Vastaamo.fi tietovuoto - keskustelu ja seuranta

No ensimmäinen virhe on laittaa arkaluontoista tietoa kiinni sinne nettiin. Silloin kun oikeasti suojataan arkaluontoista tietoa se pitää hakea fyysisesti. Nämä tiedot ovat asiakkailleen aika helvatan arkaluontoisia. Paljon pahempia kuin normaalin sairaanhoidon tiedot.

Mutta meillä ei ole sinänsä laajan ja huonosti valvotun GDPR:n lisäksi oikein mitään standardeja ja säädöksiä tietoturvan toteuttamisesta.

Lisäksi edelleen haluaisin tästä sen esimerkkitapauksen; "ei näin". Tätä voitaisiin opettaa kouluissa ihan toisen asteen koulutuksesta lähtien. Todennäköisesti siellä on kuitenkin jollain tasolla pyritty tietoturvaan, mutta sitten on budjetti loppunut tai ollut vakavia kommunikaatiokatkoksia ja/tai asiakas ei ole ymmärtänyt asioita. Ei kukaan toimittaja voi olla näin huono, varsinkin, jos tuo toinen on itsensä DI:ksi lukenut ja firmaa pyörittänyt useita vuosia.
 
  • Tykkää
Reactions: hmb
Hieman huolestuttaa että vaikka ilmeisesti on lunnaat maksettu, niin meinaako herra haxori ne vielä jollekkin kgb/helvetin perkele/yön sudet tms porukalle niitä myydä.
Riippuu täysin haxorin moraalista, joka ei nyt kauhean korkea tunnu olevan muutenkaan. Toivotaan toki parasta, koska nuo tiedot on sellaista jota ei todellakaan pitäisi levitellä.

Tietokanta on myös erillään julkisesta verkosta ja sen admin-salasana ei todellakaan ole kenellä vaan arvattavissa. Lisäksi näkymillä on peitetty osa tiedosta, vanhemmat tiedot on GDPR:n mukaisesti poistettu kannoista automaattisilla ajoilla ja yhdessä kunnallisessa finanssialan laitoksessa (jota en voi nimetä NDA:n vuoksi) oli vielä triggereitä kyselyille jotka koskivat sensitiivistä tietoa. Niistä meni raportti johonkin.
Tämänlainen järjestelmä pitäiskin olla. Lisäksi tiukka prosessi siihen miten sitten saa yksittäiset tiedot pyydettäessä. Vanhoihin tietoihin pääsyn ei tarvitsisi olla edes reaaliaikaista.

Voin vahvistaa, .tar-paketti tosiaan löytyi. Mutta siinä vaiheessa kun sen imuroit omalle koneellesi, alkaa rikoslaista löytyä pykäliä ties mihin rangaistaviin tekoihin syyllistyt. En siis suosittele. Selaaminen sitten taas ei ole rangaistavaa. En tosin sitäkään suosittele jos haluaa nukkua yönsä hyvin.
Joo itse silmäilin äkkiseltään että dataa on ja näyttää oikealta. Haluan mieluummin nukkua yöni miettimättä noita liikaa, joten en ruvennut enempää penkomaan.
 
Voin vahvistaa, .tar-paketti tosiaan löytyi. Mutta siinä vaiheessa kun sen imuroit omalle koneellesi, alkaa rikoslaista löytyä pykäliä ties mihin rangaistaviin tekoihin syyllistyt. En siis suosittele. Selaaminen sitten taas ei ole rangaistavaa. En tosin sitäkään suosittele jos haluaa nukkua yönsä hyvin.

Jos matskut poistuneet, niin selityksenä ehkä:
a) lunnaat maksettu
b) kiristäjällä tullut vetelät housuun
c) valtion kohteliaat herrasmiehet tulleet hakemaan materiaalit omiin tarkoituksiinsa ja käskeneet lopettamaan pelleilyn

Veikkaan vaihtoehtoa c)
Niin, toivottavasti se on kohta c, mutta veikkaan silti vaihtoehtoa a. Riippuu tietenkin paljon siitä millaisia kämmejä haxori on tehnyt toimiensa aikana ja kuinka helppo tämän jäljille on ollut päästä. Tor-verkko on sellainen himmeli, että en oikein usko meikäläisillä viranomaisilla olevan keinoja sen tehokkaaseen seurantaan operaattorin kautta kulkevan vpn-putkitetun liikenteen ulkopuolisen tarkkailun lisäksi, joka taas ei ole erityisen tehokasta.

Se, että tarvitaan lääketietoja ei ole mikään peruste sille, että samaan järjestelmään on kirjattu yksityiskohtaista tietoa potilaan kertomuksista terapeutille.

Noiden tietojen kirjaaminen sinne nyt ei vaan ole mitenkään tarpeellista. Jos terapeutti vaihtuu nämä tiedot voidaan jakaa ihan muuta kautta. Terapeutit eivät vaihdu päivästä toiseen. Tässä ei nyt määrätä mitään antibioottia flunssaan terveysasemalla.

Kyllä ne paperilla ovat aika paljon paremmin turvassa vaikka lojuisivat missä, kun koko maailmalle huonosti lukitun oven takana. Ja, ehkä niitä papereitakaan ei lojuteta pöydänkulmalla.
Ymmärrän mitä tarkoitat, mutta ei se ole ihan noin yksinkertaista. Kyllä niitä hoidon historiatietoja tarvitaan ihan oikeasti ja perustellusti. Nyt ne vain oli talletettu auttamattoman huolimattomasti.

Paperien käsittely ja tiedon hakeminen niistä ei ole muutenkaan nykypäivää. Fyysisessä tallennusmuodossa on toki puolensa, mutta silti. Bittimuotoiset tiedot ovat kyllä teknisesti suojattavissa, mutta suojausmenetelmät pitää ottaa tosissaan.

