Vastaamo.fi tietovuoto - keskustelu ja seuranta

Alusta asti on ollut itselleni ilmeisen selvää, että jotain on ollut pielessä ja pahasti. MySQL palvelimen kryptaamisen puute ja etäyhteyden mahdollisuus tässä kontekstissa viittaa kyllä siihen että infraa on ylläpidetty hälläväliä asenteella, minkä vastuuhenkilöinä on ollut datanomitasoisia perusjamppoja.

Se on selvää, että tietoturva on vaikea asia ja kaikkea ei tarvitse eikä voi itse osata. Mutta ei vaadi oikeastaan mitään alan koulutusta tai osaamista ymmärtää, että kun suunnitellaan potilastietojen tallennusta, niin varmaan jotain pitäisi ottaa siinä huomioon. Eli kun tuollaista lähtee suunnittelemaan, niin punaisen valon pitäisi syttyä ja huutaa: "hei, tsekkaapa, mitä kaikkea kannattaisi ottaa huomioon kun me tallennetaan ihan perkeleen arkaluontoista matskua asiakkaista".

Jos tuo IS:n väite on totta, niin tässä tapauksessa on jotenkin kaikki mennyt pieleen. Etäyhteydet tietokantaan, ei salausta, oletussalasanat. On vain ajan kysymys että joku ilkeämielinen tuon hoksaa ja datan kaappaamiseen menee lähinnä minuutteja.
 
Sen sijaan isommalla kuvalla ajatellen niin eilen A-studiossa oli Valviran ylijohtaja joka sanoi, että nyt ja aiemmin nämä arkaluontoiset tiedot ovat joko A tai B tason järjestelmissä. Vastaamon potilastiedot olivat siis B tason järjestelmässä jota laki ei velvoita valvomaan niin tarkasti kun A tason järjestelmää. Puhui siinä, että tätä aletaan muuttamaan ja että voisi olla että kaikki tiedot olisivat jatkossa A tason järjestelmissä.

Virkamiehet, politikot jotka on ollut päättämässä näistä A ja B tason järjestelmistä saavat kyllä jatkaa touhuamistaan..

Suomen päättäjät tietäen tässä menee vuosia ennen kuin mitään konkreettista tapahtuu. Toivottavasti olen väärässä.
 
Täysin normaalia silloin kun pääomasijoittaja tulee kuvaan mukaan, he sijoittavat yritykseen kasvun takia. Pääomasijoittaman mahdollistamat kasvupanostukset näkyvät tappiollisena tuloksena.

Toimitusjohtaja siis ennen kauppaa pimitti yrityksestä enemmistön ostaneelta pääomasijoitusyhtiöltä tiedon tietomurrosta. On ihme, jos nämä pykälät eivät osu.
Jos myyn sinulle sysipaskan yhtiön 10 miljoonalla, ei siinä ole mitään rikollista. Yrityskaupoissa ei ole mitään kuluttajansuojaa tai takuuta. Kaikki takuut ja vakuudet pitää kirjata kauppasopimuksessa erikseen. Petos siitä tulee lähinnä silloin, jos esim. olen ottanut miljoonan lainan yhtiön nimiin ja nostanut sen kirjanpidon ohi omalle tilille. Tai jos olen väärentänyt jotain asiakirjoja ja todellisuus ei vastaa yhtiön nykyistä tilaa. Mutta siis jos firman tietoturva on perseellään, mutta maksat silti mahdolliset tulevat suuret voitot silmissä kiiluen sen kymmenen miljoonaa enempää yhtiöstä kyselemättä, niin se ei todellakaan voi mitenkään olla rikos myydä. Siviilioikeuden puolella voit toki hakea korvauksia, mutta silloinkin vain jos sen puitteissa mitä siihen kauppakirjaan on kirjattu. Jos pääomasijoittajan lakimiehet ovat tunaroineet sopimuksen ja siinä ei ole ekplisiittistä mainintaa esim. tietoturva-asioista, voi olla vaikeaa saada mitään rahoja takaisin.

Kaikesta julkitulleesta näkee, ettei ostaja tehnyt due diligenseä kunnolla. Eli siis yrityksessä harjoitettu tietoturva ei kuulunut due dilligensen piiriin. Potilastietokanta ollut omalla domainillaan julkisessa verkossa, mysql portti auki root käyttäjällä ilman salasanaa, jopa http palvelin samalla koneella jne.
 
Viimeksi muokattu:
Se on selvää, että tietoturva on vaikea asia ja kaikkea ei tarvitse eikä voi itse osata. Mutta ei vaadi oikeastaan mitään alan koulutusta tai osaamista ymmärtää, että kun suunnitellaan potilastietojen tallennusta, niin varmaan jotain pitäisi ottaa siinä huomioon. Eli kun tuollaista lähtee suunnittelemaan, niin punaisen valon pitäisi syttyä ja huutaa: "hei, tsekkaapa, mitä kaikkea kannattaisi ottaa huomioon kun me tallennetaan ihan perkeleen arkaluontoista matskua asiakkaista".

Jos tuo IS:n väite on totta, niin tässä tapauksessa on jotenkin kaikki mennyt pieleen. Etäyhteydet tietokantaan, ei salausta, oletussalasanat. On vain ajan kysymys että joku ilkeämielinen tuon hoksaa ja datan kaappaamiseen menee lähinnä minuutteja.

