Vastaamo.fi tietovuoto - keskustelu ja seuranta

[Kautium]

Tietosuoja | Tietoturva-asiantuntija kritisoi viranomaisia ja Vastaamoa tietomurron hoidosta: ”Oliko kaikki vain turvallisuusteatteria?”

F-Securen tietoturvajohtaja Erka Koivunen arvioi, että murron taustalla on englantia natiivitasolla puhuva henkilö, joka on pyytänyt apua suomea osaavilta ihmisiltä.

www.hs.fi

F-securen ukkokin ihmettelee tätä Vastaamon perseilyä. Ei ole Suomessa ketään ikinä ainakaan vielä tuomittu idioottimaisita tietoturva-aukoista?

Tuon jutun suurin uusi anti ainakin minulle oli tämä:

Poliisin mukaan poliisin sähköinen asiakaspalvelu on ruuhkautunut, ja rikosilmoituksen tekemisessä voi esiintyä häiriöitä.

”Sähköinen rikosilmoitusjärjestelmä ei ole käytettävissä yöaikaan kello 22.45–6.00. Tässä tilanteessa rikosilmoitus kannattaa tehdä myöhemmin”, poliisi tiedotti lauantaina.

Mitä ihmettä? Sammutetaanko sieltä virrat koko talosta aina yöksi? Onko tämä nyt sitä digitalisaatiota?

 

[weijoo]

Tuon jutun suurin uusi anti ainakin minulle oli tämä:


Mitä ihmettä? Sammutetaanko sieltä virrat koko talosta aina yöksi? Onko tämä nyt sitä digitalisaatiota?

Siellä pitää aina olla joku painamassa hyväksy nappia...

 

[Kautium]

Siellä pitää aina olla joku painamassa hyväksy nappia...

Pitäis kyllä täällä olla sama käytäntö, että serveri sammutetaan joka ilta kun modet menevät nukkumaan ja sitten aamulla jatkuu taas.

 

[jad]

Kun joku kyseli aikaisemmin noiden subdomainien selvittämisestä niin teoriassa kaikkia mahdollisia ei saa ilman bruteforcea(joka sekään nyt ei kauaa kestä, kaikki on suhteellista), mutta tällä tarvittavalla tasolla ne todellakin saa sekunneissa:
SNIP

Totta, kyllä noita työkaluja löytyy, mutta esimerkiksi admin.vastaamo.fi jäi tältäkin löytämättä. Vaikkei näillä DNS nimillä nyt niin ole suurta merkitystä, niin kyllä hieman saisi käyttää järkeä palvelinten nimeämisessäkin. Ei sen DNS nimen heti pitäisi paljastaa palvelimen roolia.

Edit: Ei tosiaan hirveästi ole huolehdittu palvelinten päivityksistä. Potilasrekisterissä Apache 2.4.18 (22.12.2015) ja mdpackages 2.4.29 (23.10.2017)

 

[user9999]

Esim. päihtyneet tekee puutteellisia rikosilmoituksia yöllä eli siinä varmaan syy.

ESS: Poliisi haluaa eroon sähköisistä rikosilmoituksista öisin

Poliisi haluaa rajoittaa sähköisten rikosilmoitusten tekemistä öisin, kertoo Etelä-Suomen Sanomat.

www.kaleva.fi

 

[Kautium]

Totta, kyllä noita työkaluja löytyy, mutta esimerkiksi admin.vastaamo.fi jäi tältäkin löytämättä. Vaikkei näillä DNS nimillä nyt niin ole suurta merkitystä, niin kyllä hieman saisi käyttää järkeä palvelinten nimeämisessäkin. Ei sen DNS nimen heti pitäisi paljastaa palvelimen roolia.

Edit: Ei tosiaan hirveästi ole huolehdittu palvelinten päivityksistä. Potilasrekisterissä Apache 2.4.18 (22.12.2015) ja mdpackages 2.4.29 (23.10.2017)

Siellä on varmaan KRP linjojen välissä, niin ei viitsi alkaa skannailemaan palvelimia, mutta onko tuo siellä siis nyt pyörimässä? Jos on, niin sehän on iltiskamaa, kun siellä piti olla tietoturvan jo edes kohtuullisesti kohdallaan tällä hetkellä. Joku ei ole vitsinyt päivittää Apachea, kun konffitiedoston formaatti muuttui välissä.

 

[jad]

Siellä on varmaan KRP linjojen välissä, niin ei alkaa skannailemaan palvelimia, mutta onko tuo siellä siis nyt pyörimässä? Jos on, niin sehän on iltiskamaa, kun siellä piti olla tietoturvan jo edes kohtuullisesti kohdallaan tällä hetkellä. Joku ei ole vitsinyt päivittää Apachea, kun konffitiedoston formaatti muuttui välissä.

Tuosta kuvakaappauksesta poimin versiot, tällä hetkellä ainakaan potilasrekisteri ei näytä vastaavan http(s) pyyntöihin.

curl -I https://mdpackages.vastaamo.fi
HTTP/1.1 200 OK
Date: Sat, 24 Oct 2020 23:15:05 GMT
Server: Apache/2.4.29 (Ubuntu)

curl -I https://www.vastaamo.fi
HTTP/1.1 200 OK
Date: Sat, 24 Oct 2020 23:09:07 GMT
Server: Apache
X-Powered-By: PHP/5.5.21

Ei paljasta Apachen versiota, mutta PHP näkyy olevan 5.5.21 (22.01.2015) joten tuskin Apachekaan paljon tuoreempi on.

 

[user9999]

Ubuntu 16.04 LTS uusin Apache taitaa olla 2.4.18 jotain.

Xenial (16.04) : apache2 package : Ubuntu

launchpad.net

Ubuntu 18.04 LTS uusin Apache taitaa olla 2.4.29 jotain.

Bionic (18.04) : apache2 package : Ubuntu

launchpad.net

 

[FireFly Renaissance]

Kaikkien sähköisten rekistereiden pitäminen olisi lopetettava. Tällaisissa tapauksissa olisi aivan riittävää olla muutama papari itse psykiatrilla tms. Miksi tällaista tietoa tarvitsisi minkään firman kerätä ihmisestä.

Koska se on rahanarvoista.

 

[FireFly Renaissance]

Tuon jutun suurin uusi anti ainakin minulle oli tämä:


Mitä ihmettä? Sammutetaanko sieltä virrat koko talosta aina yöksi? Onko tämä nyt sitä digitalisaatiota?

Kai tuossa on sama kuin Veikkauksella. Odotetaan, että suurin osa asiakkaista on selvin päin. Tietenkin, nyt voisi olla varmaan ihan hyvä hetki löysätä noita aikoja...

 

[FireFly Renaissance]

btw. Pari kertaa kun tavaa tuon tässä jutussa olevan viestin ajatuksella tuntuu aika selvältä, että kirjoittaja on suomalainen. Erittäin vahva rally english viba tuossa. Englanniksi kirjoitettua suomea.

Tämä on hyvä asia. Voi jäädä jopa ihan oikeasti kiinni.

Tietosuoja | Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit – Jättikö terapia-aineistoa vienyt tietomurtaja itsestään ratkaisevia jälkiä vai onko kyse harhautuksesta?

Hakkerit löysivät tietomurtajasta jälkiä, jotka johtavat Inkooseen. Kyseessä voi olla tietomurtajan sijainnista kertova ratkaiseva virhe, tahallinen harhautus tai jotain muuta.

www.hs.fi

 

[Kautium]

Ensimmäistä kertaa kaikkien näiden vuosien jälkeen ottaa mikään päähän Viherahon puolesta.



Videolla siis monille jo newsgroupien aikakaudelta tuttu nettipersoona Pasi Viheraho on saanut kiristyskirjeen muiden mukana ja avautuu tämän haxorin toiminnasta ja perinteiseen malliin myös viranomaisten touhuista. Suhtautuminen on tässä mahdottoman ikävässä tilanteessa yllättävänkin tervettä.