Yksi asia mikä minua mietityttää näissä potilastiedoissa on se, että itse ei ole mahdollista päästä poistamaan omia yksittäisiä tietoja mistään lääkäripalvelusta. Siellä voi olla vuosien takaa talletettuna jotain epärelevanttia, jonka haluaisi pyyhkiä pois mielestä kokonaan, mutta siellä se vain köllöttelee loputtomiin jossakin kannassa odottamassa, että missä yhteydessä tieto putkahtaa julkisuuteen. Sama juttu vanhojen lääkereseptien kanssa jne.
 
Ymmärrän mitä tarkoitat, mutta ei se ole ihan noin yksinkertaista. Kyllä niitä hoidon historiatietoja tarvitaan ihan oikeasti ja perustellusti. Nyt ne vain oli talletettu auttamattoman huolimattomasti.

Paperien käsittely ja tiedon hakeminen niistä ei ole muutenkaan nykypäivää. Fyysisessä tallennusmuodossa on toki puolensa, mutta silti. Bittimuotoiset tiedot ovat kyllä teknisesti suojattavissa, mutta suojausmenetelmät pitää ottaa tosissaan.

Yksi asia mikä minua mietityttää näissä potilastiedoissa on se, että itse ei ole mahdollista päästä poistamaan omia yksittäisiä tietoja mistään lääkäripalvelusta. Siellä voi olla vuosien takaa talletettuna jotain epärelevanttia, jonka haluaisi pyyhkiä pois mielestä kokonaan, mutta siellä se vain köllöttelee loputtomiin jossakin kannassa odottamassa, että missä yhteydessä tieto putkahtaa julkisuuteen. Sama juttu vanhojen lääkereseptien kanssa jne.
Voi se olla myös erillinen tietokone (ei kytketä internetiin), tarvittaessa massamedia ja tarvittaessa kassakaappi. Tosin varmasti kryptattu tietokone jota ei yhdistetä internetiin ja jossa säilytetään vain milloinkin tarpeelliset tiedot riittää.. Näin toimitaan ihan yleisesti kun on oikeasti materiaalia joka halutaan pitää salassa.

En luottaisi, että tämänkaltaisella/kokoisella yrityksellä toteutuisi ikipäivänä riittävällä tasolla tuo "pitää ottaa tosissaan". Ajattelun on parempi lähteä siitä, että niitä bittitason tietoja ei saada suojattua. Jolloin paljon turvallisempi ja parempi ratkaisu on ottaa asia tosissaan siten, että niihin tietoihin ei lähtökohtaisesti edes pääse murtautumaan (yrittämään).

Ja tämä nimenomaan koskee tuota kaikista sensitiivisintä dataa. Asiakastiedot yms. voi tietenkin olla edelleen eri järjestelmässä, jota sitten yritetään suojata.
 
Viimeksi muokattu:
Voi se olla myös erillinen tietokone (ei kytketä internetiin), tarvittaessa massamedia ja tarvittaessa kassakaappi. Tosin varmasti kryptattu tietokone jota ei yhdistetä internetiin ja jossa säilytetään vain milloinkin tarpeelliset tiedot riittää.. Näin toimitaan ihan yleisesti kun on oikeasti materiaalia joka halutaan pitää salassa.

En luottaisi, että tämänkaltaisella/kokoisella yrityksellä toteutuisi ikipäivänä riittävällä tasolla tuo "pitää ottaa tosissaan". Jolloin paljon turvallisempi ja parempi ratkaisu on ottaa asia tosissaan siten, että niihin tietoihin ei lähtökohtaisesti edes pääse murtautumaan (yrittämään).
Joo, se on selvää, että ei tuon systeemin olisi pitänyt olla avoinna Internetiin. Se oli ensimmäinen virhe ja toinen oli sitten mahdollisesti päivittämätön alusta oletussalasanoilla.


Maksettiinkohan ne lunnaat? :think:
Ei voi tietää, siitä on spekulointia jo tuossa muutamaa viestiä aiemmin. Viitteitä on siihen suuntaan, että olisi maksettu.
 
Kyllä nuita käynnin kirjauksia ja tarkempia tietoja työssä tarvitaan. Kun yhdellä terapeutilla on yleensä kymmeniä asiakkaita yhtäaikaa hoidettavana, niin ei niitä kaikkia yksityiskohtia voi millään muistaa ilman muistiinpanoja. Eli normaali käytäntö kyseessä. Normaaleissa potilastietojärjestelmissä nuo lääketiedot, käyntitiedot, lausunnot yms. on kaikki eri "sivuillaan" omine lukuoikeuksineen. Eli koulun puolella työskentelevät työntekijät eivät esim. voineet lukea minun psykiatrisena sairaanhoitajana laitettuja merkintöjä. Ja minä taas kaupungin työntekijän roolissa jouduin erillisen turvatsekkauksen kautta menemään sairaanhoitopiirin tietoihin. Kaikesta jäi käyntimerkinnät.
 
Kyllä nuita käynnin kirjauksia ja tarkempia tietoja työssä tarvitaan. Kun yhdellä terapeutilla on yleensä kymmeniä asiakkaita yhtäaikaa hoidettavana, niin ei niitä kaikkia yksityiskohtia voi millään muistaa ilman muistiinpanoja. Eli normaali käytäntö kyseessä. Normaaleissa potilastietojärjestelmissä nuo lääketiedot, käyntitiedot, lausunnot yms. on kaikki eri "sivuillaan" omine lukuoikeuksineen. Eli koulun puolella työskentelevät työntekijät eivät esim. voineet lukea minun psykiatrisena sairaanhoitajana laitettuja merkintöjä. Ja minä taas kaupungin työntekijän roolissa jouduin erillisen turvatsekkauksen kautta menemään sairaanhoitopiirin tietoihin. Kaikesta jäi käyntimerkinnät.
Siis varmasti tarvitaan, mutta ei niihin silti tarvitse olla (fyysinen) pääsy kuin yhdellä terapeutilla kerrallaan, jolloin niiden laittaminen johonkin järjestelmään "helposti saataville" on ihan turhaa ja tarpeeton riski.

Ja kun potilassuhde on päättynyt kaikki tiedot luottamuksellisista keskusteluista tulisi tietenkin tuhota.
 