Jos ja kun tätä aletaan syvemmin analysoimaan, varmasti löytyy ties mitä puutteita ja virheitä järjestelmistä ja niiden ylläpidosta. Uskon kuitenkin että Tapion puheissa on siinämäärin totuutta, että kyse saattaa olla näistä hänen mainitsemistaan inhimillisistä virheistä -> on tehty päivityksiä tai kehitystyötä järkkään esimerkiksi etäyhteyden avulla jotka ovat "vahingossa" jättäneet ovet auki tietokantaan. Vaikea uskoa että potilastietojärjestelmää rakentaessa on oikeasti uunoiltu niin pahasti, ettei tämmöisiä ongelmia olisi otettu huomioon. Kuitenkaan tämä ei millään tavalla vähennä asian vakavuutta tai vähennä heidän vastuuta asian suhteen, niin kuin itse mainitsit niin tämän luonteisen datan käsittely edellyttää aina ekstra varovaisuutta ja pitäisi olla itsestäänselvyys vaikka koulutuksen taso ei olisikaan sitä ylintä luokkaa.
 
Kaikesta julkitulleesta näkee, ettei ostaja tehnyt due diligenseä kunnolla. Eli siis yrityksessä harjoitettu tietoturva ei kuulunut due dilligensen piiriin. Potilastietokanta ollut omalla domainillaan julkisessa verkossa, mysql portti auki root käyttäjällä ilman salasanaa, jopa http palvelin samalla koneella jne.
Oli ollut joskus, mutta ei välttämättä enää silloin kun kauppoja on hierottu.

Vaikea kuvitella, että Intera Partnersin kaltainen pääomasijoittaja ei tekisi kunnollista auditointia havittelemansa yrityksen järjestelmiin.
 
on tehty päivityksiä tai kehitystyötä järkkään esimerkiksi etäyhteyden avulla jotka ovat "vahingossa" jättäneet ovet auki tietokantaan
Kehitystyötä tuotantokantaan niin, että se on julkiseen verkkoon auki? Ei, ei kukaan tee tällaista.
 
Jos pääomasijoittajan lakimiehet ovat tunaroineet sopimuksen ja siinä ei ole ekplisiittistä mainintaa esim. tietoturva-asioista, voi olla vaikeaa saada mitään rahoja takaisin.

Varmasti löytyy lappu, jossa sanotaan, että kaikki olellinen on avoimesti kerrottu ja siinä toimarin ja muiden myyjien nimet alla.

Olet oikeassa, että ensisijaisesti nämä on sopimusriita-, eikä rikosasioita, mutta tarpeeksi törkeästi kun vedättää, niin rikoksen puolelle se menee.

Kaikesta julkitulleesta näkee, ettei ostaja tehnyt due diligenseä kunnolla. Eli siis yrityksessä harjoitettu tietoturva ei kuulunut due dilligensen piiriin.

Totta, mutta mennäänkö jo vähän jälkiviisauden puolelle? Jatkossa varmasti due diligencessä varmasti katsotaan nämäkin asiat.

Kehitystyötä tuotantokantaan niin, että se on julkiseen verkkoon auki? Ei, ei kukaan tee tällaista.

Vaikea uskoa, että tekisi, TODELLA vaikea, mutta...
 
Kehitystyötä tuotantokantaan niin, että se on julkiseen verkkoon auki? Ei, ei kukaan tee tällaista.

Eli mielestäsi on todennäköisempää, että tuotantokanta on ollut auki julkiseen verkkoon jo alkujansa? Aukihan se on jokatapauksessa ollut kun data on sieltä imuroitu.
 
Alusta asti on ollut itselleni ilmeisen selvää, että jotain on ollut pielessä ja pahasti. MySQL palvelimen kryptaamisen puute ja etäyhteyden mahdollisuus tässä kontekstissa viittaa kyllä siihen että infraa on ylläpidetty hälläväliä asenteella, minkä vastuuhenkilöinä on ollut datanomitasoisia perusjamppoja.

Ehkä kannattaa suhtautua varauksella iltasanomien tietoihin etäyhteydestä. Voihan sitä etäyhteydeksi kutsua jos weppipalvelimen kautta kannassa asioidaan mutta niin tapahtuu likimain joka saitissa.
 
Ehkä kannattaa suhtautua varauksella iltasanomien tietoihin etäyhteydestä. Voihan sitä etäyhteydeksi kutsua jos weppipalvelimen kautta kannassa asioidaan mutta niin tapahtuu likimain joka saitissa.
Jep. Ennemmin epäilisin, että siellä on esim. joku phpmyadmin tai vastaava ollut avoinna julkisessa verkossa.
 
Euroopan unionin tuomioistuimella näytää olevan kanta, että tämä: "c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa; " ei kata ko. tilannetta, mutta tiedä häntä tietääkö ne siellä Luxemburgissa mittään.



Tuossa casessa henkilö on tehnyt webisivun, jossa on jaellut näitä tietoja. Ei ole siis suoraan verrattavissa siihen, että näitä itse "omaksi ilokseen" katselisi.
 
On näitä tullut nähtyä, ei tosin mitään näin arkaluontoista dataa sisältävään kantaan kuitenkaan.

Joo, ei mitään epätavallista jollain nettisivulla tai edes verkkokaupassa, mutta potilastietojärjestelmä on vähän eri asia.
 
Ehkä kannattaa suhtautua varauksella iltasanomien tietoihin etäyhteydestä. Voihan sitä etäyhteydeksi kutsua jos weppipalvelimen kautta kannassa asioidaan mutta niin tapahtuu likimain joka saitissa.

Veikkaan edelleen että siellä on ollut phpmyadminit julkisena.
 
