Kirjoittaja Aihe: Vastaamon potilastietoihin kohdistunut tietomurto  (Luettu 13936 kertaa)

Melbac

  • Jäsen^^^
  • ***
  • Viestejä: 3 334
  • Liked: 844
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #180 : 27.10.2020, 23:11:30 »
Näyttäisi siltä että Ville Tapiolta ja sen lähipiiriltä lähti 10 megaeuroa vakuustakavarikkoon. Eipä ehtinyt "hukata" sitä.

Onneksi näin.

minfolla jengi jo pohti, että nyt uusi omistaja peruu kaupat, kerää Tapion perheeltä hillot korvauksineen ja korkoineen takaisin ja mitä jää?

Varaton Tapion perhe ja konkurssissa oleva Vastaamo.

Kuka maksaa uhreille korvauksia, jos niitä haetaan?

Eli nyt jos Tapiolta halutaan korvauksia tietomurrosta kärsineille uhreille, uusi omistaja on laittanut omaisuuden hukkauskieltoon... Ei ole millä maksaa.

Jotenkin tuntuu, että uhrien etu edellä tässä ei ainakaan mennä. Toki jos uusi omistaja katsoo, ettei ole vastuussa (jos vaikka hakkeri on viestinyt Tapion kanssa muun hallituksen tietämättä), ja että virhe ja vastuu siitä on yksinomaan Tapion, niin ei kai siinä mitään. Hillot kotiin ja pelastamaan muita bisneksiä. Tuo Kahri on mukana myös HopLopissa, jota haetaan koronan vuoksi nyt yrityssaneeraukseen.

Kunhan pohdin.

-i-
Ei tossa mitään uhreja ajatella vaan haluavat takaisin ne rahat jotka maksoivat firmasta,tuskin tapioilla olisi ollut varaa maksaa mitään korvauksia jos eivät olisi myyneet sitä firmaa?.Toi 10miljoonaa on kauppasumma minkä ne makso tosta firmasta ja nyt ne haluaa perua kaupan yms.Nythän noi olisi joutuneet maksamaan niitä korvauksia asiasta johon ne eivät ole voineet mitenkään vaikuttaa?.Nyt jonkun pitäisi hakea ton 10miljoonan lisäksi vielä toinen hukkaamiskielto noita korvauksia varten.
« Viimeksi muokattu: 27.10.2020, 23:13:33 kirjoittanut Melbac »

Melbac

  • Jäsen^^^
  • ***
  • Viestejä: 3 334
  • Liked: 844
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #181 : 27.10.2020, 23:19:53 »
Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.

Olen oman työurani varrella ollut suunnittelemassa ja toteuttamassa sosiaali- ja terveysalan työvälineitä, esimerkiksi laitteita ja ohjelmistoja. Oleellista on se, että esimerkiksi silloisella työnantajallani oli erilaisia sertifiointeja, joista osa vaati alleen esimerkiksi ISO 9001:n. Ilman noita sertifiointeja medikaalipuolen asiakkaat eivät olisi edes vilkaisseet työnantajani suuntaan. Hommaan sisältyi toki se, asiat dokumentoitiin huolellisesti ja asiat tehttiin tiettyjen prosessien mukaisesti.

Olenkin nyt hieman ihmseissäni, että sellaiset organisaatiot kuten Oys ja Tays eivät ole auditoineet niinkin oleellista asiaa kuin alihankkijansa tietojärjestelmät. No, pääsevätpä luultavasti maksumiehiksi korvausasioissa. Poliitikot ovat olleet huomattavan leväperäisiä siinä, että auditointeja ei ole merkitty pakollisiksi näille b-sarjalaisille.

Olen harrastuksieni vuoksi tutustunut hyvin moniin ihmisten tekemiin typeryyksiin. Eräisiin sellaisiin joissa on kuollut kymmeniä tuhansia ihmisiä vain muutamissa hetkissä. Tämän tapauksen vuoksi ei ole vielä tiettävästi kuollut kukaan, mutta joka tapauksessa en lainkaan ihmettelisi vaikka niin kävisi. Typeryydeltään tämä ei kuitenkaan eroa millään tavalla Bhopalin vuoden 1984 typeryydestä (ahneus kostautuo ja kaupunkin virtasi paineistetusta 40 kuutiometrin säiliöstä metyyli-isosyanaattia, suolahappoa, sinappikaasua, syaanivetytä yms ei-niin-vaarattomia-aineita, tuho, kärsimys ja kurjuus olivat käsittämättömät)

Sitten folioattuosastolle
Näyttää kovasti siltä, että Vastaamon nykyiset omistajat aikovat pestä kätensä tästä. Hehän siis hakivat ja  saivat tuon 10 M€:n takavarikon. Enkä usko että sitä olisi haettu siksi, että siitä maksettaisiin todellisille uhreille korvauksia vaan pikemminkin siksi, että sujavasti pystyisivät purkamaan yrityskaupan.
Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.:D

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.:D
« Viimeksi muokattu: 27.10.2020, 23:21:45 kirjoittanut Melbac »

Radio

  • Jäsen^^^
  • ***
  • Viestejä: 1 365
  • Liked: 2372
  • Mayday, mayday. Maantievirus matkalla pohjoiseen!
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #182 : 27.10.2020, 23:41:39 »
Kaskun pappien perheen poika kavereineen olivat HYVÄSSÄ USKOSSA. Tämmöisen kallonkutistajafirman hätää kärsiviltä ihmisiltä 100€/ tunti rahastus on siiis hyvä business.
Oikea kysymys on, miksi terapiaa saavat myydä nämä ihmisen hädällä rahastavat "vastaamot" .  Eikö hoito kuulu valtion terveyshoidon apparaatille.
“Life should not be a journey to the grave with the intention of arriving safely in a pretty and well preserved body, but rather to skid in broadside in a cloud of smoke, thoroughly used up, totally worn out, and loudly proclaiming “Wow! What a Ride!”

Ari-Lee

  • Kannatusjäsen
  • Jäsen^^^
  • ****
  • Viestejä: 33 105
  • Liked: 28468
  • Sarkasmoitunut työvoimapulareservi ♂Syyllinen☦
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #183 : 28.10.2020, 00:45:04 »
Kaskun pappien perheen poika kavereineen olivat HYVÄSSÄ USKOSSA. Tämmöisen kallonkutistajafirman hätää kärsiviltä ihmisiltä 100€/ tunti rahastus on siiis hyvä business.
Oikea kysymys on, miksi terapiaa saavat myydä nämä ihmisen hädällä rahastavat "vastaamot" .  Eikö hoito kuulu valtion terveyshoidon apparaatille.

Ei. Vallasväelle on nämä omat maksulliset lafkansa. Markkinatalous toimii kuten toimii.

Mutta sitten tulisiko valtion hoitaa vähävaraisten henkisiä ongelmia on toinen asia. Muistako kuka oli P Lipponen? Peeministeri-presidentti-johtaja, tai diktaattori, kenen hallituskaudella mielenterveydenhoito ajettiin alas, ja lääkäreille määräys täyttää mt-palveluja hakevien taskut ssri -lääkkeillä. Lääkkeiden syöjiä on nähty uutisissa joukkomurhatapauksissa.
"Meidän on kaikki, jos meidän on työ:
Nälkälän rahvas, äl' aarteitas' myö!" - Ilmari Kianto 🇫🇮

"Miksi kaikessa keskusteluissa on etsitty kaikki mahdolliset ongelmat heti kättelyssä? "- J.Sipilä

haermae

  • Jäsen^^
  • **
  • Viestejä: 488
  • Liked: 411
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #184 : 28.10.2020, 09:24:13 »
https://www.kaleva.fi/saavatko-vastaamo-vuodon-uhrit-uuden-henkilotunnuk/3047732

Lainaus käyttäjältä: Kaleva 28.10.2020 06:00
Saa­vat­ko Vas­taa­mo-vuo­don uhrit uuden hen­ki­lö­tun­nuk­sen? Di­gi­vi­ras­to pelkää jo työ­kuor­maa, koska enim­mil­lään muu­te­taan 40 000 ihmisen tun­nuk­set


Henkilötunnuksen muuttaminen on Suomessa erittäin vaikeaa, ..