Kyllä nuita käynnin kirjauksia ja tarkempia tietoja työssä tarvitaan. Kun yhdellä terapeutilla on yleensä kymmeniä asiakkaita yhtäaikaa hoidettavana, niin ei niitä kaikkia yksityiskohtia voi millään muistaa ilman muistiinpanoja. Eli normaali käytäntö kyseessä. Normaaleissa potilastietojärjestelmissä nuo lääketiedot, käyntitiedot, lausunnot yms. on kaikki eri "sivuillaan" omine lukuoikeuksineen. Eli koulun puolella työskentelevät työntekijät eivät esim. voineet lukea minun psykiatrisena sairaanhoitajana laitettuja merkintöjä. Ja minä taas kaupungin työntekijän roolissa jouduin erillisen turvatsekkauksen kautta menemään sairaanhoitopiirin tietoihin. Kaikesta jäi käyntimerkinnät.
Kyllä. Eikä ole täysin poissuljettua etteikö se toiminut samalla tavalla Vastaamossakin, mutta kun siellä oli kustu se tekninen toteutus, niin se on vähän kuin kassakaappi, jossa on metrin metalliovet ja turvatarkastukset, mutta sisällä avoin ikkuna, josta voi kulkea vapaasti. Vastaamon tapauksessa se kassakaappi ei ollut edes yrityksen omien ovien takana, vaan se oli julkisesti kaikkien tutkittavana (eli avoinna Internetiin).

Vastaavaa näennäisturvallisuutta arvelen olevan monessa muussakin terveydenhuollon tietojärjestelmässä.
 
Liekkö tulleet järkiinsä ja maksaneet kiristäjälle?

"Vastaamon potilastietoja sisältänyt sivusto katosi Tor-verkosta
Tänään klo 11:11
Psykoterapiakeskus Vastaamoa kiristävän verkkorikollisen sivulle Tor-verkossa ei enää pääse. Tämä viittaisi siihen, että sivusto on poistettu.
--
Iltalehti ei ole toistaiseksi tavoittanut Keskusrikospoliisia tai Vastaamoa kommentoimaan sitä, onko tiedot poistettu verkosta."​

"Kiristäjä julkaisi viime yönä 100 uuden ihmisen tiedot. Hän julkaisi myös suuren 10 gigatavun pakatun tiedoston, jonka sisällöstä ei ole tietoa. Kyseessä on mahdollisesti Vastaamon tietokanta, joka on kuitenkin suurella todennäköisyydellä vahvasti salattu ja salasanasuojattu.
Nämä tiedostot eivät ole enää kiristäjän verkkosivulla, mutta moni on saattanut ottaa niistä kopioita ja niitä saatetaan jatkossakin käyttää laittomiin tarkoituksiin. Näitä voivat olla muun muassa identiteettivarkaudet ja kiristäminen.
Tällä hetkellä ei ole takeita siitä, etteikö sivu voisi palata verkkoon
Sivun poistajasta ei ole tietoa. Verkossa liikkuvien vahvistamattomien väitteiden mukaan kiristäjälle olisi maksettu hänen vaatimansa summa, 40 bitcoinia eli noin 450 000 euroa."
 
Liekkö tulleet järkiinsä ja maksaneet kiristäjälle?

"Vastaamon potilastietoja sisältänyt sivusto katosi Tor-verkosta
Tänään klo 11:11
Psykoterapiakeskus Vastaamoa kiristävän verkkorikollisen sivulle Tor-verkossa ei enää pääse. Tämä viittaisi siihen, että sivusto on poistettu.
--
Iltalehti ei ole toistaiseksi tavoittanut Keskusrikospoliisia tai Vastaamoa kommentoimaan sitä, onko tiedot poistettu verkosta."​

"Kiristäjä julkaisi viime yönä 100 uuden ihmisen tiedot. Hän julkaisi myös suuren 10 gigatavun pakatun tiedoston, jonka sisällöstä ei ole tietoa. Kyseessä on mahdollisesti Vastaamon tietokanta, joka on kuitenkin suurella todennäköisyydellä vahvasti salattu ja salasanasuojattu.
Nämä tiedostot eivät ole enää kiristäjän verkkosivulla, mutta moni on saattanut ottaa niistä kopioita ja niitä saatetaan jatkossakin käyttää laittomiin tarkoituksiin. Näitä voivat olla muun muassa identiteettivarkaudet ja kiristäminen.
Tällä hetkellä ei ole takeita siitä, etteikö sivu voisi palata verkkoon
Sivun poistajasta ei ole tietoa. Verkossa liikkuvien vahvistamattomien väitteiden mukaan kiristäjälle olisi maksettu hänen vaatimansa summa, 40 bitcoinia eli noin 450 000 euroa."
Mitäs jos ei ihan kaikki postattaisi näitä samoja uutisia tänne moneen kertaan?

Edit.
Ääh, sori. Katsoin että tämä oli tätä aihetta käsittelevässä erillisessä ketjussa.
 
Ei voi tietää, siitä on spekulointia jo tuossa muutamaa viestiä aiemmin. Viitteitä on siihen suuntaan, että olisi maksettu.

No nyt on pakko kysyä, että mitä viitteitä tuohon suuntaan on? Heitä jokunen perustelu. EIhän maksajalla ole mtään takeita, että tiedot oikeasti tuhottaisiin.

Joku kiristyshaittaohjelma, jonka lunnaat maksamalla saat datat talteen ja vanhan romun heivattua järveen ehkä vielä ymmärtäisin. Mutta en kyllä tätä skenaariota.
 