Jos myyn sinulle sysipaskan yhtiön 10 miljoonalla, ei siinä ole mitään rikollista. Yrityskaupoissa ei ole mitään kuluttajansuojaa tai takuuta. Kaikki takuut ja vakuudet pitää kirjata kauppasopimuksessa erikseen. Petos siitä tulee lähinnä silloin, jos esim. olen ottanut miljoonan lainan yhtiön nimiin ja nostanut sen kirjanpidon ohi omalle tilille. Tai jos olen väärentänyt jotain asiakirjoja ja todellisuus ei vastaa yhtiön nykyistä tilaa. Mutta siis jos firman tietoturva on perseellään, mutta maksat silti mahdolliset tulevat suuret voitot silmissä kiiluen sen kymmenen miljoonaa enempää yhtiöstä kyselemättä, niin se ei todellakaan voi mitenkään olla rikos myydä. Siviilioikeuden puolella voit toki hakea korvauksia, mutta silloinkin vain jos sen puitteissa mitä siihen kauppakirjaan on kirjattu. Jos pääomasijoittajan lakimiehet ovat tunaroineet sopimuksen ja siinä ei ole ekplisiittistä mainintaa esim. tietoturva-asioista, voi olla vaikeaa saada mitään rahoja takaisin.

Kaikesta julkitulleesta näkee, ettei ostaja tehnyt due diligenseä kunnolla. Eli siis yrityksessä harjoitettu tietoturva ei kuulunut due dilligensen piiriin. Potilastietokanta ollut omalla domainillaan julkisessa verkossa, mysql portti auki root käyttäjällä ilman salasanaa, jopa http palvelin samalla koneella jne.
Minun ymmärtääkseni laki vaatii ilmoittamaan tietomurroista. Eiköhän siitä ala tulla petos siinä vaiheessa kun ollaan tietoisesti rikottu lakia saadakseen enemmän vyffeä ostajalta. Tietoturvan taso ei sinänsä asiaan liity mitenkään.
 

Psykoterapiakeskus Vastaamo Oy:n tietovuodon seurauksena suuri määrä suomalaisia henkilötunnuksia ja niihin liittyviä muita henkilötietoja on vuotanut rikollisten vapaasti käytettäväksi
--
Digi- ja väestöviraston ohje on, ettei henkilötunnusta käytettäisi muuhun kuin henkilön yksilöintiin. Valitettavasti pelkkä ohjeistus on riittämätöntä ongelman poistamiseksi ja on välttämätöntä säätää laki, jolla tämä yksiselitteisesti kielletään.


Otetaan tähän oheen vaikkapa Klarnan tilanne tällä hetkellä:
Esimerkiksi Klarna-palvelun kautta voi kuitenkin ostaa asioita laskulle pelkällä henkilötunnuksella ja sähköpostiosoitteella.
--
Segercrantzin mukaan Klarna on lisännyt tietomurron vuoksi ostojen valvontaa. Yritys ei kuitenkaan aio siirtyä tällä hetkellä esimerkiksi pelkästään pankkitunnusten avulla tehtävään tunnistautumiseen.

Toisin sanoen nyt kaikki Vastaamon tietovuodonkin uhrit joutuvat ilman omaa syytään hankaloittamaan elämäänsä kahdelle eri yritykselle tehtävällä maksullisella omaehtoisella luottokiellolla, joka ei tällä hetkellä ole edes niin kattava, että kaikki yritykset niitä noudattaisivat.
Edit: Ilmeisesti jotenkin tässä tullaan vastaan:
Tietomurron uhreiksi joutuneet Vastaamon asiakkaat saavat vuodeksi maksutta käyttöönsä Asiakastiedon OmaLuottokielto-turvamerkinnän (OLK) ja Tietovahti-palvelun.
Toki vuosi on lyhyt aika, kun käytännössä tämän luottokiellon täytynee olla voimassa niin pitkään, kunnes sitä henkilötunnusta ei voi enää väärinkäyttää.
 
Viimeksi muokattu:

"RIKOSOIKEUDEN professorien mukaan tietojen pelkkä lukeminen ei ole rikoslain mukainen rikos. "

Toivottavasti nyt saadaan loppumaan tämä "tietojen lukeminen on rikos!" jutut. Myös tiedostojen lataaminen on vähän kiikunkaakun, että onko rikos kun se riippuu aika paljon siitä miten lakia tulkitaan.

”Henkilörekisteririkoksen epämääräiset säännökset aiheuttivat tulkinnanvaraisuuksia tuomioistuimissa. Oikeusministeriöllä oli mahdollisuus selkeyttää lainsäädäntöä, mutta mahdollisuus jätettiin käyttämättä. Tietosuojarikos on yhtä hötöllä pohjalla kuin henkilörekisteririkos”, Voutilainen moittii.
 




Otetaan tähän oheen vaikkapa Klarnan tilanne tällä hetkellä:


Toisin sanoen nyt kaikki Vastaamon tietovuodonkin uhrit joutuvat ilman omaa syytään hankaloittamaan elämäänsä kahdelle eri yritykselle tehtävällä maksullisella omaehtoisella luottokiellolla, joka ei tällä hetkellä ole edes niin kattava, että kaikki yritykset niitä noudattaisivat.
Hetu-uudistus olisi tehtävä mahdollisimman pian, eli henkilötunnukset pitäisi vaihtaa satunnaisiksi id-tunnisteiksi ja tehdä näistä virallisesti "julkisia" samassa määrin kuin nimestä, puhelinnumerosta ja osoitteesta.
 
Hetu-uudistus olisi tehtävä mahdollisimman pian, eli henkilötunnukset pitäisi vaihtaa satunnaisiksi id-tunnisteiksi ja tehdä näistä virallisesti "julkisia" samassa määrin kuin nimestä, puhelinnumerosta ja osoitteesta.
Tuo koko hetu-uudistus on puhdas vitsi, joka maksaa järjettömästi. Jo aiemmin oli puhetta, että näitä ongelmia ei olisi, jos määrätään että pelkästään hetun voimin ei voi tehdä mitään ostoksia. Vuonna 2020 vahva tunnistus ei ole mikään ongelma.
 