Tietovuodon uhrit ovat tehneet Digi- ja väestötietovirastoon jo kymmeniä pyyntöjä henkilötunnuksen muuttamisesta. Uhrien ei ole kuitenkaan mahdollista saada lain perusteella uutta tunnusta.

– Henkilötunnuksen muuttaminen perustuu tarkkoihin säädöksiin. Perusajatus on, että tunnus on muuttumaton ja pysyvä, ja vain hyvin poikkeuksellisessa tilanteessa se voidaan muuttaa, Digi- ja väestötietoviraston ylijohtaja Timo Salovaara totesi alkuviikosta.

Henkilötunnuksen muutos on mahdollista vain, jos sitä on jo käytetty toistuvasti väärin ja siitä on jo aiheutunut huomattavaa taloudellista tai muuta haittaa. Samalla ihmisen hengen on oltava vaarassa [lisäys: tämä kohta on käsittääkseni erillinen muusta arvioinnista]. Laki ei siis mahdollista ennaltaehkäisevää riskienhallintaa.
...
Toimeenpanon näkökulmasta tämä suuri määrä huolestuttaa, eli miten nopeasti pystyttäisiin muutokset tekemään ja paljonko virastossa voitaisiin siihen perehdyttää uusia työntekijöitä.
...
Salovaara summaa, että henkilötunnuksen muuttaminen on vaikea ja vaativa juttu. Hän näkee paljon turvallisempana, että alamme suhtautua niin, että on melko todennäköistä, että meidän henkilötunnuksemme ovat muiden tiedossa ja jotkut käyttävät sitä väärin.
...

Timo Salovaaraa huolestuttaa, että pahimmassa tapauksessa kampaviinerin syömiselle ja martelaan pieremiselle ei enää riitä tarpeeksi työaikaa.

Viimeisessä kappaleessa virkamies ohjeistaa alamaisiaan. Koska hetu on muuttumaton ja pysyvä.
« Viimeksi muokattu: 28.10.2020, 09:28:01 kirjoittanut haermae »

P

  • Jäsen^^^
  • ***
  • Viestejä: 15 809
  • Liked: 10121
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #185 : 28.10.2020, 09:43:41 »
Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.


Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.:D

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.:D

IT-tekniikan harppauksen aikana 90-2000-luvuilla monissa vaiheissa opetus oli usein vanhentunutta ja "tuli perässä", kun kentällä kohdattiin sitä uusinta todellisuutta.

Moni tuttu käpistelijä jätti opinnot ja siirtyi kokopäiväiseen työelämään projektien kimppuun. Opinnoista kun ei oikeasti ollut hirveästi hyötyä jossain vaiheessa, vaan ihan työssä oppimisesta.

Kestää parikymmentä vuotta ennen kuin suomalainen lapsi alkaa kuluttamisen sijasta tuottaa yhteiskunnalle jotain. Pakolaisen kohdalla kyse on luultavasti parista vuodesta. Siksi pidän puheita pakolaisten aiheuttamista kansantaloudellisista rasitteista melko kohtuuttomina.
- J. Suurpää, HS 21.4.1991

P

  • Jäsen^^^
  • ***
  • Viestejä: 15 809
  • Liked: 10121
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #186 : 28.10.2020, 09:48:18 »
Näyttäisi siltä että Ville Tapiolta ja sen lähipiiriltä lähti 10 megaeuroa vakuustakavarikkoon. Eipä ehtinyt "hukata" sitä.

Onneksi näin.

minfolla jengi jo pohti, että nyt uusi omistaja peruu kaupat, kerää Tapion perheeltä hillot korvauksineen ja korkoineen takaisin ja mitä jää?

Varaton Tapion perhe ja konkurssissa oleva Vastaamo.

Kuka maksaa uhreille korvauksia, jos niitä haetaan?

Eli nyt jos Tapiolta halutaan korvauksia tietomurrosta kärsineille uhreille, uusi omistaja on laittanut omaisuuden hukkauskieltoon... Ei ole millä maksaa.

Jotenkin tuntuu, että uhrien etu edellä tässä ei ainakaan mennä. Toki jos uusi omistaja katsoo, ettei ole vastuussa (jos vaikka hakkeri on viestinyt Tapion kanssa muun hallituksen tietämättä), ja että virhe ja vastuu siitä on yksinomaan Tapion, niin ei kai siinä mitään. Hillot kotiin ja pelastamaan muita bisneksiä. Tuo Kahri on mukana myös HopLopissa, jota haetaan koronan vuoksi nyt yrityssaneeraukseen.

Kunhan pohdin.

-i-
Ei tossa mitään uhreja ajatella vaan haluavat takaisin ne rahat jotka maksoivat firmasta,tuskin tapioilla olisi ollut varaa maksaa mitään korvauksia jos eivät olisi myyneet sitä firmaa?.Toi 10miljoonaa on kauppasumma minkä ne makso tosta firmasta ja nyt ne haluaa perua kaupan yms.Nythän noi olisi joutuneet maksamaan niitä korvauksia asiasta johon ne eivät ole voineet mitenkään vaikuttaa?.Nyt jonkun pitäisi hakea ton 10miljoonan lisäksi vielä toinen hukkaamiskielto noita korvauksia varten.

Duoda duoda. Vastaamo on oikeushenkilö, ja Oy muodossa. Kyllä se korvausvastuu taitaa firmaan jäädä? Ja kykeneekö se mitään korvaamaan,  kun valtiokin on suunnittelemassa tukevas yhteisosakkoa.

Firma oli jo nyt tappiollinen. Loputkin asiakkaat nostavat kytkintä, valtio iskee tukevan yhteisösakon ja korvausvaatimuksia sataa. Se taitaa olla konkurssi edessä ja tyhjästä on paha nyhjäistä.
Kestää parikymmentä vuotta ennen kuin suomalainen lapsi alkaa kuluttamisen sijasta tuottaa yhteiskunnalle jotain. Pakolaisen kohdalla kyse on luultavasti parista vuodesta. Siksi pidän puheita pakolaisten aiheuttamista kansantaloudellisista rasitteista melko kohtuuttomina.
- J. Suurpää, HS 21.4.1991

foobar

  • Jäsen^^^
  • ***
  • Viestejä: 17 738
  • Liked: 30416
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #187 : 28.10.2020, 10:18:32 »
Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.

Olen oman työurani varrella ollut suunnittelemassa ja toteuttamassa sosiaali- ja terveysalan työvälineitä, esimerkiksi laitteita ja ohjelmistoja. Oleellista on se, että esimerkiksi silloisella työnantajallani oli erilaisia sertifiointeja, joista osa vaati alleen esimerkiksi ISO 9001:n. Ilman noita sertifiointeja medikaalipuolen asiakkaat eivät olisi edes vilkaisseet työnantajani suuntaan. Hommaan sisältyi toki se, asiat dokumentoitiin huolellisesti ja asiat tehttiin tiettyjen prosessien mukaisesti.