Kyllä nuita käynnin kirjauksia ja tarkempia tietoja työssä tarvitaan. Kun yhdellä terapeutilla on yleensä kymmeniä asiakkaita yhtäaikaa hoidettavana, niin ei niitä kaikkia yksityiskohtia voi millään muistaa ilman muistiinpanoja. Eli normaali käytäntö kyseessä. Normaaleissa potilastietojärjestelmissä nuo lääketiedot, käyntitiedot, lausunnot yms. on kaikki eri "sivuillaan" omine lukuoikeuksineen. Eli koulun puolella työskentelevät työntekijät eivät esim. voineet lukea minun psykiatrisena sairaanhoitajana laitettuja merkintöjä. Ja minä taas kaupungin työntekijän roolissa jouduin erillisen turvatsekkauksen kautta menemään sairaanhoitopiirin tietoihin. Kaikesta jäi käyntimerkinnät.
Kyllä. Eikä ole täysin poissuljettua etteikö se toiminut samalla tavalla Vastaamossakin, mutta kun siellä oli kustu se tekninen toteutus, niin se on vähän kuin kassakaappi, jossa on metrin metalliovet ja turvatarkastukset, mutta sisällä avoin ikkuna, josta voi kulkea vapaasti. Vastaamon tapauksessa se kassakaappi ei ollut edes yrityksen omien ovien takana, vaan se oli julkisesti kaikkien tutkittavana (eli avoinna Internetiin).

Vastaavaa näennäisturvallisuutta arvelen olevan monessa muussakin terveydenhuollon tietojärjestelmässä.
"Lukot on tehty lainkuulijaisia varten."

No nyt on pakko kysyä, että mitä viitteitä tuohon suuntaan on? Heitä jokunen perustelu. EIhän maksajalla ole mtään takeita, että tiedot oikeasti tuhottaisiin.

Joku kiristyshaittaohjelma, jonka lunnaat maksamalla saat datat talteen ja vanhan romun heivattua järveen ehkä vielä ymmärtäisin. Mutta en kyllä tätä skenaariota.
Joka päivä 100 uutta paljastusta... joka päivä! Arvaa kuinka pitkään asia pysyy julkisuudessa? Arvaa kuinka pahasti homma alkaa viikon jälkeen räjähtää käsille. Missä kohtaa eka vuodon uhri tekee itsarin ja firma pääsee taas otsikoihin kautta pallon. jne...

40 BTC lunnaat siitä että on edes mahdollisuus saada tämä loppumaan, alkaa jossain kohtaa kuulostaa oikein varteenotettavalta vaihtoehdolta.
 
No nyt on pakko kysyä, että mitä viitteitä tuohon suuntaan on? Heitä jokunen perustelu. EIhän maksajalla ole mtään takeita, että tiedot oikeasti tuhottaisiin.

Joku kiristyshaittaohjelma, jonka lunnaat maksamalla saat datat talteen ja vanhan romun heivattua järveen ehkä vielä ymmärtäisin. Mutta en kyllä tätä skenaariota.
No eipä siitä muuta konkreettista ole kuin että se sivusto lakkasi vastaamassa, jossa tiedot olivat. Syy on todennäköisesti joku niistä aiemmin mainitusta kolmesta vaihtoehdosta. Se aiemmin mainittu bitcoin-siirto vaikuttaa kuitenkin virheelliseltä, sillä sille samalle tilille on siirretty aiemminkin vastaavia summia. Myös maksun ajankohta on vähintään erikoinen.

No, eiköhän tuo selviä jollakin tasolla viimeistään ensi yönä, eli jos uusia vuotoja ei tule, niin sitten lunnaat on maksettu, tai viranomaiset kävivät tekijöiden luona sumpilla.

Redditistä muuten bongasin tämän Kummelipätkän, joka hieman muistuttaa tilanteesta:

 
Joka päivä 100 uutta paljastusta... joka päivä! Arvaa kuinka pitkään asia pysyy julkisuudessa? Arvaa kuinka pahasti homma alkaa viikon jälkeen räjähtää käsille. Missä kohtaa eka vuodon uhri tekee itsarin ja firma pääsee taas otsikoihin kautta pallon. jne...

40 BTC lunnaat siitä että on edes mahdollisuus saada tämä loppumaan, alkaa jossain kohtaa kuulostaa oikein varteenotettavalta vaihtoehdolta.

Nojoo, ymmärrän toki tämän. Mutta pitäisikö firman siis kirjata budjettiin kuukausittainen 100 ke suojelurahaa Igorille, kiinteisiin kuluihin. Toisaalta oppikirjaesimerkki siitä kun säästetään vaikkapa niissä ikävissä tietoturvaan liittyvissä kuluissa, "eihän meille tommosta voi käydä". Silti vaadin nyt päitä vadille, sen verran pahaa settiä oli jo niissä 300 vuodetussa filussa. Jos kaikille vaikka 2 miljoonaa korvausta, niin sehän tekee 600 miljoonaa. Siihen saa jo jonkun tunnin psykoterapiaa tehdä.
 
Nojoo, ymmärrän toki tämän. Mutta pitäisikö firman siis kirjata budjettiin kuukausittainen 100 ke suojelurahaa Igorille, kiinteisiin kuluihin. Toisaalta oppikirjaesimerkki siitä kun säästetään vaikkapa niissä ikävissä tietoturvaan liittyvissä kuluissa, "eihän meille tommosta voi käydä". Silti vaadin nyt päitä vadille, sen verran pahaa settiä oli jo niissä 300 vuodetussa filussa. Jos kaikille vaikka 2 miljoonaa korvausta, niin sehän tekee 600 miljoonaa. Siihen saa jo jonkun tunnin psykoterapiaa tehdä.
Valitettavasti siitä selviää vetämällä firman konkkaan, ja homma hoidettu. Ensin tietenkin rahat pihalle. Pitäisi joutua ihan henkilökohtaiseen vastuuseen, niin alkaisi seuraavaakin puljua oikeasti kiinnostamaan.
 
Firma ei maksa kahta kertaa samasta asiasta lunnaita. Toisells kerralla olisi tiedossa, että rahalle ei saa vastinetta. Sen sijaan kiristäjä voisi lähestyä potilaita ja vaatia heiltä vaikka kuukausikorvausta, johon moni voisi suostua. Paskamainen tilanne.
 
Jos tuo hakkerin esittämä tapa tiedostojen saamiseen pitää paikkansa, niin tuo sama tietokanta lienee aika monella muullakin taholla ja kaikki tiedot tulevat julki ennemmin tai myöhemmin.

Sanoisin, että viimeistään nyt pitäisi hetun vaihtamista helpottaa. Ei voi olla niin, että 1% kansasta on alttiina jatkuvalle kiristykselle ja identiteettivarkauksille lopun elämäänsä.
 