Vaikea kuvitella, että Intera Partnersin kaltainen pääomasijoittaja ei tekisi kunnollista auditointia havittelemansa yrityksen järjestelmiin.
Itse olen nähnyt läheltä kuinka miljoonia roiskivat paljon tuotakin suuremmat tahot joten ei minusta ole mitenkään vaikeaa kuvitella, että esim. tietoturva olisi tärkeää lähinnä juhlapuheissa ja sivumainintana vuosikertomuksessa. Peruslakijamppa keskittyy auditoinnissa kirjanpitoon tms. perinteisiin asioihin, tietoturva ei varmasti ole ollut mikään ykkösjuttu tässä ostoksessa.
 
Tuo koko hetu-uudistus on puhdas vitsi, joka maksaa järjettömästi. Jo aiemmin oli puhetta, että näitä ongelmia ei olisi, jos määrätään että pelkästään hetun voimin ei voi tehdä mitään ostoksia. Vuonna 2020 vahva tunnistus ei ole mikään ongelma.
Niin siis tarkoitinkin sitä, että pitäisi tehdä SELLAINEN hetu-uudistus, jossa kaikkien hetut vaihdettaisiin joksikin satunnaisiksi id-tunnisteiksi ja enää ei edes semisti yritettäisi varoitella ihmisiä niiden jakamisen vaaroista. Silloin, jos hetu olisi nimeen tai osoitteeseen verrattava tieto, ei siihen enää voisi luottaa, osittain joidenkin palvelujen käyttö hankaloituisi tai saattaisi hankaloitua (esim. asiakaspalvelu puhelimitse), mutta ehkäpä se silti kannattaisi tehdä. Sama pitäisi tehdä myös tietysti luottokorttinumeron kanssa, se pitäisi voida jakaa ihan niin kuin pankkitilin numerokin, eli ei nyt toitottaa kannatta, muttei sen jakamisesta mitään isompia ongelmiakaan pitäisi seurata.

Nykyinen malli, jossa hetua pitäisi suojella kuin PIN-koodia (mutta se on silti jaettava monessa paikassa ja on näkyvissä ihan luettavassa muodossa henkkareissa) odottaa vain sitä vääjäämätöntä, eli että se tulee julki ja joku väärinkäyttää tietoa.

Samaa mieltä siitä, että vahva tunnistautuminen ei ole enää nykyään mikään ongelma.
 
Miksi Intera Oyj on halunnut hullun lailla ostaa Vastaamon 2019, vaikka tietojärjestelmät on todettu silloin puutteellsiksi? Se, että Interassa on ollut vihiä yrityksen haavoittuvaisuudesta jo 2019, ei tue sitä, ettei Vastaamon hallituksella, joka on Intera Oyj:n miehittämä, olisi ollut jonkinlaista mututuntumaa siitä, että yrityksen tietoturva olisi ollut huonolla tolalla. Toki Tapio on voinut olla kertomatta varsinaisesta tietomurrosta ikäänkuin asiaa yksilöide tai heittää yleisesti läppää siitä, kuinka 'tietoturvallisuuteen kannattaisi satsata vähän lisää', mutta täystietämätön Intera Oyj ei ole ongelmista voinut olla. Jos ongelmat ovat olleet tiedossa aikaisemmin, niin miksei niille ole tehty mitään jo aikaisemmin?

 
Miksi Intera Oyj on halunnut hullun lailla ostaa Vastaamon 2019, vaikka tietojärjestelmät on todettu silloin puutteellsiksi?

Maailmassa ei ole yhtään tietojärjestelmää, joka EI olisi puutteellinen. Ei tarve kehittää tietojärjestelmiä ole sinänsä mikään este yrityskaupalle. Ostetaan firma ja kehitetään järjestelmiä. Tässä tapauksessa oleellista on lähinnä se, onko tiedetty että sinne on murtauduttu ja potilastietojen yksityisyys on saattanut vaarantua. Tai onko tiedetty, että siellä on potilasdata avoimesti kaikkien luettavissa. Tuskin on (siis tuskin ostaja on tiennyt).
 
Miksi Intera Oyj on halunnut hullun lailla ostaa Vastaamon 2019, vaikka tietojärjestelmät on todettu silloin puutteellsiksi?

Vastaamon liikevaihto on kasvanut aika reippaasti joten miksipä ei? Se, että tietojärjestelmä on puutteellinen, ei merkkaa mitään, mutta se, että koko brändi lokaantuu tietovuotoskandaalissa, taas merkkaa.
 
Niin siis tarkoitinkin sitä, että pitäisi tehdä SELLAINEN hetu-uudistus, jossa kaikkien hetut vaihdettaisiin joksikin satunnaisiksi id-tunnisteiksi ja enää ei edes semisti yritettäisi varoitella ihmisiä niiden jakamisen vaaroista. Silloin, jos hetu olisi nimeen tai osoitteeseen verrattava tieto, ei siihen enää voisi luottaa, osittain joidenkin palvelujen käyttö hankaloituisi tai saattaisi hankaloitua (esim. asiakaspalvelu puhelimitse), mutta ehkäpä se silti kannattaisi tehdä. Sama pitäisi tehdä myös tietysti luottokorttinumeron kanssa, se pitäisi voida jakaa ihan niin kuin pankkitilin numerokin, eli ei nyt toitottaa kannatta, muttei sen jakamisesta mitään isompia ongelmiakaan pitäisi seurata.

Nykyinen malli, jossa hetua pitäisi suojella kuin PIN-koodia (mutta se on silti jaettava monessa paikassa ja on näkyvissä ihan luettavassa muodossa henkkareissa) odottaa vain sitä vääjäämätöntä, eli että se tulee julki ja joku väärinkäyttää tietoa.

Samaa mieltä siitä, että vahva tunnistautuminen ei ole enää nykyään mikään ongelma.
Joo, mutta kun mitään ongelmaa ei olisi, jos sitä hetua ei tarvitsisi suojella samalla tavalla. Se on varmasti helpommin toteutettavissa kuin koko hetu-järjestelmän muuttaminen.

