapauksissa, mutta ei se selvästikään ole ihan niin yksiselitteistä. Hesarissa oli artikkeli tuosta aiheesta, jossa useampikin rikosoikeuden professori kommentoi että ei se nyt ihan niin mene:

Tietosuoja | Tuhansien ihmisten potilaskertomukset vuosivat verkkoon – Onko Vastaamo-tietojen lukeminen rikos?

Oikeusoppineiden mukaan tietojen levittäminen esimerkiksi sosiaalisessa mediassa on rikos.

www.hs.fi

Samaisella sivulla on kommentti myös toiseen suuntaan ja se liittyy siihen, että jos tietojen lukemisella on jokin henkilökohtainen tarkoitus (eli etsitään tietoa jota voisi käyttää hyväksi), niin siinä vaiheessa tietosuojarikoksen tunnusmerkit voivat täyttyä. Tuon henkilökohtaisen tarkoituksen osoittaminen voi vain olla hankalaa. Ainoa mikä tässä kokonaisuudessa on varmaa, on se että oikeuskäytäntö on epäselvä.

Ei ole tosiaan mitenkään itsestään selvää, että näiden vuodettujen tietojen katselu, lataaminen tai tallentaminen henkilökohtaisessa yksityisessä tarkoituksessa olisi laitonta.

Esim. Yleisen tietosuoja-asetuksen (GDPR) I luvun 2. artiklassa lukee:

2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

[..]

c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;

KRP:n edustaja kyllä väitti, että tietoja lukeva henkilö saattaisi syyllistyä rikokseen, mutta ehkä tuossa oli kyse lähinnä damage controllista. Eli epätäsmällisellä ilmaisulla oli tarkoitus estää sitä, että vuodetuille tiedoille naureskelusta tulisi yleistä kansanhuvia.

 

[Kautium]

KRP:n edustaja kyllä väitti, että tietoja lukeva henkilö saattaisi syyllistyä rikokseen, mutta uskon, että tuossa oli kyse lähinnä damage controllista. Eli epätäsmällisellä ilmaisulla oli tarkoitus estää sitä, että vuodetuille tiedoille naureskelusta tulisi yleistä kansanhuvia.

Niinpä ja tavallaan tämä on ymmärrettävää. Toisaalta en kyllä hirveästi innostu siitäkään, että viranomainen voisi puhua medialle mitä sattuu kun nyt on menossa tällainen "tarkoitus pyhittää keinot" -tilanne.

Lakiprofessori Tomi Voutilainen mainitsi, että laki ei anna yksiselitteistä vastausta siihen, onko arkaluonteisten tietojen lukeminen rikos.

Siksi sanoinkin, että ainoa mikä tässä kokonaisuudessa on varmaa, on se että oikeuskäytäntö on epäselvä. Ja kuten oli jo aiemmin puhetta, jos niitä tietoja ei päädy laajemmin julkiseen verkkoon, niin ei viranomaisilla riitä resurssit eikä menetelmät jäljittää yksittäisiä kansalaisia, jotka Tor-verkossa selailevat jotain yksittäisiä foorumeita/sivuja, eli tämä on edelleen tällaista hypoteettista keskustelua.

Lisäksi sellainen korjaus, että Voutilainen on julkisoikeuden professori. Ne muutamat muut haastatellut vastaavasti olivat rikosoikeuden professoreita.

 

[sirace]

Ilta-Sanomien tietojen mukaan ensimmäisen murron tapahtuessa Vastaamon palvelin oli MySQL-palvelin, josta oli sallittu etäyhteydet. Tämän lisäksi sen tietokanta on ollut salaamaton.

Jeesus mitä amatöörejä! Etäyhteys suoraan MySQL-palvelimelle... Tätä on tuskin IS:n jutun vastaisesti sallittu terapeuttien pääsyn takia.

 

[juupeliskuupelis]

Jeesus mitä amatöörejä! Etäyhteys suoraan MySQL-palvelimelle... Tätä on tuskin IS:n jutun vastaisesti sallittu terapeuttien pääsyn takia.

Kun valvontaa ei ole niin amatöörit pääsee rellestämään. Hienoja lauseita paperilla, että kyllä valvotaan ja seurataan, mutta todellisuudessa ketään ei kiinnosta. Suomen tietäen tästä ei opita mitään. Toimari sai kenkää ja sillä siisti. Kaikki hoidettu kuntoon ja voidaan jatkaa normaalisti.

 

[PiikitteleväPorkkana]

Euroopan unionin tuomioistuimella näytää olevan kanta, että tämä: "c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa; " ei kata ko. tilannetta, mutta tiedä häntä tietääkö ne siellä Luxemburgissa mittään.

http://curia.europa.eu/juris/showPdf.jsf;jsessionid=B32E1ACF1EC8C7DA100510F41ECE0B79?text=&docid=48382&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=10949195

Juuri tähän olin tulossa itsekin kommentoimaan jotta tuo EU klausuuli koskenee vain henkilökohtaista käsittelyä yhteisymmäryksessä tehdyistä kanssakäymisistä (joku antaa sinulle yhteystietonsa ja sinä hänelle), ei sitä että katseleeko internetissä potilastietoja.
Jos joku olettaa tuon potilastietokannan tai muun vastaavan lataaminen olisi laillista, niin latauksen päättyminen 100% kotikoneelle kattaa jo mahdollisesti henkilörekisteririkoksen törkeänä, riippumatta siitä mikä käyttötarkoitus. Oikeuskäytäntöä ei varmasti ole mutta koska Suomessa on huvioikeus joka ei ole tekstuaalinen vaan faktuaalinen niin tuomio on varma.