Jos tuo hakkerin esittämä tapa tiedostojen saamiseen pitää paikkansa, niin tuo sama tietokanta lienee aika monella muullakin taholla ja kaikki tiedot tulevat julki ennemmin tai myöhemmin.

Sanoisin, että viimeistään nyt pitäisi hetun vaihtamista helpottaa. Ei voi olla niin, että 1% kansasta on alttiina jatkuvalle kiristykselle ja identiteettivarkauksille lopun elämäänsä.

Hetun vaihtaminenhan nyt ei millään tavalla estä kiristämistä noilla tiedoilla.

Sen sijaan tämä saisi toimia kuoliniskuna sille, että hetua ylipäätään saa käyttää minkäänlaiseen "tunnistamiseen" mitään sopimuksia tms. tehdessä.
 
Näin on. Kiristysviesteissä oli sekä englannin kieltä että venäjää. Jos oletetaan, että venäläisillä (tai ukrainalaisilla...?) on käytössään 40 000 henkilön datamatassa täynnä "kompromat", niin sieltä väkisinkin löytyy hyviä kohteita, kuten:

- taloudellisten etujen ajaminen
- poliittisten asioiden edistäminen
- sotilaallisten tai muuten strategisesti tärkeiden aiheiden edistäminen

Jos ei onnistu, niin uhataan, että kohta iltapäivälehdessä lukee edit: poistettu Kylllä ei ole hyvä tilanne sitten ensinkäään, ei.
 
Viimeksi muokannut ylläpidon jäsen:
Firma ei maksa kahta kertaa samasta asiasta lunnaita. Toisells kerralla olisi tiedossa, että rahalle ei saa vastinetta. Sen sijaan kiristäjä voisi lähestyä potilaita ja vaatia heiltä vaikka kuukausikorvausta, johon moni voisi suostua. Paskamainen tilanne.

Veikkaisin, että jos on ulkomainen toimija, niin vaan myy nuo tiedot jossain pimeillä markkinoilla, kunhan on kotiuttanut rahansa. Vähän niinkuin luottokorttitiedot, niin nyt saa terapiatietoja halvalla, kun osaa kysyä.

Jos tuo hakkerin esittämä tapa tiedostojen saamiseen pitää paikkansa, niin tuo sama tietokanta lienee aika monella muullakin taholla ja kaikki tiedot tulevat julki ennemmin tai myöhemmin.

Sanoisin, että viimeistään nyt pitäisi hetun vaihtamista helpottaa. Ei voi olla niin, että 1% kansasta on alttiina jatkuvalle kiristykselle ja identiteettivarkauksille lopun elämäänsä.

Tietosuojasäädökset on jo pidempään estäneet henkilötunnuksen käytön datojen yhdistämisessä ja tuohan on semmoinen ratkaisu, että sen voisi raportoida ja he saisivat siitä huomautuksen.
Voisi katsoa, onko tuo GDPR:ssäkin, mutta uskoisin.
Lisäksi taitaa tulla tosiaan vain huomautus ja vihainen kirje, kun näille ei ole mitään kunnon säädöksiä/rangastuksia. Tai on se henkilörekisteriseloste, mutta enpä sitäkään löytänyt Valvomon sivuilta. En tosin ole asiakas.

Toivottavasti nyt saadaan asia julkiseen keskusteluun ja tämmöiset tapaukset kuriin. Security by obscurity ei toimi enää nykyaikana.

--

Veljeni on muuten ollut taluttamassa yhden kaverin pois työpaikaltaan, kun hän oli valtion duunissa väärinkäyttänyt yksityisiä henkilötietoja. Kaveri sai välittömät potkut ja on inspiroinut minua työssäni olemaan katsomatta kenenkään henkilötietoja, edes omiani, asiakkaan järjestelmistä ilman erillistä pyyntöä.
 
Jos tuo hakkerin esittämä tapa tiedostojen saamiseen pitää paikkansa, niin tuo sama tietokanta lienee aika monella muullakin taholla ja kaikki tiedot tulevat julki ennemmin tai myöhemmin.
Mikä sama tietokanta? Mikä on ollut hakkerin käyttämä tapa? Ei näistä ole kuin spekulaatioita.

Hyökkääjä oli postannut viestin, että pääsi palvelimelle root tunnuksella ja sen root-oletussalasanalla. Tämä ei ole varma tieto, mutta vaikuttaa kuitenkin siltä, ettei kyse ole mistään tietystä järjestelmästä tai tietokannasta missä olisi tällainen "vika" järjestelmällisesti. Hyökkääjät kokeilevat eri automaatiotyökaluilla että mistä palveluista löytyy mitäkin tunnettuja reikiä ja vanhoja sovellusversiota ja näiden oletussatunnuksia. Sitten kun jotain löytyy, niin tutkitaan tarkemmin. Vaikuttaa siltä että tässä on ylläpidolle tapahtunut kaksi merkittävää aloittelijan mokaa (oletustunnus/salasana ja sisäinen järjestelmä avoinna Internetiin), sekä lisäksi jäänyt muuten vain hoitamatta kriittisten tietojen suojaaminen asiallisella tavalla.

Sanoisin, että viimeistään nyt pitäisi hetun vaihtamista helpottaa. Ei voi olla niin, että 1% kansasta on alttiina jatkuvalle kiristykselle ja identiteettivarkauksille lopun elämäänsä.
Hetun vaihtaminen ei auta yhtään mitään. Riittäisi kun lakataan käyttämästä sitä pelkkää hetua tunnistamisessa. Vahva tunnistus joka paikkaan ja se siitä. Mutta tietovuotoihin sillä ei sinäänsä siis olisi tietenkään mitään vaikutusta.
 
Hetun vaihtaminenhan nyt ei millään tavalla estä kiristämistä noilla tiedoilla.

Sen sijaan tämä saisi toimia kuoliniskuna sille, että hetua ylipäätään saa käyttää minkäänlaiseen "tunnistamiseen" mitään sopimuksia tms. tehdessä.
No tähän keissin tuo ei vaikuta, kun tuossa vuotaisi sitten ne muut tunnistustiedot, joka voisi olla vielä pahempi.
 