Vähän vaikuttaa siltä, että hetu-uudistuksen perään huutelevat eivät ymmärrä alkuunkaan mitä kaikkea vaatii että jokaikiseen järjestelmään muutetaan hetut joksikin random-tunnisteiksi? Se on todella pitkäkestoinen miljardiurakka, eikä se onnistu kaikkialle sittenkään.
 
...
Nykyinen malli, jossa hetua pitäisi suojella kuin PIN-koodia (mutta se on silti jaettava monessa paikassa ja on näkyvissä ihan luettavassa muodossa henkkareissa) odottaa vain sitä vääjäämätöntä, eli että se tulee julki ja joku väärinkäyttää tietoa.
..

Kuinka moni silppuaa huolellisesti kaikki esim. Kela-gold paperipostit ennen kierrätystä? Itse poltin aiemmin takassa, mutta sitä vaihtoehtoa ei enää valitettavasti ole. Hetujen helppo saatavuus ei korreloi väärinkäytösten kanssa.
 
OT: Jotkut pitävät HeTu :n ongelmana että siinä ilmenee sukupuoli sekä !.! vuonna x ollut syntymäaika, tietoturva ei ole ongelma.
 
Joo, mutta kun mitään ongelmaa ei olisi, jos sitä hetua ei tarvitsisi suojella samalla tavalla. Se on varmasti helpommin toteutettavissa kuin koko hetu-järjestelmän muuttaminen.

Vähän vaikuttaa siltä, että hetu-uudistuksen perään huutelevat eivät ymmärrä alkuunkaan mitä kaikkea vaatii että jokaikiseen järjestelmään muutetaan hetut joksikin random-tunnisteiksi? Se on todella pitkäkestoinen miljardiurakka, eikä se onnistu kaikkialle sittenkään.
No tavallaan mulle on ihan ok, että nykyinen hetu-muoto säilyy, mutta joidenkin mielestä se paljastaa liikaa, ts. sellaista tietoa, jota ei haluaisi vapaasti jakaa kaikille (eli ikä ja sukupuoli). Eli siis nykyistä hetua ei sen vuoksi haluttaisi jakaa muille, vaikka sitä ei muuten tarvtisisi suojellakaan. Itseäni vaan ärsyttää se, että hetua pidetään jonain "vahvana" tunnisteena ja sen jakamisesta varoitellaan, kun mielestäni pitäisi kannustaa jakamista, jotta sen merkitys tunnisteena heikkenisi.
 
No tavallaan mulle on ihan ok, että nykyinen hetu-muoto säilyy, mutta joidenkin mielestä se paljastaa liikaa, ts. sellaista tietoa, jota ei haluaisi vapaasti jakaa kaikille (eli ikä ja sukupuoli). Eli siis nykyistä hetua ei sen vuoksi haluttaisi jakaa muille, vaikka sitä ei muuten tarvtisisi suojellakaan. Itseäni vaan ärsyttää se, että hetua pidetään jonain "vahvana" tunnisteena ja sen jakamisesta varoitellaan, kun mielestäni pitäisi kannustaa jakamista, jotta sen merkitys tunnisteena heikkenisi.

Sukupuolicase liittyy binäärisyyteen. Kaikille ei kelpaa 0/1-muotoinen esitys, joka on lätkäisty kätilöopistolla hetuun, tai he haluaisivat vaihtaa sen. Jakamisen rajoittamisesta sinällään ei tässä ole kyse, useimmiten, sitävastoin, nämä yksilöt ovat kovin äänekkäitä tuoreen tiedon jakamisessaan. Ei se minua haittaa toki.

Edit. En edes tiedä, mikä merkki hetussani määrää sukupuoleni? :confused:
 
Loppuosan kolmen viimeisen merkin muodostama luku jos pariton on mies Jos parillinen nainen. Edit kato housuista jos ykkönen mies ja nolla nainen.
Sukupuolicase liittyy binäärisyyteen. Kaikille ei kelpaa 0/1-muotoinen esitys, joka on lätkäisty kätilöopistolla hetuun, tai he haluaisivat vaihtaa sen. Jakamisen rajoittamisesta sinällään ei tässä ole kyse, useimmiten, sitävastoin, nämä yksilöt ovat kovin äänekkäitä tuoreen tiedon jakamisessaan. Ei se minua haittaa toki.

Edit. En edes tiedä, mikä merkki hetussani määrää sukupuoleni? :confused:
 
Viimeksi muokattu:
Sukupuolicase liittyy binäärisyyteen. Kaikille ei kelpaa 0/1-muotoinen esitys, joka on lätkäisty kätilöopistolla hetuun, tai he haluaisivat vaihtaa sen. Jakamisen rajoittamisesta sinällään ei tässä ole kyse, useimmiten, sitävastoin, nämä yksilöt ovat kovin äänekkäitä tuoreen tiedon jakamisessaan. Ei se minua haittaa toki.

Edit. En edes tiedä, mikä merkki hetussani määrää sukupuoleni? :confused:

Nyky hallituksen mukaan myös sukupuoli on ilmoitusasia :D Hetun loppuosan kolmasmerkki määrää. Eli miehillä se kolmas numero on pariton ja naisilla parillinen. Se siitä Offtopicista.

Luulisi, että jotain lakia on rikottu jos salaa tietomurron tai vaikka yrityssalaisuuksia on vuotanut ulkopuolisille, eikä asiasta kerro mitään? No sen näkee sitten pitkien oikeusprosessien jälkeen.
Viimeiset 4 merkkiä lasketaan yhteen. Jos pariton on nainen. Jos parillinen mies.
Ei se noin mene. Katso ylempi.
 