Olenkin nyt hieman ihmseissäni, että sellaiset organisaatiot kuten Oys ja Tays eivät ole auditoineet niinkin oleellista asiaa kuin alihankkijansa tietojärjestelmät. No, pääsevätpä luultavasti maksumiehiksi korvausasioissa. Poliitikot ovat olleet huomattavan leväperäisiä siinä, että auditointeja ei ole merkitty pakollisiksi näille b-sarjalaisille.

Olen harrastuksieni vuoksi tutustunut hyvin moniin ihmisten tekemiin typeryyksiin. Eräisiin sellaisiin joissa on kuollut kymmeniä tuhansia ihmisiä vain muutamissa hetkissä. Tämän tapauksen vuoksi ei ole vielä tiettävästi kuollut kukaan, mutta joka tapauksessa en lainkaan ihmettelisi vaikka niin kävisi. Typeryydeltään tämä ei kuitenkaan eroa millään tavalla Bhopalin vuoden 1984 typeryydestä (ahneus kostautuo ja kaupunkin virtasi paineistetusta 40 kuutiometrin säiliöstä metyyli-isosyanaattia, suolahappoa, sinappikaasua, syaanivetytä yms ei-niin-vaarattomia-aineita, tuho, kärsimys ja kurjuus olivat käsittämättömät)

Sitten folioattuosastolle
Näyttää kovasti siltä, että Vastaamon nykyiset omistajat aikovat pestä kätensä tästä. Hehän siis hakivat ja  saivat tuon 10 M€:n takavarikon. Enkä usko että sitä olisi haettu siksi, että siitä maksettaisiin todellisille uhreille korvauksia vaan pikemminkin siksi, että sujavasti pystyisivät purkamaan yrityskaupan.
Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.:D

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.:D

Sekä itseoppiminen että suoraan koulunpenkiltä tulemalla järjestelmien toteuttaminen on huono idea. Se mitä missä tahansa vakavien asioiden kanssa tekemisissä olevan järjestelmän toteuttamisessa kunnialla tarvitaan on aiempi työkokemus, joka on tyypillisesti hankittu edellisten ammattilaissukupolvien kanssa menetelmät oppien ja niitä kehittäen. Jos Vastaamossa harjoitettu menetelmä olisi ollut aiemmin tiedossa (siis se, että ilmeisesti järjestelmän toteuttajatiimi on koostunut oleellisesti ottaen perheyrityksessä itseoppineesta pojasta äitinsä ohjauksessa) olisi kuka tahansa vakavasti työhönsä suhtautuva ohjelmistokehittäjä osannut sanoa että tässä on lähes mahdotonta hoitaa hommaa ainakaan tietosuoja- ja tietoturvapuolen osalta kunnialla.

Syvä ymmärrys näihin asioihin vaatii osaavan yhteisön kanssa toimimista ja oppimista - vaikka tunnenkin muutaman täysin itseoppineen huippuluokan kehittäjän, eivät nämä ole hypänneet toteuttamaan tällaisia projekteja yksin (sikäli kuin mitään merkittävän kokoista järjestelmää nykyään kehitetään yhden hengen voimin) vaan ovat ensin hankkineet kannuksensa oppimalla oikeassa työympäristössä muilta sen mitä kaikkea pitää miettiä kun kehitetään reaalimaailman ratkaisuja joissa on kyse hengen, terveyden tai ainakin omaisuuden kannalta kriittisistä jutuista.
"Avaruudessa kukaan ei voi kuulla moku-ulinaasi" - Rändöm

Nuivinator

  • Administrator
  • Jäsen^^^
  • *****
  • Viestejä: 3 092
  • Liked: 4513
  • Je suis Charlie
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #188 : 28.10.2020, 11:40:12 »
Muuten, jossakin mainittiin että korvaus voisi olla 300 - 1800 euroa per loukattu yksityisyys.

Lehtitietojen perusteella loukattuja yksityisyyksiä on jopa 40000 kappaletta. 1800 * 40000 = 72000000. Oys ja Tays (eli veronmaksajat) saattavat joutua maksumiehiksi, niiltä osin kun ovat ostopalveluita Vastaamolta hankkineet, mutta siitä huolimatta taitaa Tapiolta loppua käteinen.

Sitten tuohon koodaamisasiaan vähän.

Niiltä osin kun puhutaan pelkästään ruutupaperinkorvikkeesta, ts. tietokannasta jonka tarkoituksena on säilöä dataa, niin ei sellaisen pystyttäminen mitään kummoista osaamista tarvitse. Mysql-kanta pystyyn ja php:llä  sille käyttöliittymä.

Mutta tietoturvan ylläpito on aavistuksen hankalampaa, mutta ei sekään vielä tuossa tapauksessa mitään kvanttifysiikkaa (kvanttifysiikka on tuntemistani fysiikan osa-alueista ehkä kummallisin) ole. Palomuuraukset kuntoon, php & apache ajantasalla, linux-kerneliin grsec sopivilla säädöillä, kunnolliset salasanapolicyt tai muut vahvat autentikoitumistavat, ja niin edelleen. En tiedä  mitä Nixun työntekijät ovat löytäneet, mutta osaan jonkinverran kuvitealla kyllä.

Oikeasti kompleksissa järjestelmissä vaadittava osaaminenkin on ihan eri tasolla. Ruutupaperin korvikkeena oleminen ei ole kompleksista. Paras arvaukseni on se, että Tapio on koodannut ulkoasultaan kiiltelevän järjestelmän, mutta unohtanut sitten sen kaiken oleellisimman - tietoturvan.

Eisernes Kreuz

  • Jäsen^^^
  • ***
  • Viestejä: 7 179
  • Liked: 25979
  • Paalutetaan sananvapaus!
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #189 : 28.10.2020, 12:02:09 »
Tämä on todella hyvä pointti, miksi monet jutut ovat oletusarvoisesti ulospäin auki, kun olisi tosiaan tietoturvallisempaa pitää ne kiinni aluksi. Suurimalla osalla ihmisistä ei ole mitään hajua mitä dataa heistä löytyy tuosta vaan.

Esimerkiksi tuo auton rekisterinumero-tiedot, jolla yhdellä haulla saa ajoneuvon omistajan ja haltijan henkilöllisyyden ja osoitteen selville tuosta vaan.
Ei vaadi suurtakaan kekseliäisyyttä balttialaiselta tai jopa kotimaiselta  varasliigalta käydä ajelemassa Helsinki-Vantaa lentokentän lentoparkeissa ja tsekata kalliimpien autojen omistajien tiedot ja sitten vaan rauhassa kodintyhjennys keikalle....

Lienee niitä impiwaaralaisen luottamusyhteiskunnan jäänteitä.

Nykyajan avointen rajojen ja vapaan liikkuvuuden Euroopassa luottamusyhteiskunta ei voi enää toimia.
There is freedom of speech, but I cannot guarantee freedom after speech.
- Idi Amin, diktaattori

foobar

  • Jäsen^^^
  • ***
  • Viestejä: 17 738
  • Liked: 30416
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #190 : 28.10.2020, 12:13:28 »
Muuten, jossakin mainittiin että korvaus voisi olla 300 - 1800 euroa per loukattu yksityisyys.

Lehtitietojen perusteella loukattuja yksityisyyksiä on jopa 40000 kappaletta. 1800 * 40000 = 72000000. Oys ja Tays (eli veronmaksajat) saattavat joutua maksumiehiksi, niiltä osin kun ovat ostopalveluita Vastaamolta hankkineet, mutta siitä huolimatta taitaa Tapiolta loppua käteinen.

Sitten tuohon koodaamisasiaan vähän.

Niiltä osin kun puhutaan pelkästään ruutupaperinkorvikkeesta, ts. tietokannasta jonka tarkoituksena on säilöä dataa, niin ei sellaisen pystyttäminen mitään kummoista osaamista tarvitse. Mysql-kanta pystyyn ja php:llä  sille käyttöliittymä.