Veljeni on muuten ollut taluttamassa yhden kaverin pois työpaikaltaan, kun hän oli valtion duunissa väärinkäyttänyt yksityisiä henkilötietoja. Kaveri sai välittömät potkut ja on inspiroinut minua työssäni olemaan katsomatta kenenkään henkilötietoja, edes omiani, asiakkaan järjestelmistä ilman erillistä pyyntöä.
Jep, tämä on hyvä tapa toimia. Itsekkin eräässä projektissa jouduin käpistelemään HR dataa ja tässäkin tosiaan maskasin kaikki nimet testaillessa, jotta en näe kenen tietoja millonkin näkyi, pakko oli kuitenkin oikeaa dataa hakea ja testata että kaikki toimi oikein. Ja toki niin kuin asiaan kuuluu, kaikesta jäi audit trailit ja oikkia noihin datoihin ei ollut organisaatiossa kuin muutamalla henkilöllä.
 
Hetun vaihtaminen estää identiteettivarkauden vanhalla hetulla. Esim. Klarnalle riittää osamaksulla ja laskulla tilatessa nimi ja hetu oikein...
 
Näin on. Kiristysviesteissä oli sekä englannin kieltä että venäjää. Jos oletetaan, että venäläisillä (tai ukrainalaisilla...?) on käytössään 40 000 henkilön datamatassa täynnä "kompromat", niin sieltä väkisinkin löytyy hyviä kohteita, kuten:

- taloudellisten etujen ajaminen
- poliittisten asioiden edistäminen
- sotilaallisten tai muuten strategisesti tärkeiden aiheiden edistäminen

Jos ei onnistu, niin uhataan, että kohta iltapäivälehdessä lukee edit: poistettu Kylllä ei ole hyvä tilanne sitten ensinkäään, ei.
Ja pitäisi oikeasti ymmärtää mitä tämänkaltainen data on vakavuudeltaan ja miten sen tietoturvaan tulisi suhtautua.
 
Viimeksi muokannut ylläpidon jäsen:
  • Tykkää
Reactions: drs
PRESS RELEASE:

"Vastaamon tietojärjestelmiä on tarkistettu, ne ovat vahvasti suojattu ja niiden käyttöä valvotaan tehostetusti tietoturva-ammattilaisten toimesta."
 
PRESS RELEASE:

"Vastaamon tietojärjestelmiä on tarkistettu, ne ovat vahvasti suojattu ja niiden käyttöä valvotaan tehostetusti tietoturva-ammattilaisten toimesta."

Se on hienoa, että toisin kuin pankin, tietokannat voi varastaa uudelleenkin :hammer:
 
Siis varmasti tarvitaan, mutta ei niihin silti tarvitse olla (fyysinen) pääsy kuin yhdellä terapeutilla kerrallaan, jolloin niiden laittaminen johonkin järjestelmään "helposti saataville" on ihan turhaa ja tarpeeton riski.

Ja kun potilassuhde on päättynyt kaikki tiedot luottamuksellisista keskusteluista tulisi tietenkin tuhota.
Riippuu paikasta. En ole tuohon paikkaan perehtynyt, että millainen työryhmä siellä on. Mutta omassa työssäni oli normaalia, että samaa potilasta saattoi olla hoitamassa psykiatrinen sairaanhoitaja taikka kaksi + psykologi + lääkäri. Jos tuo on puhtaasti "terapiasuhde" yhden terapeutin varassa ja talo ei muita palveluja tarjoa lainkaan, niin tilanne voi olla eri. Laki määrää myös tietojen säilytykseen liittyvistä asioista. Niitä ei saa miten vain tuhota sieltä. Jos esim. joskus potilas löytyy kuolleena kämpästään, tai rikoksien kohdalla. Tuolloin vanhoja tietoja voidaan kaivella melko kauaskin.
 
Riippuu paikasta. En ole tuohon paikkaan perehtynyt, että millainen työryhmä siellä on. Mutta omassa työssäni oli normaalia, että samaa potilasta saattoi olla hoitamassa psykiatrinen sairaanhoitaja taikka kaksi + psykologi + lääkäri. Jos tuo on puhtaasti "terapiasuhde" yhden terapeutin varassa ja talo ei muita palveluja tarjoa lainkaan, niin tilanne voi olla eri. Laki määrää myös tietojen säilytykseen liittyvistä asioista. Niitä ei saa miten vain tuhota sieltä. Jos esim. joskus potilas löytyy kuolleena kämpästään, tai rikoksien kohdalla. Tuolloin vanhoja tietoja voidaan kaivella melko kauaskin.

Hetkonen: ainakin elokuvissa psykiatri voi kertoa luottamuksellisessa suhteessa vain murha-aikeet (ja vain tulevaisuuden tapahtumat) eteenpäin, mutta silloinkin vain murhan kohteelle eikä esim. poliisille.
 
Voin vahvistaa, .tar-paketti tosiaan löytyi. Mutta siinä vaiheessa kun sen imuroit omalle koneellesi, alkaa rikoslaista löytyä pykäliä ties mihin rangaistaviin tekoihin syyllistyt. En siis suosittele. Selaaminen sitten taas ei ole rangaistavaa. En tosin sitäkään suosittele jos haluaa nukkua yönsä hyvin.

Olen nähnyt muillakin foorumeilla näitä epämääräisiä väitteitä, että näiden tietojen lataaminen olisi rikollista. Yhdenkään näkemäni väitteen yhteydessä ei ole mainintaa, mihin lakiin viitataan, joten lienee pelkkää paikkaansa pitämätöntä höpinää?

Eli voisitko täsmentää, mihin lakiin viittaat tällä väitteellä?

Esim. henkilörekisterilain säännökset eivät koske lainkaan henkilötietojen käyttöä ja tallettamista henkilökohtaiseen käyttöön, joten jos lataan tiedot vain niitä itse katsellakseni, ei kyseisen lain säännöksillä ole mitään merkitystä.
 