Kela on korvannut vuodesta 2016 alkaen 85-100 euron yksilö- tai kuntoutuspsykoterapiakäynnistä 2/3 el 57,60 euroa riiippumatta siitä, onko asiakas lapsi vai aikuinen. Ryhmäpsykoterapiassa korvaus on ollut 42,05 euroa.

Vuosina 2011-2016 nuorille maksettin Kela-korvausta 52,00 euroa ja 26-67 -vuotiaille 37,00 euroa.
Korotus on siirtynyt enimmäkseen siiis tuolle jälkimmäiselle ryhmälle.

Korotuksen myötä markkinat ovat tietenkin räjähtäneet. Tämä ennakoitiin Vastaamossa varmasti jo 2015.
Yrityksen kasvu on kuitenkin ollut sen verran nopeaa.

Perinteisen terapian ohessa Vastaamo on ihan varmasti tarjonnut yrityksille myös kallista työyhteisöön
ja työhyvinvointiin keskittyvää ryhmäterapiaa, millä ei ole tekemistä vakavien mielenterveystapausten terapoinnin kanssa. Hyvin on onnistuttu markkinoinnissa. Toki tuo Kela-korvausten nousukin on tullut
strategisest hyvään paikkaan ja ollut myös pontimena sille, että terapiaa on alettu markkinoida
myös isommille massoille.

Tuossa on myös ikiliikkujan aineksia. Kaupungilla tai kunnalla töissä oleva psykiatri antaa lähetteen terapiapalveluun Vastaamoon, jossa on myös itse psykiatrina / psykoterapeuttina työsuhteessa.

Interan tarkoitus oli lienee sitten laittaa firma lihoiksi ja myydä Vastaamon psykoterapiapalvelut
kovaan hintaan ulkomaiselle pääomasijoittajalle.


 
Hetu-uudistus olisi tehtävä mahdollisimman pian, eli henkilötunnukset pitäisi vaihtaa satunnaisiksi id-tunnisteiksi ja tehdä näistä virallisesti "julkisia" samassa määrin kuin nimestä, puhelinnumerosta ja osoitteesta.
Hetu ei ole mitään salaista tietoa tälläkään hetkellä. Väärinkäytösten lopettaminen ei vaatisi mitään uudistusta ainoastaan halua laittaa yritykset vastuuseen. Tai toisinpäin käännettynä niin kauan kuin yrityksiä ei haluta laittaa vastuuseen asiakkaan tunnistamisesta on ihan sama mitä hetu uudistuksia tehdään.
 
Täällä hyvä paikka jatkaa HeTu-keskustelua siltä osin kuin ei enää liity tähän keissiin:

 
Hetu ei ole mitään salaista tietoa tälläkään hetkellä. Väärinkäytösten lopettaminen ei vaatisi mitään uudistusta ainoastaan halua laittaa yritykset vastuuseen. Tai toisinpäin käännettynä niin kauan kuin yrityksiä ei haluta laittaa vastuuseen asiakkaan tunnistamisesta on ihan sama mitä hetu uudistuksia tehdään.
Teoriassa olet oikeassa, mutta käytännössä hetusta on tehty yhdistetty käyttäjätunnus ja salasana. Jakamisesta varoitellaan, hetun viimeisiä merkkejä peitellään jne. Tämä siis miten hetuun käytännössä suhtaudutaan, siksipä Klarnat ja asiakaspalvelut ylipäätään luottavat hetun mahtavaan suojaukseen.

Ei sinänsä, mulle kyllä kelpaisi lainsäädäntömuutoksetkin.

Eihän niitä väärinkäytösten johdosta tilattuja tuotteita lopulta kukaan maksa, eli ongelmia ja isoja kuluja syntyy myös kaupalle (ei pelkästään asiakkaalle), eli jos hetu olisi täysin julkinen ja jokaiseen postilaatikkoon printattu, niin eipä Klarna sitä tunnisteena käyttäisi.
 
Viimeksi muokattu:
Eihän niitä väärinkäytösten johdosta tilattuja tuotteita lopulta kukaan maksa, eli ongelmia ja isoja kuluja syntyy myös kaupalle (ei pelkästään asiakkaalle),
Jos joku tekee Klarnalla tilauksen kaupasta x väärillä tiedoilla, eli rikoksen, niin vahinko ei jää kaupalle vaan Klarnalle. Kauppa saa rahansa joka tapauksessa. Näin olen ymmärtänyt.
 
Jos joku tekee Klarnalla tilauksen kaupasta x väärillä tiedoilla, eli rikoksen, niin vahinko ei jää kaupalle vaan Klarnalle. Kauppa saa rahansa joka tapauksessa. Näin olen ymmärtänyt.

Itseasiassa Klarna on kauppiaan suuntaan todella nihkeä petostapauksissa joita ei ole ehditty estää ajoissa. He esim. vaativat todisteen siitä että lähetys on asianmukaisesti luovutettu nimetylle tilaajalle - joka esim. korona-aikana on usein mahdotonta koska logistiikkafirmat eivät ota välttämättä edes allekirjoituksia, saati sitten tarkista vastaanottajan henkilöllisyyttä kotiinkuljetuksissa kuin korkeintaan kysymällä nimeä. Klarna on verkkokauppiaan kannalta vähän kuin PayPal - sitä käytetään koska se on suosittu ja asiakkaalle helppo, mutta jos he päättävät ryhtyä hankalaksi niin kauppias on melkoisessa lirissä.
 

Vastaamon ex-toimitusjohtajan ja tämän vanhempien omaisuutta takavarikkoon lähes 10 miljoonaa euroa
Turvaamistoimea haki Vastaamon nykyinen pääomistaja.

Psykoterapiakeskus Vastaamon entisen toimitusjohtajan Ville Tapion ja hänen vanhempiensa omaisuutta on asetettu takavarikkoon väliaikaisena turvaamistoimena.