Mutta tietoturvan ylläpito on aavistuksen hankalampaa, mutta ei sekään vielä tuossa tapauksessa mitään kvanttifysiikkaa (kvanttifysiikka on tuntemistani fysiikan osa-alueista ehkä kummallisin) ole. Palomuuraukset kuntoon, php & apache ajantasalla, linux-kerneliin grsec sopivilla säädöillä, kunnolliset salasanapolicyt tai muut vahvat autentikoitumistavat, ja niin edelleen. En tiedä  mitä Nixun työntekijät ovat löytäneet, mutta osaan jonkinverran kuvitealla kyllä.

Oikeasti kompleksissa järjestelmissä vaadittava osaaminenkin on ihan eri tasolla. Ruutupaperin korvikkeena oleminen ei ole kompleksista. Paras arvaukseni on se, että Tapio on koodannut ulkoasultaan kiiltelevän järjestelmän, mutta unohtanut sitten sen kaiken oleellisimman - tietoturvan.

Jos ratkaisuna on ollut PHP (vieläpä niin vanha versio että sen tietoturvapäivitystuki on loppunut, ainakin yksi kaveri spekuloi näin), on kyllä helpompaa ampua itseään jalkaan kuin olla ampumatta, jopa noin yksinkertaisessa tilanteessa. Toki tässä tapauksessa ilmeisesti se aidan matalin kohta on löytynyt muualta, ei ole edes tarvinnut yrittää hankalampia asioita.
"Avaruudessa kukaan ei voi kuulla moku-ulinaasi" - Rändöm

Skeptikko

  • Global Moderator
  • Jäsen^^^
  • *****
  • Viestejä: 12 372
  • Liked: 17267
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #191 : 28.10.2020, 12:22:21 »
Mutta tietoturvan ylläpito on aavistuksen hankalampaa, mutta ei sekään vielä tuossa tapauksessa mitään kvanttifysiikkaa (kvanttifysiikka on tuntemistani fysiikan osa-alueista ehkä kummallisin) ole. Palomuuraukset kuntoon, php & apache ajantasalla, linux-kerneliin grsec sopivilla säädöillä, kunnolliset salasanapolicyt tai muut vahvat autentikoitumistavat, ja niin edelleen.

Näin arkaluontoisella datalla olisi tämän lisäksi varmaan ainakin näin jälkiviisaudella ollut järkevä olla kryptattuna. Ja vielä mielellään niin, että ainakin jokaisen asiakkaan käyntikertomukset vielä eri avaimella kryptattuna ja mietittynä huolella avaintenhallinta ja muu toteutus. Kryptaus on hyvin helppoa toteuttaa tavalla, joka kuulostaa hyvältä, mutta jää helposti usein vain turvallisuusteatterin tasolle, että voi sanoa, että se data on vaikkapa kryptattu, mutta tosiasiassa toteutus on sellainen, että monia hyökkäystapoja vastaan ei ole saatu kovin hyvää suojaa (esimerkiksi pistämällä Oraclessa Transparent Data Encryptionin päälle, voi se olla niin läpinäkyvä hyökkääjällekin, että hän saa datat aivan yhtä hyvin kuin ilman kryptaustakin, jos vain saa yhteyden tietokantaan - ja yhteyden tietokantaan taas voi saada salasanoja tuntemattakin, jos vain ensiksi pääsee tietokantakoneelle sisään jne).

Ja hyvin toteutettu kryptaus on usein vaikeaa saada toteutettua oikein, etenkin jos ei käytetä hyvin paljon jo hyväksi havaittuja ohjelmia, kirjastoja, käytäntöjä, protokollia jne. Jopa kryptologian ammattilaisten kehittelemistä ja jopa standardoiduista protokollista yms on usein myöhemmissä analyyseissä paljastunut vakavia ongelmia. Ja esimerkiksi monien algoritmien turvallinen käyttö edellyttää tietoa tunnetuista hyökkäystavoista ja heikkouksista ja kuinka näitä voi välttää. Siksi varsin tyypillisesti on syytä käyttää joidenkin alan ammattilaisten kehittämiä toteutuksia pohjana, joilla on edes kohtuullisen turvallisena pidetty maine.

Ja vaikka näissäkään ei olisi mokattu, niin turvallisuus on usein silti jonkinlaisen perusluottamuksen, hyväntahtoisuuden yms varassa - eli käytännössä oletetaan hylkkääjän olevan niin kiltti, ettei hyökkää tavalla, jota vastaan ei ole suojauduttu kunnolla. Esimerkiksi hyvin monessa paikassa turvallisuus murtuisi pahasti vaikkapa sillä, että hyökkääjä pestautuu siivoojaksi hyökkäyskohteeseen ja sitten kenenkään huomaamatta iskee vaikkapa keyloggerin kiinni ja sillä tavalla saa urkittua salasanoja yms (ja jos kone on sammutettuna, niin voi samalla kopioida vaikka koko kovalevyn sisällön ja vaikka kovalevy olisi kryptattukin, niin se saattaisi hyvinkin olla avattavissa keyloggerin keräämilla näppäimenpainalluksilla)... Ja monessa paikassa myös fyysinen turvallisuus on järjestetty sellaisilla rfid-korteilla, jotka on hyvin helppoa kopioida kenen tahansa (usein on luotettu vain siihen, ettei nollalohkoa/UID:ta pääsisi kloonikortissa kirjoittamaan, mutta Kiinasta saa noin eurolla kortteja, joissa tällaista turvallisuusteatteria edustavaa rajoitusta ei ole ja muutamalla kympillä saa myös automaattisen kopiointilaitteen). Lisäksi monia lukkoja tai ovia ainakin maailmalla on helppoa avata tiirikoimalla tai muilla fyysisillä tempuilla.
« Viimeksi muokattu: 28.10.2020, 13:42:14 kirjoittanut Skeptikko »
En homona toivota tervetulleiksi Suomeen henkilöitä, jotka haluavat tappaa minut:
http://www.bbc.com/news/magazine-33565055

Tanskan pakolaisapu: hallitsematon tulijatulva johtamassa armageddoniin ja yhteiskuntamme tuhoon:
http://jyllands-posten.dk/international/europa/ECE7963933/Sammenbrud-truer-flygtningesystem/

turjake

  • Jäsen^^
  • **
  • Viestejä: 266
  • Liked: 213
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #192 : 28.10.2020, 13:17:30 »
Ei tossa mitään uhreja ajatella vaan haluavat takaisin ne rahat jotka maksoivat firmasta,tuskin tapioilla olisi ollut varaa maksaa mitään korvauksia jos eivät olisi myyneet sitä firmaa?.Toi 10miljoonaa on kauppasumma minkä ne makso tosta firmasta ja nyt ne haluaa perua kaupan yms.Nythän noi olisi joutuneet maksamaan niitä korvauksia asiasta johon ne eivät ole voineet mitenkään vaikuttaa?.Nyt jonkun pitäisi hakea ton 10miljoonan lisäksi vielä toinen hukkaamiskielto noita korvauksia varten.

Duoda duoda. Vastaamo on oikeushenkilö, ja Oy muodossa. Kyllä se korvausvastuu taitaa firmaan jäädä? Ja kykeneekö se mitään korvaamaan,  kun valtiokin on suunnittelemassa tukevas yhteisosakkoa.

Firma oli jo nyt tappiollinen. Loputkin asiakkaat nostavat kytkintä, valtio iskee tukevan yhteisösakon ja korvausvaatimuksia sataa. Se taitaa olla konkurssi edessä ja tyhjästä on paha nyhjäistä.