Hetkonen: ainakin elokuvissa psykiatri voi kertoa luottamuksellisessa suhteessa vain murha-aikeet (ja vain tulevaisuuden tapahtumat) eteenpäin, mutta silloinkin vain murhan kohteelle eikä esim. poliisille.
En nyt kovin tarkasti yksityiskohtiin voi mennä, mutta esim. yhdessä keississä lastensuojelun puolelta (joka poliisin kanssa tekemisissä) pyydettiin saada melko tarkkoja tietoja hoitohistoriasta. Eli alku, ketä mukana, miten vanhemmat toimineet, miten jatkosuunnitelmat ym. Nuita ei kukaan voi muistaa riittävän tarkasti mahdollisesti vuosien ajalta, ellei niitä ole kirjoitettu johonkin ylös. Tuossa taustalla oli epäily siitä, että potilas oli hyväksikäyttänyt toista nuorempaa lasta. Eli se hoitava taho itse saattaa tarvita niitä tietoja vielä pidemmänkin ajan jälkeen. Ei niitä suoraan raakana datana tietenkään eteenpäin viedä.
 
En nyt kovin tarkasti yksityiskohtiin voi mennä, mutta esim. yhdessä keississä lastensuojelun puolelta (joka poliisin kanssa tekemisissä) pyydettiin saada melko tarkkoja tietoja hoitohistoriasta. Eli alku, ketä mukana, miten vanhemmat toimineet, miten jatkosuunnitelmat ym. Nuita ei kukaan voi muistaa riittävän tarkasti mahdollisesti vuosien ajalta, ellei niitä ole kirjoitettu johonkin ylös. Tuossa taustalla oli epäily siitä, että potilas oli hyväksikäyttänyt toista nuorempaa lasta. Eli se hoitava taho itse saattaa tarvita niitä tietoja vielä pidemmänkin ajan jälkeen. Ei niitä suoraan raakana datana tietenkään eteenpäin viedä.

Eli jos haluaa prosessoida tehtyä rikosta ja siten kasvaa hyväksi kansalaiseksi, kannattaa tosiaan hommata sympaattinen lurppasilmäinen koira terapeutiksi. Itse olin siinä käsityksessä, että psykiatrille kerrottu luottamuksellinen tieto jo tapahtuneesta on aina yksikäsitteisesti luottamuksellinen.

Hyvä tietää ja onneksi en ole vastaamon asiakas!
 
Riippuu paikasta. En ole tuohon paikkaan perehtynyt, että millainen työryhmä siellä on. Mutta omassa työssäni oli normaalia, että samaa potilasta saattoi olla hoitamassa psykiatrinen sairaanhoitaja taikka kaksi + psykologi + lääkäri. Jos tuo on puhtaasti "terapiasuhde" yhden terapeutin varassa ja talo ei muita palveluja tarjoa lainkaan, niin tilanne voi olla eri. Laki määrää myös tietojen säilytykseen liittyvistä asioista. Niitä ei saa miten vain tuhota sieltä. Jos esim. joskus potilas löytyy kuolleena kämpästään, tai rikoksien kohdalla. Tuolloin vanhoja tietoja voidaan kaivella melko kauaskin.
Eikai noille muille silti ikinä kerrottu mitään terapeutin ja potilaan kahdenkeskisistä keskusteluista? Kuulostaisi todella oudolta, jos noiden tiedot eivät olisi tiukasti terapeutin ja asiakkaan välisiä. Kuka edes avautuisi terapeutille mistään, jos lähtökohta on, että no minäpä kerron nämä (juorut) sitten tästä eteenpäin.
 
En nyt kovin tarkasti yksityiskohtiin voi mennä, mutta esim. yhdessä keississä lastensuojelun puolelta (joka poliisin kanssa tekemisissä) pyydettiin saada melko tarkkoja tietoja hoitohistoriasta. Eli alku, ketä mukana, miten vanhemmat toimineet, miten jatkosuunnitelmat ym. Nuita ei kukaan voi muistaa riittävän tarkasti mahdollisesti vuosien ajalta, ellei niitä ole kirjoitettu johonkin ylös. Tuossa taustalla oli epäily siitä, että potilas oli hyväksikäyttänyt toista nuorempaa lasta. Eli se hoitava taho itse saattaa tarvita niitä tietoja vielä pidemmänkin ajan jälkeen. Ei niitä suoraan raakana datana tietenkään eteenpäin viedä.
Eli hoitava taho ei tarvinnut tietoja mihinkään, mutta niitä säilytettiin tarpeettomasti, jos vaikka joku joskus kysyisi (tai varastaisi). Aika malliesimerkki ala-arvoisesta suhtautumisesta asiakkaan tietoihin.
 
Eikai noille muille silti ikinä kerrottu mitään terapeutin ja potilaan kahdenkeskisistä keskusteluista? Kuulostaisi todella oudolta, jos noiden tiedot eivät olisi tiukasti terapeutin ja asiakkaan välisiä. Kuka edes avautuisi terapeutille mistään, jos lähtökohta on, että no minäpä kerron nämä (juorut) sitten tästä eteenpäin.
Yleisesti ei, vaan ne on enempi sellaisiä yhdelle A4:lle mahtuvia yhteenvetoja ja vain pyydettäessä. Mutta nyt kyse oli nuista tietojen säilyttämisistä. Eli nuita tietoja todellakin voi tarvia vielä pidemmänkin ajan kuluttua ja niitä voi tarvita useampi henkilö, jotka potilaan kanssa ovat työskennelleet. Ja pyynnöt on melko tarkasti kohdistettuja, jos jostain asiasta virkavalta tarvitsee lisätietoa. Tuossa on toki myös eroja lasten, nuoren ja aikuisten kirjaamiskäytäntöjen välillä.
 
Eli hoitava taho ei tarvinnut tietoja mihinkään, mutta niitä säilytettiin tarpeettomasti, jos vaikka joku joskus kysyisi (tai varastaisi). Aika malliesimerkki ala-arvoisesta suhtautumisesta asiakkaan tietoihin.
Laki määrää tietojen säilyttämiseen liittyvistä asioista. Ja niitä saattaa tarvia pitkienkin aikojen jälkeen ihan rikosoikeudellisistakin syistä. Ei ne mitään turhaa tietoa ole.
 