Takavarikkoa haki Helsingin käräjäoikeudesta Vastaamon nykyinen pääomistaja PTK Midco Oy.
Helsingin käräjäoikeus määräsi pantavaksi takavarikkoon vastaajien omaisuutta lähes 10 miljoonaa euroa.

– Hakija (PTK Midco Oy) on saattanut todennäköiseksi, että hänellä on edellä mainittu saaminen, josta vastaajat ovat vastuussa yhteisvastuullisesti. On olemassa vaara, että vastaajat kätkevät, hävittävät tai luovuttavat omaisuuttaan taikka menettelevät muulla hakijan saamista vaarantavalla tavalla, lukee väliaikaisen turvaamistoimen perusteluissa.

Koska turvaamistoimen tarkoitus muutoin vaarantuisi, päätös väliaikaisesta turvaamistoimesta annettiin vastaajia kuulematta.

 
Vastaamon nykyinen pääomistaja PTK Midco Oy varautuu turvaamaan saataviaan: IS 10 miljoonan takavarikko. Omaisuuden laitto takavarikkoon on Suomen oikeuskäytännön pieni kummajainen, vakuustakavarikon saa hyvinkin kevyin perustein mutta hakija joutuu maksamaan suuret korvaukset jos takavarikko osoittautuu turhaksi oikeudenkäyntien jälkeen. Kupletin juoni lienee se että kun tuo prosessi on ohi edellisen omistajien osalta niin pääomistaja voi olla konkassa? Omistaako PTK muuta kuin vastaamon?
 
Vastaamon nykyinen pääomistaja PTK Midco Oy varautuu turvaamaan saataviaan: IS 10 miljoonan takavarikko. Omaisuuden laitto takavarikkoon on Suomen oikeuskäytännön pieni kummajainen, vakuustakavarikon saa hyvinkin kevyin perustein mutta hakija joutuu maksamaan suuret korvaukset jos takavarikko osoittautuu turhaksi oikeudenkäyntien jälkeen. Kupletin juoni lienee se että kun tuo prosessi on ohi edellisen omistajien osalta niin pääomistaja voi olla konkassa? Omistaako PTK muuta kuin vastaamon?
Tuskin omistaa mitään muuta, eikös tämän PTK Midco:n omista joku toinen holdingyhtiö. Kai tämä omistus laitetaan näin, jotta kyseinen pulju voidaan vetää konkkaan jos huonosti käy ja emoyhtiö pääsee helpommalla? Joku fiksumpi voisi valistaa meitä tästä aiheesta, tämä on minun omaa mutua.
 
Tuossa on myös ikiliikkujan aineksia. Kaupungilla tai kunnalla töissä oleva psykiatri antaa lähetteen terapiapalveluun Vastaamoon, jossa on myös itse psykiatrina / psykoterapeuttina työsuhteessa.
Ei toimi noin. Kelan kustantamaan psykoterapiaan pääsyn prosessi on seuraavanlainen. Lääkäri asettaa diagnoosin ja potilas aloittaa terapeutin etsinnän, jonka aikana tulee olla vähintään 3kk mittainen asianmukainen hoitosuhde. Tämä voi käytännössä tarkoittaa vaikka kerran kuussa lääkärin, psykologin tai sairaanhoitajan tapaamista. Tämän jälkeen psykiatrian erikoislääkäri (psykiatri) tekee B-lausunnon kelaan kuntoutuspsykoterapiaa varten, jossa voi olla jo mainittuna terapeutin nimi, jolla pitää tietysti olla Kelan hyväksyntä. Kun kelalta tulee positiviinen päätös, voi terapia alkaa. Eli se lääkäri ei lähetä ketään mihinkään vaan potilas itse valitsee terapeutin. Mitä olen vierestä psykiatreja seurannut niin eivät yleensä ota kantaa siihen kenelle terapeutille kannattaisi mennä. Toki voivat käydä keskustelua esim terapiasuuntauksista mikä olisi hyvä. Vastaamonkin kohdalla työntekijät ovat julkisia niin terapeuttia etsiessään potilas saattaa nähdä positiivisena asiana, että samassa firmassa työskentelee myös se sama lääkäri joka on tekemässä lausuntoa. Tai sitten ei.

Itse kenttää yli 10v seuranneensa, sanoisin että vastaamon etuja ovat olleet helppo terapeuttien saatavuus niin ajanvarauksen kuin senkin suhteen että saman katon alle koottu useampia toimijoita. Miksi lähteä laittelemaan viestiä tai soittelemaan 20:lle eri tyypille kun voit varata suoraan netistä tutustumisajan Vastaamon kautta jollekin tietylle kenen kalenterissa näyttää olevan tilaa.
 
Lyhyt vastaus on että potilastietoja ei pysty poistamaan tiettyjä poikkeuksia lukuunottamatta. Näiden lisäksi kirjauksia on mahdollista korjata jos kirjattu väärin tietoja. Poistoon lähinnä liittyy että tieto ei pidä alkujaankaan paikkaansa tai että potilastietoihin on kirjattu jotain sinne kuulumatonta. Mitä tulee piilottamiseen ehkä lähinnä aikaisemminkin täällä keskusteltu tietojen jakamisen kieltäminen ehkä lähinnä mitä voi tehdä

Jos kirjauksia on tehty GDPR:n vastaisesti, niin pitäisi nuo kohdat olla mahdollista saada oikaistuiksi niin, että laki täyttyy. Ihan maalaisjärjellä. Selvinnee, kunhan luen kantani kokonaan, ja teen oikaisuvaatimukset kaikkiin kohtiin, jotka ovat kyseenalaisia. Ei näillä asioilla voi enää leikkiä, luottamus on menetetty.
 