 

[Zeamar]

Tässä ketjussa kun on kaikenlaisia pieniä tiedonmurusia kerätty niin ajattelin lisätä yhden jota en mielestäni huomannut vielä tässä ketjussa.

Tämä ei ole oma löytöni vaan joku toinen oli sen huomannu.

Vastaamon nettisivuilla esitellään tärkeimmät henkilöt valokuvan, nimen ja tittelin kanssa ja tällä hetkellä yhden henkilön titteli on Järjestelmäarkkitehti mutta Wayback machine osaa kertoa että samainen henkilö on vielä muutama päivä sitten esitelty Tietosuojavastaavana.

 

[ControllerFriikki]

Ihmisillä on näemmä yleinen harhaluulo että bitcoin siirrot ovat anonyymeja, ei todellakaan. Hakkerin pitää käytännössä vaihtaa bitcoinit rahaksi käteiskaupalla ja sittenkin kun uusi omistaja niitä yrittää myydä kaupankäyntialustalla niin lompakon avulla voidaan tunnistaa valuutan alkuperä

 

[Tonnin Seteli]

Esim. päihtyneet tekee puutteellisia rikosilmoituksia yöllä eli siinä varmaan syy.

ESS: Poliisi haluaa eroon sähköisistä rikosilmoituksista öisin

Poliisi haluaa rajoittaa sähköisten rikosilmoitusten tekemistä öisin, kertoo Etelä-Suomen Sanomat.

www.kaleva.fi

Tämähän se kai pääosin on. Esimerkiksi vakuutusyhtiölläni on muistaakseni jokseenkin sama käytäntö, jota olen kironnut helvetin huonona asiakaspalveluna monta kertaa - ei siksi, että olisin useinkin ollut täyttämässä vahinkoilmoitusta yöllä, vaan koska jotkut ihmiset nyt vaan hoitavat normaalia asiointiaan silloin kun sattuu olemaan vapaa-aikaa ja elämänrytmi voi poiketa normaalista arkisesta virka-ajasta.

Tavallaan se on kuitenkin ihan ymmärrettävä käytäntö, kun kysymys on ei-kiireellisestä asiasta. Elämänkoululaiset lähettelevät aivan päätöntä paskaa, johon täytyy kuitenkin palvelun luonteen takia jotenkin reagoida. Varmasti on paljon sekä rikosilmoituksia että yhteydenottoja muille tahoille, jotka jäisivät syystä tekemättä seuraavana päivänä selvin päin. Osa on väärinkäsityksen tai silkan suuttumuksen takia aiheettomasti tehtyjä. Joskus taas ulosanti on niin perseestä, ettei alkuperäisestä ilmoituksesta ole mitään iloa vaan pelkkää vaivaa ja sekaannusta kun on pyydettävä uudestaan suomeksi tai muulla ymmärrettävällä kielellä.

Lataamon kiristyskokonaisuudessa on kuitenkin kysymys pienistä, ei-kiireellisistä asioista, vaikka ne voivatkin olla asianomistajille murskaavia. Ilmoituksen lähettäminen yöllä pitkään käsittelyjonoon ei varmaankaan millään lailla edistä asiaa. Lähinnä siitä voisi tulla parempi mieli, ehkä.

Varsin mielenkiintoinen strategia tällä ransom_manilla. Ensin laitetaan mahdollisesti koko tietopaketti jakoon hetkeksi, ja tämän seurauksena ties kuinka moni tietue on jo levityksessä maailmalla, ja tämän jälkeen aletaan vaatimaan lunnaita yksittäisiltä ihmisiltä, vaikka ko. tietueiden leviäminen ei välttämättä edes ole ainoastaan omissa käsissä enää. Tässä kohtaa useampi ennen lunnaita mahdollisesti maksanut henkilö varmaan jättää maksamisen tekemättä, koska todennäköisyys että tiedot eivät päädy julkiseen levitykseen on pienentynyt huomattavasti, koska koko tietopaketti on ollut jaossa sekä ransom_manin omat ominaisuudet.

ransom_man on näyttänyt tähän mennessä huomattavaa pitkän aikavälin suunnittelun puutetta ja/tai impulsiivisuutta ja/tai epäpätevyyttä ja/tai omien sanojen syömistä ja/tai moraalisten arvojen täydellistä puuttetta. Toisaalta hänen kommunikaatiotyylinsä pyrkii viestimään, että hän hallitsee tilannetta ja on kylmäpäinen, mikä vaikuttaa olevan varsin ristiriidassa sekä pinnallista verrattuna todellisuuteen. Voi olla merkki pinnallisesta charmista, mikä on eräs psykopaatinen piiirre. Varsin monesta muustakin psykopaattisesta piirteestä on tullut viitteitä. Pientä keittiöprofilointia vaan.

Oho, ilmeisesti alkuperäinen kiristäjä on myöntänyt tämän uudemman toimintatapansa. Tätä huomaamatta ehdin jo miettiä, että aikajana ja suunnittelemattomuuden fiilis viittaisi teoriassa siihen, että joku muu opportunisti on alkanut kalastella. Toisaalta mikäänhän ei estä muitakin yrittämästä.

Tyyliä voisi myös profiloida siten, että tekijä(t) vaikuttaa joltain ylilaudan edgypetteriltä, joka on katsonut riittävästi trillereitä, joiden lakonisista, kohteliaista, viileistä jne. psykopaateista ottaa mallia.

Jätin ihan tarkoituksella ja näin minäkin aiemmin luulin.

Jätitkö siis vastaamatta sen, mikä selviää 4 sekunnin googlauksella eli julkisesti löytyy tusina tavallaan tehtävänannon täyttäviä palveluja, vai jonkin oikeasti vähemmän ilmeisen ja/tai edistyneen ratkaisun?

 

[sirace]

En ole ihan varma puhummeko samasta asiasta, mutta minusta on typerää kertoa heti kättelyssä ko. tapauksessa alidomainissa että täällä meillä elää (todennäköisesti) poltilasrekisteri. Jos on pakko jotenkin se kanta saada webiin, niin eikö tämä kannattaisi hämäyksenkin vuoksi nimetä vaikka test2.x.fi? En tiedä miten muut ajattelevat, mutta ainakin itse hakkerin roolissa näkisin pikkasen extravaivaakin kun olisi jotakin noin mehukasta tarjolla...

Kyllähän tässä perseilyssä käsittämättömintä on se että ylipäätänsä kantapalvelin on tavoitettavissa internetistä käsin. Tähän ei ole olemassa ainuttakaan syytä miksi näin pitäisi olla.

 

[ttm]

Ihmisillä on näemmä yleinen harhaluulo että bitcoin siirrot ovat anonyymeja, ei todellakaan. Hakkerin pitää käytännössä vaihtaa bitcoinit rahaksi käteiskaupalla ja sittenkin kun uusi omistaja niitä yrittää myydä kaupankäyntialustalla niin lompakon avulla voidaan tunnistaa valuutan alkuperä

Ne voi vaihtaa Tor-verkossa myös huumeisiin.

 

[Formica]

12cQvD9azEj1V66ZunVuwvCZUzzUou8trX | BitRef

bitref.com

Noniin ekat coinit tulleet jo

Itsekö maksoit? Jokaiselle on ilmeisesti generoitu oma osoite rahojen lähettämistä varten. Tuo ei ainakaan ole sama osoite kuin aiemmassa viestissä. Ei kai maksamista oikein muuten voisi seuratakaan?

 

[Formica]

Tämän mukaan GDPR-sakon ohessa olisi tulossa myös henkilökohtaisia vahingonkorvauksia "automaattisesti"

Voutilaisen mukaan viime vuosina korvaukset ovat nousseet tapauksissa, joissa arkaluonteista tietoa on käsitelty lainvastaisesti. Minimikorvaus on 300 euroa henkilöä kohden, mutta korvaus voi nousta 1 800 euroon tai sen yli.