Mitä tästä opimme. Kun kiristäjä saa tietoja haltuunsa, on vain maksettava ja pidettävä turpa kiinni. Jos tapaus pääsee julkisuuteen, asiakkaiden luottamus loppuu ja he katoavat, työntekijät nostavat kytkintä, johdossa tehdään puhdistuksia, osakkaiden omistusten arvo putoaa ja lopulta edessä on konkurssi. Poispotkituille johtajille uuden työn löytäminen voi myös osoittautua hankalaksi. Tälläistä tilannekuvaa vasten katsoen ei liene ihme ettei TJ puhunut tietomurrosta puoleentoista vuoteen mitään, ja on varsin todennäköistä että seuraava tietovuodolla kiristäjä saa miljoonansa eikä kukaan perään huutele. Kiristäjän kiinnijääminen voisi olla firmalle jopa vahingollisempaa kuin rahan menetys. Itseäni rehellisenä ihmisenä vituttaa tälläinen mutta minkäs teet, näin se toimii.

Poistettu lainauspyramidi.
« Viimeksi muokattu: 28.10.2020, 14:39:40 kirjoittanut Skeptikko »

Skeptikko

  • Global Moderator
  • Jäsen^^^
  • *****
  • Viestejä: 12 372
  • Liked: 17267
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #193 : 28.10.2020, 13:37:44 »
Mitä tästä opimme. Kun kiristäjä saa tietoja haltuunsa, on vain maksettava ja pidettävä turpa kiinni. Jos tapaus pääsee julkisuuteen, asiakkaiden luottamus loppuu ja he katoavat, työntekijät nostavat kytkintä, johdossa tehdään puhdistuksia, osakkaiden omistusten arvo putoaa ja lopulta edessä on konkurssi.

Vähän samahan on näissä mahtipontisissa julistuksissa, että terroristien kanssahan ei neuvotella. Oikeastihan tietenkin kun terroristeilla on turhan paljon valtaa, niin näiden kanssa aivan varmasti neuvotellaan vähintäänkin salassa. Esimerkiksi jos terroristit esittäisivät uskottavan uhkauksen räjäyttää megatonnien ydinpommin Washingon DC:ssä tai korkealle pilvenpiirtäjään sijoitetusta ydinpommista New Yorkissa - ja vieläpä niin nopealla aikataululla, ettei väestöä olisi aikaa evakuoida, niin aivan varmasti neuvoteltaisiin ja jonkinasteisiin myönnytyksiinkin suostuttaisiin mitä luultavimmin. Samahan on nähtävissä Afganistanissa, kun Taleban osoittautui liian pitkäaikaiseksi ja kalliiksi piikiksi lihassa, niin lopulta sen kanssa sitten kuitenkin neuvotellaan.

Mites firman kirjanpitoon muuten pitää merkitä lunnaat kiristäjälle?.:)

Miten olisi vaikkapa junailla se bonuksen nimellä hallituksen puheenjohtajalle tms hyvin tehdystä työstä - ja sitten tämä bonuksen saanut taho hoitelee edelleen yksityisesti rahat edelleen kiristäjälle?
« Viimeksi muokattu: 28.10.2020, 13:58:07 kirjoittanut Skeptikko »
En homona toivota tervetulleiksi Suomeen henkilöitä, jotka haluavat tappaa minut:
http://www.bbc.com/news/magazine-33565055

Tanskan pakolaisapu: hallitsematon tulijatulva johtamassa armageddoniin ja yhteiskuntamme tuhoon:
http://jyllands-posten.dk/international/europa/ECE7963933/Sammenbrud-truer-flygtningesystem/

Melbac

  • Jäsen^^^
  • ***
  • Viestejä: 3 334
  • Liked: 844
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #194 : 28.10.2020, 13:49:13 »
Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.


Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.:D

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.:D

IT-tekniikan harppauksen aikana 90-2000-luvuilla monissa vaiheissa opetus oli usein vanhentunutta ja "tuli perässä", kun kentällä kohdattiin sitä uusinta todellisuutta.

Moni tuttu käpistelijä jätti opinnot ja siirtyi kokopäiväiseen työelämään projektien kimppuun. Opinnoista kun ei oikeasti ollut hirveästi hyötyä jossain vaiheessa, vaan ihan työssä oppimisesta.
Eipä yhteen aikaan ollut mitään kunnon koulutusta tietotekniikkalalle eikä varsinkaan ohjelmointiin,sitten tuli jotain mutta yliopistoon kun tyhmät amikset ei kuitenkaan osaa englantia eikä varsinkaan koodata.:D

P

  • Jäsen^^^
  • ***
  • Viestejä: 15 809
  • Liked: 10121
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #195 : 28.10.2020, 14:18:48 »
Olen tätä tapauta pohtinut nyt jonkin tovin. Myös ammatillisessa mielessä.

Ensinnäkin: Ei kannata morkata itseoppineita koodareita. Tähän tapaukseen liittyen olen kuullut väitettävän, että Vastaamon tietojärjestelmän suunnitellut henkilö on ollut itseoppinut. Eräät nerokkaimmista tuntemistani koodareista ovat itseoppineita, ja erinäisistä syistä johtuen tunnen monia koodareita.


Itse taas en oikein luota näiden koulusta tulleiden "koodareiden" taitoihin koska kokemus on opettanut ettei ne osaa mitään(kodaaminen tarvitsee vähän omanlaisensa tyypin) kun taas nämä "itseoppiineet" osaa asiat ja hommat toimii.Jos homma lähtenyt harrastuksesta niin ne todennäköisesti osaa asiat,tosin älä oleta että ne mitään auditointeja tekisi.:D

/edit
Itse käsittääkseni noille on juuri jotkut v*tun certificaationit ja auditioinnit tärkeämpiä kuin että se systeemi jonka ne ostaa toimisi oikein.:D

IT-tekniikan harppauksen aikana 90-2000-luvuilla monissa vaiheissa opetus oli usein vanhentunutta ja "tuli perässä", kun kentällä kohdattiin sitä uusinta todellisuutta.

Moni tuttu käpistelijä jätti opinnot ja siirtyi kokopäiväiseen työelämään projektien kimppuun. Opinnoista kun ei oikeasti ollut hirveästi hyötyä jossain vaiheessa, vaan ihan työssä oppimisesta.
Eipä yhteen aikaan ollut mitään kunnon koulutusta tietotekniikkalalle eikä varsinkaan ohjelmointiin,sitten tuli jotain mutta yliopistoon kun tyhmät amikset ei kuitenkaan osaa englantia eikä varsinkaan koodata.:D

Tuttava on tietokanta-alalla, tai siis ollut lie +20-25 vuotta. Oli yliopistossa opiskelemassa, mutta huomasi, että opetus laahasi siellä jäljessä, kun oli samalla töissä alan projekteissa...

Voit arvata kumpi jäi?

Ja muutama tuttu teki vastaavat, ilman tietomurtoja, kuin tämä Vastaamon Ville. Myivät itse koodaamansa firman liiketoimintoineen isolle pörssifirmalle ja hommasivat miljoonansa. Tämä tosin lähes vuosikymmen aikaisemmin kuin tuo Ville, joka on nuorempaa sukupolvea, mutta koodailut näköjään aloittanut aikana, jolloin it-koulutus monella alalla tuli kehityksen perässä.