Näköjään alan ammattilaisten näkökulmasta ollut Vastaamolla huono maine jo kauan ennen tätä paskamyrskyä :think: Hyviä paljastuksia tulee joka päivä lisää tästä.
Hyvä että näitä tulee ilmi. Olen kuullut vastaavia juttuja omilta kontakteiltani niin pidän jutussa esitettyjä väitteitä hyvin mahdollisina. Mielenkiintoinen tuo maininta että 2019 ilmoitettu valviralle. Luultavasti kyseessä on ollut juurikin tämä aiemmin mainittu potilastietojen häviäminen jonka työntekijät olivat havainneet.

Jos kirjauksia on tehty GDPR:n vastaisesti, niin pitäisi nuo kohdat olla mahdollista saada oikaistuiksi niin, että laki täyttyy. Ihan maalaisjärjellä. Selvinnee, kunhan luen kantani kokonaan, ja teen oikaisuvaatimukset kaikkiin kohtiin, jotka ovat kyseenalaisia. Ei näillä asioilla voi enää leikkiä, luottamus on menetetty.
Onnea yritykseen. Käytäntö on osoittanut, että näitä harvemmin poistetaan potilaan pyynnöstä. Joskus potilaat pyytävät esimerkiksi diagnoosiensa poistoa. Kuitenkin jos lääkäri on diagnoosin todennut niin ei sitä poisteta vaikka potilas kuinka toivoisi. Halutessaan pot voi valittaa tieotsuojavastaavan toimistoon asti, mutta linjaus on pitkälti ollut se, että se mitä on asiallisesti hoidossa todettu, se pitää kutinsa, olipa potilas itse mitä mieltä tahansa. Lisäksi yksittäinen työntekijä voi tehdä omiin merkintöihinsä muutoksia. Esimerkiksi itse olen kirjannut vaikkapa lasten määrän väärin ja pot on tästä huomauttanut tekstejä lukiessaan. Omat merkintäni pystyn muuttamaan ja Kannassa näkyy potilaalle viimeisin versio mutta ne vanhat versiot sinne tallentuvat, juuri oikeusturvan takia, jotta voidaan todeta että mitä tietoja on muutettu, kuka on muuttanut, milloin ja miten. Eli tietojen poistamisen syyksi tuskin tulee riittämään se, että halutaan siellä olevan vähemmän tietoa.
 
Oliko tietomurjata julkaissut sähköposteja lunnasneuvotteluista vai onko tämä vain huhua?
 
Jeesus mitä amatöörejä! Etäyhteys suoraan MySQL-palvelimelle... Tätä on tuskin IS:n jutun vastaisesti sallittu terapeuttien pääsyn takia.
Hyvin suurella todennäköisyydellä tässä on kyse toimittajan väärinymmärryksetä/ymmärtämättömyydestä ja palvelimella on yksinkertaisesti mysql kuuntelemassa kaikkia verkkoliittymiä, jolloin mysql:ään on päässyt kiinni mistä tahansa.

Keksin heti mahdollisen skenaarionkin, miten tämä on saatu aikaiseksi:
Oletuksena Ubuntun mysql kuuntelee vain localhostia:
Koodi:
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address            = 127.0.0.1
Villetapio jossain aiemmassa haastattelussa kehui omaa järjestelmäänsä, joka sisältää koko putken ajanvarauksesta laskutukseen. Siinä kohtaa kun joku on saanut mahti-idean online-ajanvarauksesta, ollaan hieman oikaistu, eikä ole lähdetty rakentamaan mitään rajapintaa tämän crm:n ja webbisivuston välille, vaan on tylysti päädytty tekemään vapaiden aikojen haku suoraan crm:n tietokannasta.
Todennäköisesti tuolla pilvipalvelussa on olemassa jonkinlainen virtuaalinen 'sisäverkko' palvelinten välillä ja mysql on tässä kohtaa konfiguroitu kuuntelemaan muutakin kuin tuota pelkkää localhostia.
Tuo yo. bind-address asetus mysql:ssä on siitä ikävä, että siihen ei voi määritellä useampaa ip-osoitetta, vaan se on joko kaikki tai yksi ip jota mysql kuuntelee, niinpä asetukseksi on vaihdettu
Koodi:
bind-address            = 0.0.0.0
Tämän jälkeen webbiserveriltä on saatu suora yhteys tietokantaan turvallista virtuaalisisäverkkoyhteyttä käyttäen.

Hupsista saatana! Kukaan ei huomannut päivittää palomuuria ja blokata mysql-yhteyksiä internetin suunnalta, kun aiemmin sille ei ole edes ollut tarvetta.
 
Oliko tietomurjata julkaissut sähköposteja lunnasneuvotteluista vai onko tämä vain huhua?
Torilaudalla on screenshotteja väitetyistä lunnasneuvottelusähköposteista lokakuun alkupuolelta. Epäilen että näinköhän ovat oikeita ajankohdasta johtuen. Kun poliisi on ollut jo kuvioissa niin Tapion osalta ollut peli menetetty. Toki voihan olla että KRP on johtolankamielessä vaatinut "neuvottelemaan".
 
Viivytys. Tämä on se asia josta ei juurikaan mediassa keskustella.
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin tämän oikeuksille...
Miksi viranomaiset jarruttelivat vielä muutaman viikon tiedottamisensa kanssa uhreille?

Oman näkemykseni mukaan viranomaisten varautuminen tämän tason juttuun on ollut lähes samalla tasolla kuin Vastaamon tietoturvan.
KRP:n määrämällä ilmaisukiellolla ajettiin ensisijaisesti Vastaamon etua, ei niiden tietoturvaloukkauksen uhreiksi joutuneiden.


Professori ihmettelee tietosuojavaltuutetun passiivisuutta terapiatietomurrossa: ”Eivät voi vain katsella sitä, mitä poliisi tekee”
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
259 292
Viestejä
4 503 042
Jäsenet
74 378
Uusin jäsen
Shadowman

Hinta.fi

Back
Ylös Bottom