Asiantuntija: Vastaamoa uhkaa ”Suomen suurin sakkoratkaisu” – seuraamukset ja korvaukset riippuvat mahdollisesta laiminlyönnistä

Myös sairaanhoitopiireille voi tulla seuraamuksia, jos ne ovat ostaneet Vastaamon palveluita.

www.is.fi

"– Kaikki toimenpiteet, joilla suojataan isompien vahinkojen syntyminen, tulevat periaatteessa korvattavaksi täysimääräisesti, sanoo tietosuojaan erikoistunut asianajaja Jukka Lång asianajotoimisto Dittmar & Indreniukselta."
Tarkoittaakohan tämä, että myös maksetuista kiristysrahoista voisi saada korvausta? Tulee päälle 8M€ kulut tuosta - ei taida kassa riittää.

 

[pulatunnus]

Ihmisillä on näemmä yleinen harhaluulo että bitcoin siirrot ovat anonyymeja, ei todellakaan. Hakkerin pitää käytännössä vaihtaa bitcoinit rahaksi käteiskaupalla ja sittenkin kun uusi omistaja niitä yrittää myydä kaupankäyntialustalla niin lompakon avulla voidaan tunnistaa valuutan alkuperä

Tuossa todennäköisti mokaa tavis maksaja, eli hänet on voi olla jäljiltettävissä.
Tietoverkkorikollinen voi toimia nimettömästi, anonyymi lompakko, ja voisi kuvitella että jossain vaiheessa kun vaihtaa ne paremin vaihtokelpoiseen, niin ei niitä kadulla lähde vaihteleen tai muutenkaan niin että on tunnistettavissa / seurattavissa .

Toki kyseessä voi olla taho jolle ei ole ongelma vaikka jäljet johtaisi oikeille jäljille, jos varat pysyy turvassa.

 

[Clarenz]

btw. Pari kertaa kun tavaa tuon tässä jutussa olevan viestin ajatuksella tuntuu aika selvältä, että kirjoittaja on suomalainen. Erittäin vahva rally english viba tuossa. Englanniksi kirjoitettua suomea.

Tämä on hyvä asia. Voi jäädä jopa ihan oikeasti kiinni.

Tietosuoja | Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit – Jättikö terapia-aineistoa vienyt tietomurtaja itsestään ratkaisevia jälkiä vai onko kyse harhautuksesta?

Hakkerit löysivät tietomurtajasta jälkiä, jotka johtavat Inkooseen. Kyseessä voi olla tietomurtajan sijainnista kertova ratkaiseva virhe, tahallinen harhautus tai jotain muuta.

www.hs.fi

Voin olla täysin väärässä, mutta eikö englanninkielessä kirjoittaessa käytetä pilkkua eri tavalla kuin suomessa eli esim ennen mutta- sanaa tulee täällä pilkku mutta ennen but sanaa englannissa ei tule?

 

[juupeliskuupelis]

Voin olla täysin väärässä, mutta eikö englanninkielessä kirjoittaessa käytetä pilkkua eri tavalla kuin suomessa eli esim ennen mutta- sanaa tulee täällä pilkku mutta ennen but sanaa englannissa ei tule?

Pilkkusäännöt ovat ihan erilaiset, mutta suurin osa jenkeistä sekä briteistä ei osaa kuitenkaan omaa kieltään kirjoittaa.

 

[edup]

Voin olla täysin väärässä, mutta eikö englanninkielessä kirjoittaessa käytetä pilkkua eri tavalla kuin suomessa eli esim ennen mutta- sanaa tulee täällä pilkku mutta ennen but sanaa englannissa ei tule?

Yksittäisestä pilkusta nyt ei ehkä kannata liikoja päätellä. Suurin osa briteistäkään ei osaa omia pilkutussääntöjään oikein, jenkeistä puhumattakaan. Ja sitten on vielä se n. 7 miljardia muuta potentiaalista hakkeria, jotka ei kuulu suomalaisiin tai englanninkielisissä maissa asuviin.

 

[Attekun]

Luin koko ketjun läpi. Työskentelen psykiatrialla ja osa yrityksen henkilökunnasta kuin myös potilaista ovat tuttuja, joita tunnen henkilökohtaisesti. Todella ikävää heidän kannaltaan, että näin on käynyt. Joku täällä esitti kysymyksen, että onkohan myös terapian laatu yhtä retuperällä kuin tietoturva. Tämän voin kumota välittömästi. Näin ei ole asia. En toki tunne lähellekään kaikkia yrityksen terapeutteja, mutta terapian ja psykiatrian palveluiden laatu on ollut omien kokemuksieni mukaan huippuluokkaa. On hyvä ymmärtää, että myös nämä terapeutit ja lääkärit kärsivät tästä tietovuodosta. Toki potilaat ovat tässä keskiössä, mutta pahalta tämä tuntuu myös ammattilaisen näkökulmasta. Ei lähdetä heitä tästä syyttämään tai kasata enempää tulisia hiiliä heidän päälleen. Vastuussa on yrityksen johto joka on ilmeisesti tietoisesti laiminlyönyt sille kuuluvia velvollisuuksia.

Lisäksi on hyvä ymmärtää tähän liittyen lafkan hankintamalli: Jokainen terapeutti ja psykiatri työskentelee omalla toiminimellään yrityksen tarjoamissa tiloissa käyttäen yrityksen tarjoamia palveluita. Käyntimaksusta menee tietty siivu yritykselle. Yksittäisellä (henkilöllä) yksityisellä terveydenhuollon toimijalla on lain puolesta mahdollisuus kirjata tiedot vaikkapa siihen ruutuvihkoon, mutta lain mukaan niitä tulee säilyttää vielä 12v pot kuoleman jälkeen. Näin sanoo laki. Jos lakiin haluaa muutoksia niin siitä vain ajamaan asiaa eteenpäin, kuitenkin terveydenhuolto toimii tällä hetkellä näiden lakien ja säädösten mukaisesti. Tästä taustasta on helppo ymmärtää miksi yrityksen tarjoama potilastietojärjestelmä on tuntunut isolta plussalta ja varmaan ollut yksi syy siihen miksi yksityisenä toimijana haluaisi mennä tuonne työskentelemään.

Julkisessa terveydenhuollossa ei onneksi tarvitse miettiä sitä, että paljonko hyvä tietoturva syö katetta, jos nyt jotain hyvää julkisesta terveydenhuollosta haluaa löytää. Se mitä tietoa kenestäkin siellä on, riippuu siitä mitä kyseinen ammattihenkilö on nähnyt tarpeelliseksi kirjata. Ohjeiden mukaan tulee kirjata tarpeelliset tiedot hyvän hoidon takaamiseksi. Harvemmin sitä kirjaamista mietitään siltä kantilta, että entäs jos nämä tiedot vuotaa, eikä tarvitsekaan miettiä mielestäni. Jos jätän lausunnosta oleellista tietoa pois koska pelkään tietojen vuotavan, ei potilas välttämättä saa vastaanottavalla taholla asianmukaista hoitoa.

Lokitietoja satunnaistarkastetaan suurimassa osassa organisaatioita. Eli yksikön esimies saa satunnaisesti valittujen työntekijöiden kaikki lokitiedot vaikkapa kuukauden ajalta ja käy ne läpi. Mikäli siellä näkyy huomautettavaa, pyydetään selvitys ja tarvittaessa määrätään sanktiot, joka voi olla myös irtisanominen. Potilastiedon katselun perusta on hoitosuhde. Et saa katsoa sellaisen ihmisen tietoja kehen sinulla ei ole hoitosuhdetta. Eli et myöskään itsesi koska et ole hoitosuhteessa itseesi. Omia lokitietojaan jokainen voi käydä tarkastamassa Omakanta palvelusta ja suosittelen sitä säännöllisesti tehtävän. Jos näyttää jotakin outoa olevan, voi pyytää tarkemman selvityksen kyseisestä organisaatiosta ja se on pakko toimittaa.