Ja kun lukaiset, ei tuokaan Ville ole yksin kammioissaan pelkästään koodailut, vaan ollut mukana useissa projekteissa ennen tuota omaa Vastaamoaan.
« Viimeksi muokattu: 28.10.2020, 14:29:13 kirjoittanut P »
Kestää parikymmentä vuotta ennen kuin suomalainen lapsi alkaa kuluttamisen sijasta tuottaa yhteiskunnalle jotain. Pakolaisen kohdalla kyse on luultavasti parista vuodesta. Siksi pidän puheita pakolaisten aiheuttamista kansantaloudellisista rasitteista melko kohtuuttomina.
- J. Suurpää, HS 21.4.1991

Radio

  • Jäsen^^^
  • ***
  • Viestejä: 1 365
  • Liked: 2372
  • Mayday, mayday. Maantievirus matkalla pohjoiseen!
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #196 : 28.10.2020, 14:41:20 »
Mikä oli se yksi aika, jolloin ei ollut "kunnon koulutusta" tietotekniikasta. Helsingin yliopistossa 60-70 luvuilla Tietojenkäsittelyopin laitoksella sain semmoisen annoksen tietoa, jota hyödynsin vielä 2000-luvulle asti.
Ei taideta ymmärtää, että PC ei ole oikea tietokone vaan lelu, eikä koodari ole systeemisuunnittelija.
Nythän on nähty että nämä itseoppineet villet ovat helvetin suuri riski muualla kuin siellä pelejä koodaamassa.
“Life should not be a journey to the grave with the intention of arriving safely in a pretty and well preserved body, but rather to skid in broadside in a cloud of smoke, thoroughly used up, totally worn out, and loudly proclaiming “Wow! What a Ride!”

P

  • Jäsen^^^
  • ***
  • Viestejä: 15 809
  • Liked: 10121
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #197 : 28.10.2020, 15:02:07 »
Mikä oli se yksi aika, jolloin ei ollut "kunnon koulutusta" tietotekniikasta. Helsingin yliopistossa 60-70 luvuilla Tietojenkäsittelyopin laitoksella sain semmoisen annoksen tietoa, jota hyödynsin vielä 2000-luvulle asti.
Ei taideta ymmärtää, että PC ei ole oikea tietokone vaan lelu, eikä koodari ole systeemisuunnittelija.
Nythän on nähty että nämä itseoppineet villet ovat helvetin suuri riski muualla kuin siellä pelejä koodaamassa.

Et ollut tyhjiössä 60-70-luvulta alkaen, vaan opit töissä perusteiden päälle.

90-luvulla sellainen aika oli joillain käpistelyn aloilla. Perusopintojen jälkeen moni jäi työelämään ja on siellä yhä.
Kestää parikymmentä vuotta ennen kuin suomalainen lapsi alkaa kuluttamisen sijasta tuottaa yhteiskunnalle jotain. Pakolaisen kohdalla kyse on luultavasti parista vuodesta. Siksi pidän puheita pakolaisten aiheuttamista kansantaloudellisista rasitteista melko kohtuuttomina.
- J. Suurpää, HS 21.4.1991

kgb

  • Globaali kulttuurimarksisti
  • Administrator
  • Jäsen^^^
  • *****
  • Viestejä: 7 073
  • Liked: 5000
  • A spherical bastard
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #198 : 28.10.2020, 15:11:38 »
Mitäs jos vaikka ylläpito ja muutkin keskustelijat keskustelisivat koodaamisesta ja tietoteknisen alan opetuksesta jossain muualla? Terv. Insinööriopinnot kesken jättänyt
Aivoton ja päätön maan johto on
Aivoton ja päätön maan johto on

Ei kun
Päät pois tai hirteen
Päät pois tai hirteen
Päät pois tai hirteen
Sitä mieltä minä oon

Radio

  • Jäsen^^^
  • ***
  • Viestejä: 1 365
  • Liked: 2372
  • Mayday, mayday. Maantievirus matkalla pohjoiseen!
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #199 : 28.10.2020, 16:30:04 »
Homman tietoteknistä osaamista olen aina pitänyt hyvänä.
Myös joillain jäsenillä on näkemystä asiasta.
Uusi ketju vaikka perikseen?
“Life should not be a journey to the grave with the intention of arriving safely in a pretty and well preserved body, but rather to skid in broadside in a cloud of smoke, thoroughly used up, totally worn out, and loudly proclaiming “Wow! What a Ride!”

Ari-Lee

  • Kannatusjäsen
  • Jäsen^^^
  • ****
  • Viestejä: 33 105
  • Liked: 28468
  • Sarkasmoitunut työvoimapulareservi ♂Syyllinen☦
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #200 : 28.10.2020, 16:52:49 »
Esille tulleiden seikkojen tuella, mm. Mikko Hyppösen julkaisemien havaintojen perusteella, olen vieläkin vakuuttunempi rikoksen tekijän olevan vain yksittäinen, erittäin vihainen ja pettynyt Suomen kansalainen. Enkä olisi yllättynyt vaan päinvastoin jos tuo henkilö itse löytyy anastamastaan tietokannasta. Nimikin minulla on mielessä. Pisteet vain yhdistyvät.

Ja näitä tietoturvattomuuksia on Suomi piukkana. Tietoturvattomuus on valtavirtaa. Siihen ei ole mitkään henkilörekisterilait pystyneet. Siihenkin on yksinkertainen selitys. Kaikki yritysten ja yhteisöjen välttämättömät ulkoistetut palvelut on hinnoiteltu ulos jo muutenkin yliraskailla yritysveroilla ja maksuilla. Sama syy kuin työvoimapula massatyöttömyydessä - Ei ole varaa, koska olemme /c auki jokavitunikinen jamppa ja lafka. Toinen syy on tietysti yritysjohdon silkka puhdas ahneus.

Ja kuitenkin ainoa keino edes yrittää välttää näin ikäviä rikoksia olisi ostaa ulkopuolisen tietoturvayhtiön palveluita. Nekään palvelut eivät estä mitään vaan minimoivat riskit.
"Meidän on kaikki, jos meidän on työ:
Nälkälän rahvas, äl' aarteitas' myö!" - Ilmari Kianto 🇫🇮

"Miksi kaikessa keskusteluissa on etsitty kaikki mahdolliset ongelmat heti kättelyssä? "- J.Sipilä

Bronx Zoo

  • Jäsen
  • *
  • Viestejä: 22
  • Liked: 54
  • motherfather
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #201 : 29.10.2020, 20:40:41 »
Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

foobar

  • Jäsen^^^
  • ***
  • Viestejä: 17 738
  • Liked: 30416
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #202 : 29.10.2020, 23:30:34 »
Sain tänään kuulla tarinan jonka puitteissa olisi mahdollista että vuodetut tiedot eivät liittyisikään ulkopuoliseen murtoon vaan firman sisällä ilman johdon lupaa tapahtuneisiin rekisteritietojen käsittelyyn liittyneisiin lainvastaisiin tapahtumiin jotka olisivat johtaneet lopulta aineiston tai sen osien vuotamiseen ulkopuolisille. Minkäänlaista varmuutta narratiivin suhteen ei minulla kuitenkaan ole, mutta toisaalta miksi kiristäjien voisi myöskään olettaa kertovan totuuksia aiheen tiimoilta?
« Viimeksi muokattu: 29.10.2020, 23:32:21 kirjoittanut foobar »
"Avaruudessa kukaan ei voi kuulla moku-ulinaasi" - Rändöm

Melbac

  • Jäsen^^^
  • ***
  • Viestejä: 3 334
  • Liked: 844
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #203 : 30.10.2020, 02:00:35 »
Sosiaali- ja terveysministeriön vastaaja oli helpon salasanan takana – 25-vuotias it-yrittäjä tallensi uuden vastaajaviestin, valtionhallinnossa alkoi laaja selvitys
https://yle.fi/uutiset/3-11621710?origin=rss
Valtionhallinnossa selvitetään tapausta, jossa ulkopuolelta käsin on onnistuttu pääsemään käsiksi sosiaali- ja terveysministeriön puhelinvastaajaan. Tarkastuksen alla ovat myös muut valtion tietojärjestelmät.