 

[vinters]

Ainakin DuckDuckGo on indeksoinut tuon potilasrekisteri . vastaamo . xx koneen etusivun otsikolla "Vastaamo.fi - Intra! - Psykoterapiakeskus Vastaamo" (Otsikon DDG näyttää minulla vain mobiiliselaimella).
Eli tästä ja IS uusimmista tiedoista päätelleen intran kone ollut auki julkiseen nettiin, minkä lisäksi samalla koneella pyörinyt MySQL serveri kantoineen ja portteineen ollut myös auki julkiseen nettiin.

Voiko tällaiseen virheeseen sortua kukaan ammattilainen tai mikään yritys? Onko perheyritys palkannut sukulaispojan rakentamaan palvelun LAMP harjoitustyönään?

 

[godzilla43]

Kun valvontaa ei ole niin amatöörit pääsee rellestämään. Hienoja lauseita paperilla, että kyllä valvotaan ja seurataan, mutta todellisuudessa ketään ei kiinnosta. Suomen tietäen tästä ei opita mitään. Toimari sai kenkää ja sillä siisti. Kaikki hoidettu kuntoon ja voidaan jatkaa normaalisti.

Kun kyseessä on yksityinen firma niin Vastaamolle ja sen omistajille koituu kyllä merkittävät vahingot tästä. Toimitusjohtaja sai jo potkut, sitten varmaan omistajaperheeltä lähtee pois iso osa omaisuudesta kun aletaan oikeudessa käymään sitä läpi, että firman myyntivaiheessa kuka tiesi murrosta ja mitä. Vastaamo on jo entinen firma vaikka tietysti nykyinen toimari ei sitä voi myöntää.

Sen sijaan isommalla kuvalla ajatellen niin eilen A-studiossa oli Valviran ylijohtaja joka sanoi, että nyt ja aiemmin nämä arkaluontoiset tiedot ovat joko A tai B tason järjestelmissä. Vastaamon potilastiedot olivat siis B tason järjestelmässä jota laki ei velvoita valvomaan niin tarkasti kun A tason järjestelmää. Puhui siinä, että tätä aletaan muuttamaan ja että voisi olla että kaikki tiedot olisivat jatkossa A tason järjestelmissä.

Virkamiehet, politikot jotka on ollut päättämässä näistä A ja B tason järjestelmistä saavat kyllä jatkaa touhuamistaan..

 

[Kautium]

Juuri tähän olin tulossa itsekin kommentoimaan jotta tuo EU klausuuli koskenee vain henkilökohtaista käsittelyä yhteisymmäryksessä tehdyistä kanssakäymisistä (joku antaa sinulle yhteystietonsa ja sinä hänelle), ei sitä että katseleeko internetissä potilastietoja.
Jos joku olettaa tuon potilastietokannan tai muun vastaavan lataaminen olisi laillista, niin latauksen päättyminen 100% kotikoneelle kattaa jo mahdollisesti henkilörekisteririkoksen törkeänä, riippumatta siitä mikä käyttötarkoitus. Oikeuskäytäntöä ei varmasti ole mutta koska Suomessa on huvioikeus joka ei ole tekstuaalinen vaan faktuaalinen niin tuomio on varma.

Oli puhe pelkästään tietojen katsomisesta, ei lataamisesta tai mistään muustakaan laajemmasta.

 

[Zigh]

Jeesus mitä amatöörejä! Etäyhteys suoraan MySQL-palvelimelle... Tätä on tuskin IS:n jutun vastaisesti sallittu terapeuttien pääsyn takia.

Tuo vaatii kyllä jo tuottamuksellisuutta, koska ei taida olla sellaista MySQL-pakettia jaossa, joka oletusasennuksella kuuntelisi mitään muuta kuin localhostia.

Ja hakkerin touhujen huomattavaan vaikeuttamiseen olisi tässä tapauksessa riittänyt jo se, että arkaluonteiset tiedot olisivat olleet kannassa salattuna. Uskomatonta, että tätäkään ei oltu tehty

 

[Coanda]

Tuo vaatii kyllä jo tuottamuksellisuutta, koska ei taida olla sellaista MySQL-pakettia jaossa, joka oletusasennuksella kuuntelisi mitään muuta kuin localhostia.

Ja hakkerin touhujen huomattavaan vaikeuttamiseen olisi tässä tapauksessa riittänyt jo se, että arkaluonteiset tiedot olisivat olleet kannassa salattuna. Uskomatonta, että tätäkään ei oltu tehty

Tuo on se, mitä olen itse ihmetellyt. En ole minkään tason IT-ammattilainen, mutta tuntuu ihan käsittämättömältä että tuollaiset tiedot ovat kannassa selkokielisinä.

 

[niffy]

Tuo vaatii kyllä jo tuottamuksellisuutta, koska ei taida olla sellaista MySQL-pakettia jaossa, joka oletusasennuksella kuuntelisi mitään muuta kuin localhostia.

Ja hakkerin touhujen huomattavaan vaikeuttamiseen olisi tässä tapauksessa riittänyt jo se, että arkaluonteiset tiedot olisivat olleet kannassa salattuna. Uskomatonta, että tätäkään ei oltu tehty

Alusta asti on ollut itselleni ilmeisen selvää, että jotain on ollut pielessä ja pahasti. MySQL palvelimen kryptaamisen puute ja etäyhteyden mahdollisuus tässä kontekstissa viittaa kyllä siihen että infraa on ylläpidetty hälläväliä asenteella, minkä vastuuhenkilöinä on ollut datanomitasoisia perusjamppoja.