Tästä kaikesta huolimatta, kehitettävää näissä asioissa piisaa edelleen niin julkisella kuin yksityiselläkin puolella. Lisäksi toivon että ihmiset edelleen kävisivät terapiassa ja keskustelemassa mieltä painavista asioista. On todella harmillista, että meillä edelleen elää se häpeäleima mielenterveyden asioihin liittyen, vaikka ei tänä päivänä enää tarvitsisi.

Edit: Joku mainitsi aiemmin, että lääkäri kysyi vastaanotolla että voiko katsoa muun organisaation tietoja. En osaa näillä tiedoilla ottaa sen tarkemmin kantaa mitä tässä on tapahtunut yksityiskohtaisesti. Yleisellä tasolla sanon, että jos on antanut KANTA-suostumuksen, ammattilainen voi hakea kannasta potilaan tietoja ilman erillistä lupaa (koska se suostumus on jo annettu), toki tiedonhaun perustana pitää olla hoitosuhde ja tarvittaessa antaa selvitys miksi on pitänyt kannasta hakea tietoa. Syy voi olla esimerkiksi edellisen hoitopaikan tiedoista vaikka lääkityksen tarkistaminen. Jos on kerran antanut kanta-suostumuksen, sen voi omakannasta käydä kumoamassa. Halutessaan voi myös rajata yksittäisiä organisaatioita joiden tietoja ei halua että kanta-haulla löytyy. On tärkeää ymmärtää, että KANTA-kielto voi vaarantaa hätätilanteessa hoitosi merkittävästi. Olet helsinkiläinen turisti levillä laskettelemassa, saat paljubileistä vaarallisen bakteeritaudin ja menet tajuttomaksi. Riskitiedoissasi lukee että olet antibiootille allerginen, mutta Rovaniemellä päivystyksessä eivät tätä tietoa pääse katsomaan. Toki tiedot voi tarkistaa hätätilanteessa myös soittamalla mutta tässä menee aikaa. Tämä nyt ihan näin esimerkkinä, ei perustu todelliseen keissiin. Aiemmin on ollut ongelmana tässä maasssa se, että meillä on 60 eri potilastietojärjestelmää jotka eivät kommunikoi keskenään. KANTA- on tähän ongelmaan tarjonnut aivan täsmäratkaisun. Toki potilas voi itse päättää, että näkyykö sieltä mitään. Tietoja ei voi Kannasta poistaa ja sinne ne aina kuitenkin tallentuvat, mutta siihen voi vaikuttaa että mitä sieltä ammattilainen näkee.

Edit2: Työntekijät ovatkin ilmeisesti suorassa palkkasuhteessa eivät toiminimen kautta yrittäjinä kuten aiemmin väitin.

 

[sirace]

Lisäksi on hyvä ymmärtää tähän liittyen lafkan hankintamalli: Jokainen terapeutti ja psykiatri työskentelee omalla toiminimellään yrityksen tarjoamissa tiloissa käyttäen yrityksen tarjoamia palveluita. Käyntimaksusta menee tietty siivu yritykselle. Yksittäisellä (henkilöllä) yksityisellä terveydenhuollon toimijalla on lain puolesta mahdollisuus kirjata tiedot vaikkapa siihen ruutuvihkoon, mutta lain mukaan niitä tulee säilyttää vielä 12v pot kuoleman jälkeen. Näin sanoo laki. Jos lakiin haluaa muutoksia niin siitä vain ajamaan asiaa eteenpäin, kuitenkin terveydenhuolto toimii tällä hetkellä näiden lakien ja säädösten mukaisesti. Tästä taustasta on helppo ymmärtää miksi yrityksen tarjoama potilastietojärjestelmä on tuntunut isolta plussalta ja varmaan ollut yksi syy siihen miksi yksityisenä toimijana haluaisi mennä tuonne työskentelemään.

Tämähän tarkoittaa että Vastaamon toiminta tulee "automaattisesti" loppumaan koska heillä ei tämän jälkeen ole ammatinharjoittajia jotka olisivat Vastaamon asiakkaitaan. Potilaat eivät Vastaamon palveluita enää tule tämän jälkeen käyttämään, missään muodossa. Toivotaan että terapia jatkuu mutta uuden oksan alla. Tämä taasen vaatinee uuden Kela-päätöksen....

Terapiamarkkina on nyt vallattavissa erittäin pienillä peliliikkeillä...

 

[yero]

Tuo potilasrekisteri.vastaamo.fi löytyy jonkun vuoden 2019 gradusta. Lähdeviitteissä tuolla koneella sijainneen materiaalipankin kamaa.

On täysin amatöörimaista, jos julkinen http-palvelin ja potilastietokanta ovat olleet samalla palvelimella.

Ootteko muuten huomanneet, että firman perusti äiti ja poika, joista poika oli ohjelmoija ja sama poika on nyt toimitusjohtajana. Eli firman toimitusjohtaja on it-ammattilainen.

Tuohon hoidon tasoon, niin julkisuudessa ainakin yksi hoitoa saanut kansanedustaja kehui sitä hyväksi. Siinä ei liene ollut ongelmaa.

 

[juupeliskuupelis]

On täysin amatöörimaista, jos julkinen http-palvelin ja potilastietokanta ovat olleet samalla palvelimella.

Ootteko muuten huomanneet, että firman perusti äiti ja poika, joista poika oli ohjelmoija ja sama poika on nyt toimitusjohtajana. Eli firman toimitusjohtaja on it-ammattilainen.

On ammattilaisia ja ammattilaisia.

 

[aleksin]

Monikohan noista 40k tietueesta on jo vuotanut? Tor verkon puolella liikkuu huhuja että aika moni, mutta enpä ole todisteita niistä nähnyt. Moni ei varmaan ole jakamassa vaikka huomattava määrä noita tietueita olisi ottaen huomioon asian laadun. Toisaalta informaation luotettavuus ko. foorumilla on varsin alhainen, joten huhut ovat suuremmalla todennäköisyydellä valheita myös.

Varsin mielenkiintoinen strategia tällä ransom_manilla. Ensin laitetaan mahdollisesti koko tietopaketti jakoon hetkeksi, ja tämän seurauksena ties kuinka moni tietue on jo levityksessä maailmalla, ja tämän jälkeen aletaan vaatimaan lunnaita yksittäisiltä ihmisiltä, vaikka ko. tietueiden leviäminen ei välttämättä edes ole ainoastaan omissa käsissä enää. Tässä kohtaa useampi ennen lunnaita mahdollisesti maksanut henkilö varmaan jättää maksamisen tekemättä, koska todennäköisyys että tiedot eivät päädy julkiseen levitykseen on pienentynyt huomattavasti, koska koko tietopaketti on ollut jaossa sekä ransom_manin omat ominaisuudet.

ransom_man on näyttänyt tähän mennessä huomattavaa pitkän aikavälin suunnittelun puutetta ja/tai impulsiivisuutta ja/tai epäpätevyyttä ja/tai omien sanojen syömistä ja/tai moraalisten arvojen täydellistä puuttetta. Toisaalta hänen kommunikaatiotyylinsä pyrkii viestimään, että hän hallitsee tilannetta ja on kylmäpäinen, mikä vaikuttaa olevan varsin ristiriidassa sekä pinnallista verrattuna todellisuuteen. Voi olla merkki pinnallisesta charmista, mikä on eräs psykopaatinen piiirre. Varsin monesta muustakin psykopaattisesta piirteestä on tullut viitteitä. Pientä keittiöprofilointia vaan.

Jos se koko paketin jako olisi ollut vahinko, mihin se "whoopsie"-kommentti voisi viitata, niin minusta tuo yksittäisten ihmisten kiristys vaikuttaa paniikkissa tehdyltä liikkeeltä. Ransom_man varmaan tietää jo, että vastaamo ei tule maksamaan ja itse on jo niin suuressa kusessa kiinnijäämisen kannalta, että jotain on pakko yrittää saada. Ja jos se paketti oli oikeasti koko paketti niin, hän tietää myös, että kohta siellä on muutkin apajilla, joten on pakko toimia nopeasti.

 

[FLZ]

Kelvoton amatöörisuorittaminen paistaa läpi molemmilta osapuolilta; jos edes jommallakummalla puolella olisi ollut ammattilainen asialla, niin olisi heti turvauduttu luotettaviin kolmansiin osapuoliin ja hoidettu muutaman miljoonan transaktio kaikessa hiljaisuudessa. Esimerkiksi Vastaamon vakutuusyhtiö ja/tai rahoittajat olisivat varmaan löytäneet lakiasiaintoimiston, joka osaa hoitaa asian luottamuksellisesti samalla varmistuen murtajaosapuolen sitoutumisesta sopimuksen noudattamiseen (esim murtajan identiteetin paljastuminen mahdollisena sanktiona). Vastaavasti kultamunan päällä istuva murtajaosapuoli olisi varmasti halutessaan löytänyt asiantuntevat tahot avaamaan ja hoitamaan neuvottelut.

Mutta vittu ei, Vastaamo heittää tämän asian vaan poliisin tutkintajonoon - vastaavasti murtaja keulii ja röllii asiasta jossain ylilaudalla.

Loppusoinnut ovat jo nähtävissä, Vastaamon taru oli tässä eli konkurssi/pilkkominen oli vääjäämätön kun kukaan ei enää voi tuollaiseen toimintaan luottaa. Murtaja taas on tehnyt liikaa amatöörivirheitä ollakseen jäämättä kiinni.

 

[Larppa]

Jos se koko paketin jako olisi ollut vahinko, mihin se "whoopsie"-kommentti voisi viitata, niin minusta tuo yksittäisten ihmisten kiristys vaikuttaa paniikkissa tehdyltä liikkeeltä. Ransom_man varmaan tietää jo, että vastaamo ei tule maksamaan ja itse on jo niin suuressa kusessa kiinnijäämisen kannalta, että jotain on pakko yrittää saada. Ja jos se paketti oli oikeasti koko paketti niin, hän tietää myös, että kohta siellä on muutkin apajilla, joten on pakko toimia nopeasti.

Jokaisen tuolla asioineen kannattaa valmiiksi jo asennoitua siihen että tiedot tulevat vuotamaan. Perustan väitteeni siihen että ilmeisesti tuo 10gb paketti kokonsa puolesta voisi olla koko tietokanta ja toisaalta sisältää sellaista informaatiota että tahoilla joilla on kykyjä (sekä laskentatehoa käytettävissä) on selkeä intressi saada nuo tiedot käyttöönsä.

Toisaalta lohdutuksena sanoisin että materiaali on riittävän arkaluontoista ettei sen lukemisesta mitään kansanhuvia tule ja harvaa varmaan edes kiinnostaa nuo potilaskertomukset. Eli tuskin löytää tietään mihinkään kahvipöytäkeskusteluihin ellet sitten ole julkisuuden henkilö. Muita väärinkäytöksiä voi helposti ehkäistä tekemällä mm. nuo aiemmin mainitut luotto- ja prh-kiellot.

 

[yero]

On ammattilaisia ja ammattilaisia.

Linkedinin mukaan itseoppinut koodari. Ei me alan diplomi-insinöörit ehkä sittenkään olla kuutta vuotta turhaan persettä puudutettu koulun penkillä.

Uskon, että tietoturvaongelmien ydinsyy on se, että puljua johtaa itseoppinut PHP-koodari, jolla ei ymmärrys riitä. Alaiset ovat ainakin paperilla osaavia.

Vaikkapa (ja erityisesti) PHP:stä poistetaan ominaisuuksia jatkuvasti, joten kaiken pitäminen päivitettynä viimeiseen versioon, kuten tietoturvan takia pitäisi olla, vaatii jatkuvaa investoimista koodin uudelleen kirjoittamiseen. Firmassa, jossa toimari tietää, että ei ymmärrä, se tehdään, koska se osaava it-kaveri sanoo, että näin täytyy tehdä ja se nyt vaan maksaa, voivoi. Firmassa, jossa toimari luulee osaavansa, sitä ei tehdä, koska toimari luulee tietävänsä sitä asiantuntijaa paremmin.

 

[oestrus taurus]

Kannattaa sitten varmaan lukea perinpohjin se oma potilaskertomus, varsinkin jos taipumusta sukulaisten kanssa vaikkapa perintöriitaan tai appivanhempien kanssa erotilanteessa lapsiin. Saattaa kuin ihmeestä löytyä "tutun kuuloinen" yks-tuttava-tapaus, joka saattaa ajaa kummasti pohtimaan omista oikeuksista luopumista mahdollisten mielenterveysseikkojen vuoksi.

 

[Attekun]

Tämähän tarkoittaa että Vastaamon toiminta tulee "automaattisesti" loppumaan koska heillä ei tämän jälkeen ole ammatinharjoittajia jotka olisivat Vastaamon asiakkaitaan. Potilaat eivät Vastaamon palveluita enää tule tämän jälkeen käyttämään, missään muodossa. Toivotaan että terapia jatkuu mutta uuden oksan alla. Tämä taasen vaatinee uuden Kela-päätöksen....

Väittäisin että Kela-kustannus on haettu/saatu tietylle yksittäiselle terapeutille jonka kanssa suhde voi jatkua riippumatta siitä minkä lafkan alla kyseinen henkilö jatkossa työskentelee. Eivät toki kaikki potilaat ole kela-kustanteisia. Itse jos olisin tuolla työsuhteessa, sanoisin sopimukseni irti välittömästi ja veisin potilaani mennessäni.

 

[yero]

10. Henkilötietojen suojauksen periaatteet

Henkilötiedot kerätään tietokantoihin, jotka ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa, jotka ovat asianmukaisesti suojattuna ja joihin pääsevät käsiksi ainoastaan ennalta määritellyt henkilöt. Psykoterapiakeskus Vastaamolla ei ole paperista potilas- tai asiakastietoarkistoa.

Kullakin palveluksessamme olevalla asiakastietojen käsittelijällä on oikeus käsitellä vain työtehtäviensä hoidossa tarvittavia henkilötietoja. Kullakin tietojärjestelmien käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana järjestelmään. Lisäksi käytössä on lisävahvistus, kun järjestelmää käytetään toimipisteen ulkopuolelta. Terveydenhuollon käyttöoikeudet on rajattu henkilöittäin vain jokaisen omien potilaiden hoidon kannalta tarpeelliseen tietoon. Potilastietoja ei tallenneta työasemille. Työasemien ja palvelinten välinen tietoliikenne on salattu. Palvelinympäristöt ovat auditoitu.

Vastaamon potilasrekisterin tietosuojaselosteesta (korostukset mun), Kaikki viittaa siihen, että mitään palomuureja ei ole ollut, enkä ymmärrä, mistä auditoinnista nuo ovat voineet päästä läpi.

Onkohan tässä ihan vaan kylmästi valehdeltu?

Jos palvelimet on auditoitu, niin olisi oikein hyödyllistä tietää, kenen toimesta. Vastaamon toiminta loppuu tähän, auditointifirman saisi myös.

 

[Seeteufel]

Tuon jutun suurin uusi anti ainakin minulle oli tämä:


Mitä ihmettä? Sammutetaanko sieltä virrat koko talosta aina yöksi? Onko tämä nyt sitä digitalisaatiota?

Se voi olla kyllä ihan hyväkin idea pistää palvelu kiinni yöksi, ettei jengi päissään tehtaile rikosilmoja pikkutunneilla.

YLE tietää kertoa, että Vastaamo ois korkattu useammankin kerran. Mikä nyt ei varmaan yllätä, vähän kun olisi jättänyt ne potilaskertomukset kadulle lojumaan.

Vastaamon tietojärjestelmään on saatettu tehdä yhden sijaan kaksi murtoa – tietomurron uhreille tarjolla keskusteluapua

Muun muassa Mieli ry:n valtakunnallinen kriisipuhelin tarjoaa tukea vuorokauden ympäri.

yle.fi

 

[Paapaa]

Pikantti oikean elämän yksityiskohta: AWS Solution Architect Associate -tentistä ei pääse läpi, jos piirtelee tuollaisia pelleilyarkkitehtuureja ja ei ymmärrä, miksi tietokanta on omassa VPC:ssään.

No tämä. Jo perustason sertissä opitaan, että se kanta ei ole julkiverkossa, vaan yksityisessä aliverkossa ja siihen pääsee käsiksi vain jonkun julkiverkossa olevan bastionin kautta, joka onkin sitten suojattu jumalatason suojauksilla.

Ihan kiinnostavaa kuulla, kun tarkentuu tuo palvelun tekninen toteutus, joka johti väitetysti helppoon tietomurtoon. Mä en ihan vielä tiedä, mitä kaikkea tapauksesta tiedetään ja mikä on spekulaatiota.

 

[FireFly Renaissance]

Voin olla täysin väärässä, mutta eikö englanninkielessä kirjoittaessa käytetä pilkkua eri tavalla kuin suomessa eli esim ennen mutta- sanaa tulee täällä pilkku mutta ennen but sanaa englannissa ei tule?

Yksittäisestä pilkusta nyt ei ehkä kannata liikoja päätellä. Suurin osa briteistäkään ei osaa omia pilkutussääntöjään oikein, jenkeistä puhumattakaan. Ja sitten on vielä se n. 7 miljardia muuta potentiaalista hakkeria, jotka ei kuulu suomalaisiin tai englanninkielisissä maissa asuviin.

Englannissa ei oikeastaan ole samanlaisia pilkkusääntöjä kuin Suomessa, pilkkua käytetään enemmän puhekielenomaisesti ja sen voi usein joko laittaa tai jättää pois, mistä jälkimmäinen on yleisempää.

Pilkku ei tosiaan ole tuossa ainoa asia. Kirjoitustyyli ja sanavalinnat kielii vahvasti myös suomeksi englantia kirjoittavaan. En toki ole mikään ammattilainen, mutta tämä pohjalta: oikeasti erinomainen englanninkielen taito + paljon kokemusta englanniksi kommunikoimisesta työelämässä. Voin olla väärässä, mutta tuskin olen

 

[edup]

Englannissa ei oikeastaan ole samanlaisia pilkkusääntöjä kuin Suomessa, pilkkua käytetään enemmän puhekielenomaisesti ja sen voi usein joko laittaa tai jättää pois, mistä jälkimmäinen on yleisempää.

Pilkku ei tosiaan ole tuossa ainoa asia. Kirjoitustyyli ja sanavalinnat kielii vahvasti myös suomeksi englantia kirjoittavaan. En toki ole mikään ammattilainen, mutta tämä pohjalta: oikeasti erinomainen englanninkielen taito + paljon kokemusta englanniksi kommunikoimisesta työelämässä. Voin olla väärässä, mutta tuskin olen

Joo, et ole ainoa joka täällä työssään englanniksi viestii (useista eri kansallisuuksista olevien ihmisten kanssa). Ei mulle tuosta kirjoitustyylistä herää mitään viboja siihen suuntaan että erityisesti olisi suomalainen kirjoittamassa. Eniten tuossa särähtää tuo alun "Hello Finnish colleagues", minkä joku voisi harhautukseksi siihen yrittää laittaa jos tosiasiassa on itsekin suomalainen. Sen verran uskaltaisin itse tuon viestin kielestä päätellä että kyseessä ei ole englantia äidinkielenään puhuva henkilö. (Mikä nyt taas ei sitten ihan hirveästi tätä joukkoa rajaa.)

Sinällään tuo kirjoittajan kansallisuuden päättely tekstin perusteella on ihan mielenkiintoinen homma. Pidemmistä tekstinpätkistä (useamman sivun mittaisista) pystytään koneoppimisen keinoin melko luotettavasti kertomaan kirjoittaja suoraan, jos opetusdatassa oli ko. kirjoittajan aiempia tekstejä. Mistähän saisi hyvän opetusjoukon jotain englanninkielisiä lauta/foorumiviestejä missä kirjoittajan kansallisuus on selvillä ja löytyisi oikeasti laaja kirjo eri kansallisuuksia...

 

[swaggins]

Itsekö maksoit? Jokaiselle on ilmeisesti generoitu oma osoite rahojen lähettämistä varten. Tuo ei ainakaan ole sama osoite kuin aiemmassa viestissä. Ei kai maksamista oikein muuten voisi seuratakaan?

En maksanut vaan löysin eräältä laudalta tuon ... toki voi olla jotain muutakin.

No tämä. Jo perustason sertissä opitaan, että se kanta ei ole julkiverkossa, vaan yksityisessä aliverkossa ja siihen pääsee käsiksi vain jonkun julkiverkossa olevan bastionin kautta, joka onkin sitten suojattu jumalatason suojauksilla.

Ihan kiinnostavaa kuulla, kun tarkentuu tuo palvelun tekninen toteutus, joka johti väitetysti helppoon tietomurtoon. Mä en ihan vielä tiedä, mitä kaikkea tapauksesta tiedetään ja mikä on spekulaatiota.

En itse tiedä noista tietoturvajutuista oikein mitään, mutta näin maalaisjärjellä ajateltuna kuulostaa hullulta että laitetaan tietokanta interwebsiin sellaisenaan. Olen jostain syystä aina luullut että tämmöiset tiedot on aina sisäisessä verkossa vain tms

 

[FireFly Renaissance]

Luin koko ketjun läpi. Työskentelen psykiatrialla ja osa yrityksen henkilökunnasta kuin myös potilaista ovat tuttuja, joita tunnen henkilökohtaisesti. Todella ikävää heidän kannaltaan, että näin on käynyt. Joku täällä esitti kysymyksen, että onkohan myös terapian laatu yhtä retuperällä kuin tietoturva. Tämän voin kumota välittömästi. Näin ei ole asia. En toki tunne lähellekään kaikkia yrityksen terapeutteja, mutta terapian ja psykiatrian palveluiden laatu on ollut omien kokemuksieni mukaan huippuluokkaa. On hyvä ymmärtää, että myös nämä terapeutit ja lääkärit kärsivät tästä tietovuodosta. Toki potilaat ovat tässä keskiössä, mutta pahalta tämä tuntuu myös ammattilaisen näkökulmasta. Ei lähdetä heitä tästä syyttämään tai kasata enempää tulisia hiiliä heidän päälleen. Vastuussa on yrityksen johto joka on ilmeisesti tietoisesti laiminlyönyt sille kuuluvia velvollisuuksia.

Lisäksi on hyvä ymmärtää tähän liittyen lafkan hankintamalli: Jokainen terapeutti ja psykiatri työskentelee omalla toiminimellään yrityksen tarjoamissa tiloissa käyttäen yrityksen tarjoamia palveluita. Käyntimaksusta menee tietty siivu yritykselle. Yksittäisellä (henkilöllä) yksityisellä terveydenhuollon toimijalla on lain puolesta mahdollisuus kirjata tiedot vaikkapa siihen ruutuvihkoon, mutta lain mukaan niitä tulee säilyttää vielä 12v pot kuoleman jälkeen. Näin sanoo laki. Jos lakiin haluaa muutoksia niin siitä vain ajamaan asiaa eteenpäin, kuitenkin terveydenhuolto toimii tällä hetkellä näiden lakien ja säädösten mukaisesti. Tästä taustasta on helppo ymmärtää miksi yrityksen tarjoama potilastietojärjestelmä on tuntunut isolta plussalta ja varmaan ollut yksi syy siihen miksi yksityisenä toimijana haluaisi mennä tuonne työskentelemään.