Yleisesti ei, vaan ne on enempi sellaisiä yhdelle A4:lle mahtuvia yhteenvetoja ja vain pyydettäessä. Mutta nyt kyse oli nuista tietojen säilyttämisistä. Eli nuita tietoja todellakin voi tarvia vielä pidemmänkin ajan kuluttua ja niitä voi tarvita useampi henkilö, jotka potilaan kanssa ovat työskennelleet. Ja pyynnöt on melko tarkasti kohdistettuja, jos jostain asiasta virkavalta tarvitsee lisätietoa. Tuossa on toki myös eroja lasten, nuoren ja aikuisten kirjaamiskäytäntöjen välillä.
Jos tälläistä toimintaa pidetään ihan ok käytäntönä niin voidaan kyllä samantien lopettaa pöyristyminen jostain Facebookista ja muista somejäteistä. Valtion hallinnon suhtautuminen alamaisiin ei taida oikein kestää päivänvaloa? (Ymmärsin, että julkisen sektorin tiedoista kyse)
 
Poliisin tehtävä on kuulustella rikoksista epäiltyä, ei terveydenhuollon henkilökunnan.
Huoh... en jaksa tästä nyt alkaa vääntämään, menee offtopicin puolelle liikaa. Olen itsekin virkavallan pyynnöstä joutunut täyttämään monta lappua, missä käyty jollain muotoa läpi hoitohistoriaa. On se sitten ollut em. hyväksikäyttöasia tai vaikkapa mietintä, että voiko lapsi palata sijoituksesta omaan kotiinsa (mikä on ollut vanhempien toiminta hoitosuhteen aikana/käynneillä jne.) Ei ne ole niin yksiselitteisiä asioita.
 
  • Tykkää
Reactions: mti
Huoh... en jaksa tästä nyt alkaa vääntämään, menee offtopicin puolelle liikaa. Olen itsekin virkavallan pyynnöstä joutunut täyttämään monta lappua, missä käyty jollain muotoa läpi hoitohistoriaa. On se sitten ollut em. hyväksikäyttöasia tai vaikkapa mietintä, että voiko lapsi palata sijoituksesta omaan kotiinsa (mikä on ollut vanhempien toiminta hoitosuhteen aikana/käynneillä jne.) Ei ne ole niin yksiselitteisiä asioita.
Kyllä tietosuoja on aika yksiselitteinen asia. Toinen juttu on sitten, että aletaanko keksimään kaikenmaailman selityksiä, miksi yksiselitteistä ja itsestäänselvää asiaa ei käsitellä niinkuin asiaan kuuluisi. Suomi ei kuitenkaan enää ole mikään Neuvostoliiton vasalli, vaan leikkii länsimaista valtiota.

Ja no juu, jonkun lastensuojelun toiminnassa varmasti riittäisi tässä maassa offtoppiccia useammankin ketjun käyttöön...
 
Ei muuta kuin soittelemaan läpi 40 000 asiakasta. Varmaan menee hetki. :D

Apulaistietosuojavaltuutettu määräsi tietomurron kohteeksi joutuneen Psykoterapiakeskus Vastaamon ilmoittamaan rekisteröidyille tietoturvaloukkauksesta henkilökohtaisesti ilman aiheetonta viivytystä. Apulaistietosuojavaltuutettu katsoo, ettei ilmoitus pelkästään Vastaamon verkkosivuilla ole riittävän tehokas keino tietoturvaloukkauksesta ilmoittamiseksi.
 
Ei muuta kuin soittelemaan läpi 40 000 asiakasta. Varmaan menee hetki. :D

Saattaa tulla parit kirosanatkin takaisinpäin...
 
Ei muuta kuin soittelemaan läpi 40 000 asiakasta. Varmaan menee hetki. :D

Ne lähetti jo massasähköpostia.
 
Tuosta tietojen katoamisesta, eiköhän maksaja löydy ystävällisestä naapuristamme. Veli venäläinen kyllä keksii mitä kyseisillä tiedoilla voi tehdä, eihän tuolta tarvita kuin joku poliisi, virkamies tai poliitikko niin tuollainen puolimilliä on halpa raha kiristysmateriaalista. Ja jotta materiaali on omassa hallussa niin ostettu koko potti yksinoikeudella. Lisäksi jos hyvin käy niin bitcoinien siasta käytiin maksamassa vähän kovemmassa valuutassa, esim. lyijyssä.
 
Ne lähetti jo massasähköpostia.
Joo, ei tässä nyt oikeasti kukaan varmasti kuvitellut, että soittavat 40 000 henkilölle, mutta varmaan tuo poikii melkoisen määrän agressiivisia ja ahdistuneita jatkokeskusteluita myös puhelimitse. :D
 
Viimeksi muokattu:
Onko mahdollista, että lunnaat 40 btc olisi maksanut joku noista Vastaamon asiakkaista, jonka tietoja ei oltu vielä julkaistu eikä halunnut niitä julkisuuteen?
 
Onko mahdollista, että lunnaat 40 btc olisi maksanut joku noista Vastaamon asiakkaista, jonka tietoja ei oltu vielä julkaistu eikä halunnut niitä julkisuuteen?
Tottakai kaikki on mahdollista, mutta aika kaukaa haettua se on. Se on varmaa, että ei tällaisesta julkisuuteen kerrota vaikka näin olisikin.

Ja ehkä kannattaa nyt odotella vielä ainakin huomiseen ennen mitään johtopäätöksiä. Jos uusia tietoja ei illalla/yöllä julkaista, niin sitten tiedetään melko suurella varmuudella, että joko lunnaat on maksettu, tai tekijä on jäänyt kiinni. Sitä ennen kyse voi olla siitä, että se tiedostoja jakava purkki on vaan sammuksissa.
 

Statistiikka

Viestiketjuista
257 566
Viestejä
4 477 222
Jäsenet
73 957
Uusin jäsen
helzinki

Hinta.fi

Back
Ylös Bottom