Julkisuuteen tapaus tuli torstaina alkuillasta, kun Iltalehti(siirryt toiseen palveluun) kertoi 25-vuotiaan it-alan yrittäjän Steve Peltosen päässeen käsiksi sosiaali- ja terveysministeriön puhelinvastaajan yksinkertaisella salasanalla: 1234.

Peltonen kertoo, ettei kuunnellut vastaajaan jätettyjä viestejä. Sen sijaan hän vaihtoi vastaajaviestin, jossa kertoi kehnon salasanan ja kehotti vaihtamaan sen. Sitten hän tuli toisiin aatoksiin.

– Tajusin, etten halua antaa rikollisille mahdollisuutta ottaa salasanaa haltuunsa ja vaihdoin tilalle uuden viestin, Peltonen perustelee Ylelle.

Peltonen vaihtoi vastaajaan uuden salasanan ja kertoi seuraavassa tallenteessa puhelinnumeronsa, jotta voisi selvittää asian oikean tahon kanssa.

“Hei! Jos joku sosiaali- ja terveysministeriöstä haluaa takaisin pääsyn teidän vastausjärjestelmään, niin soittakaa numeroon…”, Iltalehden kuulema vastaajaviesti alkoi.

Ylen soittaessa sosiaali- ja terveysministeriön vastaajaan kello 20 jälkeen tilalla oli uusi vastaajaviesti, jossa puhelinnumeroa ei kerrottu. Peltonen kertoo saaneensa niin paljon yhteydenottoja siihen mennessä. Ylen soittaessa uudelleen kello 22 maissa, kertoi automaattinen äänite vastaajan olevan täynnä.

Motiivina Vastaamon tietomurto
Peltonen ei itse halua kutsua vastaajaan käsiksi pääsyä murtautumiseksi. Motiivinsa hän kertoo perustuvan viime viikolla julkisuuteen tulleeseen psykoterapiakeskus Vastaamon tietomurtoon, jossa jopa tuhansien terapiakeskuksen asiakkaiden arkaluontoiset yksityisasiat ja henkilötiedot vaarantuivat ja päätyivät kiristyksen välineeksi.

– Kävin läpi muitakin julkisia palveluita ja yksityisiä palveluntarjoajia, mutta niissä turvallisuus oli hoidettu todella hyvin. Ei ollut mitään mahdollisuutta päästä läpi.

Sosiaali- ja terveysministeriön valmiuspäällikkö Pekka Tulokas vahvistaa Iltalehden uutisen paikkaansapitävyyden, muttei ota tarkemmin kantaa yksityiskohtiin, kuten puhelinvastaajan salasanaan.

Hän on ollut illalla myös yhteydessä Peltoseen. Sitä, koituuko tapauksesta Peltoselle seuraamuksia, on Tulokkaan mukaan vielä liian varhaista arvioida.

Peltonen sanoo olevansa myös valmis mahdollisiin seuraamuksiin.

– Jos tästä tulee seuraamuksia minulle, niin tulkoon. Minun mielestäni tämä todistaa ennemminkin sen, että meidän pitäisi laittaa rahaa ja resursseja tietoturvan suojaamiseen.

– On kamalaa, että Vastaamon kaltainen tapahtuma voi olla edes mahdollista.

"Täyttää tietomurron tunnusmerkistön"
Sosiaali- ja terveysministeriön vastaajaviestin ohella vaihtui valtioneuvoston puhelinkeskuksen vaihteessa virka-ajan ulkopuolella palveleva nauhoite.

Tapahtumien kulkua selvittävät tahoillaan valtioneuvoston kanslia, sosiaali- ja terveysministeriö sekä Valtion tieto- ja viestintätekniikkakeskus Valtori.

– Tunnusmerkistö täyttää tietomurron ja tietojärjestelmän tai -liikenteen häirinnän tunnusmerkit ja meidän on tutkittava tapausta tarkemmin. Kyseinen tekijä tai tekijätaho on murtautunut valtionhallinnon järjestelmään ja sen vaikutukset ovat nyt tarkastelussa, sanoo valtioneuvoston turvallisuusjohtaja Ahti Kurvinen.

Kurvinen ei ota kantaa siihen, oliko tekijä Peltonen vai jokin muu taho. Vielä on Kurvisen mukaan myöskin liian aikaista kertoa, onko tietojärjestelmiin yrittänyt murtautua useampia eri tahoja illan aikana.

– Keskeistä on nyt se, että murretut tunnukset ja ne korvanneet uudet tunnukset suljetaan, sekä oikean nauhoitteen palauttaminen. Sen jälkeen on syytä varmistaa, ettei tapahtuneella ole ollut vaikutuksia valtion muihin järjestelmiin.

– Tämän hetken tiedoilla emme voi tietää tarkasti, mitä on tapahtunut. Julkisuudessa esillä on ollut tähän mennessä yksi tarina, Kurvinen sanoo.

Valtori selvittää Kurvisen mukaan käytössä olleita salasanoja ja yksityiskohtia. Tapahtuneesta on ilmoitettu myös keskusrikospoliisille, mutta rikosilmoitusta ei ole ainakan toistaiseksi tehty.

Kurvinen huomauttaa että tapahtumien selvittely on vasta alussa.

– Lähitunteina saadaan varmasti jo tietää enemmän.

Kuinka tyhmiä äijät oikein on?.Ei tollaista kannata mennä tekemään vaan on hiljaa tosta salasanasta ja pistää viesti että vaihtakaa se eikä mennä muuttamaan sitä eikä todellakaan mennä omalla nimellä ottamaan yhteyttä lehtiin ja/tai ilmoita vielä että mikä ns "default" salasana siellä on.Ilmeisesti nämä luulee että toi että ilmoitti tollaisesta on joku "vapauta vankilasta" kortti?.Tosta käsittääkseni tulee syyte(on pakko nostaa koska muuten tekee syyttäjä itse virkarikoksen tms?).

/edit
Tämä ei nyt liity suoraan tohon mutta sivuaa asiaa.
« Viimeksi muokattu: 30.10.2020, 02:11:39 kirjoittanut Melbac »

Rasvari

  • Jäsen^^
  • **
  • Viestejä: 237
  • Liked: 548
  • Entinen keskustelija, nykyinen Venäjän trolli.
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #204 : 30.10.2020, 08:28:27 »
Kuinka tyhmiä äijät oikein on?.Ei tollaista kannata mennä tekemään vaan on hiljaa tosta salasanasta ja pistää viesti että vaihtakaa se eikä mennä muuttamaan sitä eikä todellakaan mennä omalla nimellä ottamaan yhteyttä lehtiin ja/tai ilmoita vielä että mikä ns "default" salasana siellä on.Ilmeisesti nämä luulee että toi että ilmoitti tollaisesta on joku "vapauta vankilasta" kortti?.Tosta käsittääkseni tulee syyte(on pakko nostaa koska muuten tekee syyttäjä itse virkarikoksen tms?).

En tiedä onko kyse tyhmyydestä. Kaveri totesi itsekin ettei välitä seuraamuksista ja halusi nostaa asian esiin.

Pelkkä tekninenkin tietoturva on haastavaa saada
100% pitäväksi ilman ihmillisiä kämmäilyitä. Virheitä voi jäädä järjestelmiin toimenpiteiden yhteisvaikutuksesta vaikka asioihin kiinitettäisiin huomiota. Erityisen hankalaa se on paikoissa jossa on iso ja repaleinen organisaatio ja kaikki tekeminen perustuu vastuiden siirtelyyn ja niillä uhkailuun.