Julkisessa terveydenhuollossa ei onneksi tarvitse miettiä sitä, että paljonko hyvä tietoturva syö katetta, jos nyt jotain hyvää julkisesta terveydenhuollosta haluaa löytää. Se mitä tietoa kenestäkin siellä on, riippuu siitä mitä kyseinen ammattihenkilö on nähnyt tarpeelliseksi kirjata. Ohjeiden mukaan tulee kirjata tarpeelliset tiedot hyvän hoidon takaamiseksi. Harvemmin sitä kirjaamista mietitään siltä kantilta, että entäs jos nämä tiedot vuotaa, eikä tarvitsekaan miettiä mielestäni. Jos jätän lausunnosta oleellista tietoa pois koska pelkään tietojen vuotavan, ei potilas välttämättä saa vastaanottavalla taholla asianmukaista hoitoa.

Lokitietoja satunnaistarkastetaan suurimassa osassa organisaatioita. Eli yksikön esimies saa satunnaisesti valittujen työntekijöiden kaikki lokitiedot vaikkapa kuukauden ajalta ja käy ne läpi. Mikäli siellä näkyy huomautettavaa, pyydetään selvitys ja tarvittaessa määrätään sanktiot, joka voi olla myös irtisanominen. Potilastiedon katselun perusta on hoitosuhde. Et saa katsoa sellaisen ihmisen tietoja kehen sinulla ei ole hoitosuhdetta. Eli et myöskään itsesi koska et ole hoitosuhteessa itseesi. Omia lokitietojaan jokainen voi käydä tarkastamassa Omakanta palvelusta ja suosittelen sitä säännöllisesti tehtävän. Jos näyttää jotakin outoa olevan, voi pyytää tarkemman selvityksen kyseisestä organisaatiosta ja se on pakko toimittaa.

Tästä kaikesta huolimatta, kehitettävää näissä asioissa piisaa edelleen niin julkisella kuin yksityiselläkin puolella. Lisäksi toivon että ihmiset edelleen kävisivät terapiassa ja keskustelemassa mieltä painavista asioista. On todella harmillista, että meillä edelleen elää se häpeäleima mielenterveyden asioihin liittyen, vaikka ei tänä päivänä enää tarvitsisi.

Edit: Joku mainitsi aiemmin, että lääkäri kysyi vastaanotolla että voiko katsoa muun organisaation tietoja. En osaa näillä tiedoilla ottaa sen tarkemmin kantaa mitä tässä on tapahtunut yksityiskohtaisesti. Yleisellä tasolla sanon, että jos on antanut KANTA-suostumuksen, ammattilainen voi hakea kannasta potilaan tietoja ilman erillistä lupaa (koska se suostumus on jo annettu), toki tiedonhaun perustana pitää olla hoitosuhde ja tarvittaessa antaa selvitys miksi on pitänyt kannasta hakea tietoa. Syy voi olla esimerkiksi edellisen hoitopaikan tiedoista vaikka lääkityksen tarkistaminen. Jos on kerran antanut kanta-suostumuksen, sen voi omakannasta käydä kumoamassa. Halutessaan voi myös rajata yksittäisiä organisaatioita joiden tietoja ei halua että kanta-haulla löytyy. On tärkeää ymmärtää, että KANTA-kielto voi vaarantaa hätätilanteessa hoitosi merkittävästi. Olet helsinkiläinen turisti levillä laskettelemassa, saat paljubileistä vaarallisen bakteeritaudin ja menet tajuttomaksi. Riskitiedoissasi lukee että olet antibiootille allerginen, mutta Rovaniemellä päivystyksessä eivät tätä tietoa pääse katsomaan. Toki tiedot voi tarkistaa hätätilanteessa myös soittamalla mutta tässä menee aikaa. Tämä nyt ihan näin esimerkkinä, ei perustu todelliseen keissiin. Aiemmin on ollut ongelmana tässä maasssa se, että meillä on 60 eri potilastietojärjestelmää jotka eivät kommunikoi keskenään. KANTA- on tähän ongelmaan tarjonnut aivan täsmäratkaisun. Toki potilas voi itse päättää, että näkyykö sieltä mitään. Tietoja ei voi Kannasta poistaa ja sinne ne aina kuitenkin tallentuvat, mutta siihen voi vaikuttaa että mitä sieltä ammattilainen näkee.

Sanoisin, että terveydenhuollolla on melkoinen itsetutkiskelun paikka yksityishenkilön tietojen omistamisen suhteen. Aivan käsittämätön lähetymistapa, että asiointi jonkin terveyhdenhoitohenkilön luona antaa tälle taholle oikeudet säilyttää tietoja käytännössä ikuisesti ilman, että henkilöllä on mitään oikeuksia tietoihin. Facebookiltakin voi sentään vaatia kaikkea tiedon tuhoamista, mutta sitten jossain tulevassa konkurssipesässä lojuu kymmeniä vuosia arkaluontoista materiaalia vain odottamassa noutajaansa.

Tässä kohtaa viimeistään tulisi alkaa myös oikeasti miettiä sitä kirjaamista niiden potilaiden tietoturvan kannalta.

Lait tulevat kuitenkin STM:stä ja siellä niitä valmistelee sosiaalialan ihmiset. Toivottavasti tätä lähtee joku kykenevä taho ajamaan eteenpäin. Mitenhän tämä mahtuu jälleen edes johonkin Euroopan ihmisoikeusjulistusten sisään. Jännä miten 30v Neuvostoliiton romahtamisen jälkeen edelleen huomaa Suomen elävän niissä käytännöissä.

Tarvii ilmeisesti olla mielipuoli asioidakseen terveydenhuollossa.

 

[jarp]

Sanoisin, että terveydenhuollolla on melkoinen itsetutkiskelun paikka yksityishenkilön tietojen omistamisen suhteen. Aivan käsittämätön lähetymistapa, että asiointi jonkin terveyhdenhoitohenkilön luona antaa tälle taholle oikeudet säilyttää tietoja käytännössä ikuisesti ilman, että henkilöllä on mitään oikeuksia tietoihin. Facebookiltakin voi sentään vaatia kaikkea tiedon tuhoamista, mutta sitten jossain tulevassa konkurssipesässä lojuu kymmeniä vuosia arkaluontoista materiaalia vain odottamassa noutajaansa.

Näinpä. Tämä on toiminut vielä jotenkuten, kun tiedot ovat olleet kunkin terveydenhuoltoyksikön kellarissa paperiarkistoissa, jossa niihin ei pääse käsiksi kovinkaan pienellä vaivalla. Nyt kun kaikki onkin yhtäkkiä tallennettu sähköisesti, niin väärinkäytösten (ja ns. "oikeinkäytöstenkin", mutta tahdonvastaisen sellaisen) helppous on täysin eri luokkaa. Tähän vielä päälle se, että tietoihin on pääsy julkisen internetin kautta (kanta.fi), niin morjens, pommi, joka odottaa räjähtämistään. Pieni takninen ydinpommihan nyt räjähtikin, nyt sitten vain odotellaan, että kanta.fi on tor-verkossa.

Digitalisaatio on vaarallinen tykalu, jota pitäisi käyttää harkiten. Nyt se on kuitenkin muodostunut uskonnoksi...

Tarvii ilmeisesti olla mielipuoli asioidakseen terveydenhuollossa.

Juttelin joskus kaverin kanssa, joka on kasvanut "lääkäriyhteisössä" ja ei ole koskaan käynyt virallisesti lääkärillä tms, josta olisi jäänyt mitään merkintöjä mihinkään. Sanoi olevansa tilanteeseen äärettömän tyytyväinen ja ymmärrän hyvin, että miksi. Normi-ihmiseltähän tämä ei onnistu mitenkään, koska pimeänä ei taida terveydenhuoltopalveluita pystyä juurikaan ostamaan...

 

[kurkimies]

Hyvä puoli koko hommassa on, että nyt on vähän pakko muidenkin terveydenhoitopalveluita tuottavien pakko tehdä muutoksia tietoturvaansa, jos eivät halua samanlaista juttua tulevaisuudessa

 

[Zener]

Oletteko muuten huomanneet, että firman perusti äiti ja poika, joista poika oli ohjelmoija ja sama poika on nyt toimitusjohtajana. Eli firman toimitusjohtaja on it-ammattilainen.

Mitä pienempi organisaatio IT-hommissa, niin sitä todennäköisempää, että kaikkia osa-alueita ei ole osattu hoitaa parhaalla mahdollisella tavalla ja tekniikalla. Toikin TJ voi olla ihan pätevä koodarina, mutta palvelimen tietoturvaa ei ole hanskannut. Yhden ihmisen tietämys ja kyvyt kun on melko rajallisia.

Itsekin koodarina tunnustan, että ei ole tietoturva vahvinta osa-alueita. Mutta sitä varten on palkattu eri miehet.

Tässä sitten tullaan rahallisiin resursseihin. Jos firman johto ei halua tähän tietoturvaan panostaa rahaa, niin minkäs teet.

Tosin itsekin työskentelen teollisuudessa ja prosesseissa, jotka sotkemalla hakkeri ei saa paljoakaan pahaa aikaan. Lähinnä ärräpäät lentää. Ei tuolta pöllityillä tiedoilla kukaan tee mitään, tuskin edes kilpailijat.

 

[kurkimies]

Vastaamon tietomurto moninkertaisti yhteydenotot Rikosuhripäivystykseen – lisäapua värvätty uhrien auttamiseksi

Joku ihmettelee, miten ei ole mahdollista, että hän saa omia tietoja ulos ja tämän jälkeen tietoja onkin saatavilla?

 

[Tott]

Sanoisin, että terveydenhuollolla on melkoinen itsetutkiskelun paikka yksityishenkilön tietojen omistamisen suhteen. Aivan käsittämätön lähetymistapa, että asiointi jonkin terveyhdenhoitohenkilön luona antaa tälle taholle oikeudet säilyttää tietoja käytännössä ikuisesti ilman, että henkilöllä on mitään oikeuksia tietoihin. Facebookiltakin voi sentään vaatia kaikkea tiedon tuhoamista, mutta sitten jossain tulevassa konkurssipesässä lojuu kymmeniä vuosia arkaluontoista materiaalia vain odottamassa noutajaansa.

Onko todellakin näin että käyt kerran juttelemassa vaikka äkillisesti tapahtuneesta kuolemasta lähipiirissä tai erosta ja tiedot säilyvät siellä aina ja jopa kuolemasi jälkeenkin vuosia? Eihän tuossa edes ole mitään järkeä ja noissa tiedoissa ei ole mitään millä olisi merkitystä muun hoidon kannalta. Jotenkin vielä ymmärrän että vanhatkin dianoosit voi olla hyvä näkyä mutta kyllä tälläset keskustelujen yksityiskohtaiset kirjaukset pitäisi pystyä poistamaan henkilön itsensä pyynnöstä edes sitten kun tietty aika on kulunut. Tai vaihtoehtoisesti voisi saada ne itselleen paperisina jos niille olisi jälkikäteen tarvetta.

 

[FireFly Renaissance]

Onko todellakin näin että käyt kerran juttelemassa vaikka äkillisesti tapahtuneesta kuolemasta lähipiirissä tai erosta ja tiedot säilyvät siellä aina ja jopa kuolemasi jälkeenkin vuosia? Eihän tuossa edes ole mitään järkeä ja noissa tiedoissa ei ole mitään millä olisi merkitystä muun hoidon kannalta. Jotenkin vielä ymmärrän että vanhatkin dianoosit voi olla hyvä näkyä mutta kyllä tälläset keskustelujen yksityiskohtaiset kirjaukset pitäisi pystyä poistamaan henkilön itsensä pyynnöstä edes sitten kun tietty aika on kulunut. Tai vaihtoehtoisesti voisi saada ne itselleen paperisina jos niille olisi jälkikäteen tarvetta.

Ei ole mitään järkeä joo, mutta näinhän se nyt näyttää olevan. Eihän tälläiselle IT-ihmiselle edes tule mieleen, että noin voitaisiin toimia. Ja kyllähän lähtökohtaisesti oikeus yksityishenkilön omiin terveystietoihin tulee olla yksityishenkilöllä itsellään. Jos viranomaiskäyttöön jotain tarvitaan, sen tulisi olla todella rajattu ja täysin erillään.

 

[Grazer]

Onko todellakin näin että käyt kerran juttelemassa vaikka äkillisesti tapahtuneesta kuolemasta lähipiirissä tai erosta ja tiedot säilyvät siellä aina ja jopa kuolemasi jälkeenkin vuosia? Eihän tuossa edes ole mitään järkeä ja noissa tiedoissa ei ole mitään millä olisi merkitystä muun hoidon kannalta. Jotenkin vielä ymmärrän että vanhatkin dianoosit voi olla hyvä näkyä mutta kyllä tälläset keskustelujen yksityiskohtaiset kirjaukset pitäisi pystyä poistamaan henkilön itsensä pyynnöstä edes sitten kun tietty aika on kulunut. Tai vaihtoehtoisesti voisi saada ne itselleen paperisina jos niille olisi jälkikäteen tarvetta.

Potilasasiakirjoihin kirjatut asiat pysyvät tallessa laissa/asetuksissa määritellyn ajan. Niitä ei voida edes potilaan pyynnöstä poistaa. Virheelliset merkinnät voidaan toki korjata/oikaista.

Kumottu säädös Sosiaali- ja terveysministeriön asetus… 298/2009 - Ajantasainen lainsäädäntö - FINLEX ®

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.

finlex.fi

EDIT: Paska juttuhan tällainen pakkosäilytys on. Muistuu esim. mieleen se yksi tapaus, jossa kiusaamismielessä joku koululainen lavastettiin kouluampujaksi tekemällä tästä perättömiä rikosilmoituksia ym. Kaveria sittent tutkittiin lanttumaakarienkin toimesta ja todettiin luonnollisesti syyttömäksi ja ihan täysissä järjissä olevaksi. Nuokin tiedot säilyvät ilmeisesti kirjoissa ja kansissa, kunnes ko. henkilön kuolemasta on kulunut 12 vuotta.

 

[user9999]

Ylen erikoislähetys Vastaamon tietomurrosta tänään klo. 17:10. Areenassa, Radio Suomessa ja TV1:llä.

Ylen erikoislähetys Vastaamon tietomurrosta

Ylen erikoislähetys Vastaamon tietomurrosta tänään Yle Areenassa, TV1:ssä ja Radio Suomessa kello 17:10 alkaen. Vastaamon tietomurto on poikkeuksellinen kansainvälisestikin ajatellen. Tietomurto on johtanut myös muuhun rikolliseen toimintaan, muun muassa kiristysviestien ja -vaatimusten...

areena.yle.fi

 

[taikina]

Ihmettelen miksi tuo pyörii vieläkin normaaliin tapaan noilla ikivanhoilla PHP versioilla yms. Luulisi että ensin vedetään palvelut alas ja päivitetään kamat kuntoon kun tällainen ilmenee.

 

[Seeteufel]

Ihmettelen miksi tuo pyörii vieläkin normaaliin tapaan noilla ikivanhoilla PHP versioilla yms. Luulisi että ensin vedetään palvelut alas ja päivitetään kamat kuntoon kun tällainen ilmenee.

Tätä nimenomaista keissiä tuntematta se versionvaihto ei ei nyt aina mene ihan sillä, että lataa uuden version sisään.