Etiikka kyllä edellyttää ilmoittamaan haavoittuvuudesta järjestelmän omistajalle ja jos vastetta ei kuulu haavoittuvuus yleensä julkaistaan ilman yksityiskohtaisia hyödyntämisohjeita varoituksena muille käyttäjille.

Melbac

  • Jäsen^^^
  • ***
  • Viestejä: 3 334
  • Liked: 844
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #205 : 30.10.2020, 08:37:51 »
Kuinka tyhmiä äijät oikein on?.Ei tollaista kannata mennä tekemään vaan on hiljaa tosta salasanasta ja pistää viesti että vaihtakaa se eikä mennä muuttamaan sitä eikä todellakaan mennä omalla nimellä ottamaan yhteyttä lehtiin ja/tai ilmoita vielä että mikä ns "default" salasana siellä on.Ilmeisesti nämä luulee että toi että ilmoitti tollaisesta on joku "vapauta vankilasta" kortti?.Tosta käsittääkseni tulee syyte(on pakko nostaa koska muuten tekee syyttäjä itse virkarikoksen tms?).

En tiedä onko kyse tyhmyydestä. Kaveri totesi itsekin ettei välitä seuraamuksista ja halusi nostaa asian esiin.

Pelkkä tekninenkin tietoturva on haastavaa saada
100% pitäväksi ilman ihmillisiä kämmäilyitä. Virheitä voi jäädä järjestelmiin toimenpiteiden yhteisvaikutuksesta vaikka asioihin kiinitettäisiin huomiota. Erityisen hankalaa se on paikoissa jossa on iso ja repaleinen organisaatio ja kaikki tekeminen perustuu vastuiden siirtelyyn ja niillä uhkailuun.

Etiikka kyllä edellyttää ilmoittamaan haavoittuvuudesta järjestelmän omistajalle ja jos vastetta ei kuulu haavoittuvuus yleensä julkaistaan ilman yksityiskohtaisia hyödyntämisohjeita varoituksena muille käyttäjille.
No jokainen taplaa tyylillään mutta ei tollaiseen törmätä ellei tieten tahtoen yritä "murtautua" johonkin tietojärjestelmään.Itse olisin jättänyt tekemättä enkä olisi todellakaan yrittänyt edes noihin.Ennen muinoin noihin yritettiin sen nopean netin ja levytilan takia eikä yleensä se mitä siellä oli kiinnostanut porukkaa tippaakaan.Toi tyyppi on vähän kuin tyyppi joka kävelee naapurustossa ja kokeilee jokaista ovea jollain avaimeilla ja jos ovi on auki tai sen saa auki sillä avaimella niin se "hyvää hyvyyttään" kertoo siitä.Jos testataan jotain haavoittuvuutta niin silloin yritetään jotain ihan muuta.
« Viimeksi muokattu: 30.10.2020, 08:41:24 kirjoittanut Melbac »

ikuturso

  • Jäsen^^^
  • ***
  • Viestejä: 16 312
  • Liked: 29379
  • Easter Worshipper
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #206 : 30.10.2020, 09:33:29 »
Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

Niin, että tietomurtojako ei ole tapahtunut vaan varmuuskopion sisältänyt tietokone/kovalevy varastettu?

Vai mihin viittaat? Tällaisesta en ole kuullutkaan.

Sinänsä kuitenkin mielenkiintoista, että tämä Nixu oyj olisi kuitenkin todennut ulkopuolisen tietomurron tapahtuneen? Onko tietomurto hämäystä taholta, jolla oli jo kovalevy taskussa?

-i-
« Viimeksi muokattu: 30.10.2020, 09:38:58 kirjoittanut ikuturso »
Kun joku lausuu sanat, "tässä ei ole mitään laitonta", on asia ilmeisesti moraalitonta. - J.Sakari Hankamäki -
Maailmassa on tällä hetkellä virhe, joka toivottavasti joskus korjaantuu. - Jussi Halla-aho -
Mihin maailma menisi, jos kaikki ne asiat olisivat kiellettyjä, joista joku pahoittaa mielensä? -Elina Bonelius-

justustr

  • Jäsen^^^
  • ***
  • Viestejä: 1 971
  • Liked: 3974
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #207 : 30.10.2020, 09:57:36 »
Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

Psykoterapiakeskuksen tärkein tehtävä on tietosuoja ja nyt näyttää siltä että ex-omistaja on tehnyt miljoonatilin tinkimällä juurikin firman ydintehtävästä. Keskuksella ei ole muuta tehtävää kuin pitää tietoja salassa (terapeuttien koordinointi on toisarvoinen tehtävä tuohon verrattuna) joten voidaan myös todeta, että asiakkaat ovat maksaneet palvelusta, jota he eivät ole saaneet. Kyseessä on siis myös petos.

Mikäli pitää paikkaansa että TJ on tiennyt tietovuodosta jo 2018 ja salannut sen, niin mitään selityksiä ei enää kaivata. Kovin mahdollinen rangaistus on ansaittu aina henkilökohtaisesta vararikosta lähtien. Toivottavasti joukkokanne saadaan mahdollisimman nopeasti pystyyn.

 
« Viimeksi muokattu: 30.10.2020, 10:04:49 kirjoittanut justustr »

foobar

  • Jäsen^^^
  • ***
  • Viestejä: 17 738
  • Liked: 30416
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #208 : 30.10.2020, 10:02:15 »
Minä en näe Villen yrittämisessä suurta ongelmaa.

Ei ole perustavanlaatuinen vika järjestelmässä se, että backup tietoväline pöllittiin.

Suuri tuki Villelle, äidilleen ja muille jotka koittavat omin käsin itse tehdä. Respekt.

Niin, että tietomurtojako ei ole tapahtunut vaan varmuuskopion sisältänyt tietokone/kovalevy varastettu?

Vai mihin viittaat? Tällaisesta en ole kuullutkaan.

Sinänsä kuitenkin mielenkiintoista, että tämä Nixu oyj olisi kuitenkin todennut ulkopuolisen tietomurron tapahtuneen? Onko tietomurto hämäystä taholta, jolla oli jo kovalevy taskussa?

-i-

Sekään että ulkopuolinen tietomurto olisi tapahtunut ei tarkoita suoraan sitä että nyt levitetty aineisto olisi välttämättä tällaisesta murrosta peräisin.
"Avaruudessa kukaan ei voi kuulla moku-ulinaasi" - Rändöm

ikuturso

  • Jäsen^^^
  • ***
  • Viestejä: 16 312
  • Liked: 29379
  • Easter Worshipper
Vs: Vastaamon potilastietoihin kohdistunut tietomurto
« Vastaus #209 : 30.10.2020, 11:52:23 »

Sekään että ulkopuolinen tietomurto olisi tapahtunut ei tarkoita suoraan sitä että nyt levitetty aineisto olisi välttämättä tällaisesta murrosta peräisin.

No sehän nyt kruunaisi kaiken, että firmaan olisi murtauduttu pari kertaa netin kautta ja henkilökunta kantaisi lisäksi backup-levyjä toisesta ovesta pihalle.

Kuulostaa loistavalta.

-i-
Kun joku lausuu sanat, "tässä ei ole mitään laitonta", on asia ilmeisesti moraalitonta. - J.Sakari Hankamäki -
Maailmassa on tällä hetkellä virhe, joka toivottavasti joskus korjaantuu. - Jussi Halla-aho -
Mihin maailma menisi, jos kaikki ne asiat olisivat kiellettyjä, joista joku pahoittaa mielensä? -Elina Bonelius-

Tagit: