Vastaamon potilastietoihin kohdistunut tietomurto

[haermae]

Sanotaan, että jonkun kaveri käy katsomassa hänen tuntemansa henkilön terapiatietoja ja sitten huomaa, että hetkinen minähän olen näissä mukana ja mitä henkilö minusta on sanonut, ei ole kovin mukavaa. Silloin voi olla aika varma, että tiedot ovat oikeita, koska joku fantasiakirjailija tuskin voisi luoda oikeita tapahtumia. Minulla ei siis ole tietoa, että onko tiedot totta vai ei, mutta lähden siltä linjalta, että ne ovat totta. Ja siksi sanoin, että nyt näyttää pahalta näiden henkilöiden osalta.

Sanottakoon vielä kerran, että minulla on sympatiat näitä uhreja kohtaan, olivatpa he mitä tahansa. Minä en levitä tai omaa mitään tietoja kenestäkään.

Tragediat henkilöiden lähipiirissä toki ovat mahdollisia, jos lukijat tunnistavat henk.koht. asioita.

Itse ajattelin vähän laajemmassa mittakaavassa. Tyyliin mehustelu julkisuuden henkilöiden terapiaistuntojen taltioinneilla. Jotka voivat olla silkkaa satua.
Tavisten terapiat eivät liene kovin kiinnostavia laajemmassa mittakaavassa. Kimiräikkösiä ja sensemmoisia IP-lehdistä tuttuja sieltä haetaan.

Kuka edes jaksaa pollata viikko-kuukausikaupalla, että mahtaako se työkaveri jo olla julkaistujen tietojen listalla.

[Skeptikko]

Sain tänään kuulla tarinan jonka puitteissa olisi mahdollista että vuodetut tiedot eivät liittyisikään ulkopuoliseen murtoon vaan firman sisällä ilman johdon lupaa tapahtuneisiin rekisteritietojen käsittelyyn liittyneisiin lainvastaisiin tapahtumiin jotka olisivat johtaneet lopulta aineiston tai sen osien vuotamiseen ulkopuolisille.

Tulee tuollaisesta mieleen tarkoituksellinen hyökkääjä talon sisältä tai sitten vahingossa vuotaminen. Talon sisäiset hyökkääjät eivät ole aivan tuntematon ilmiö. Muistaakseni esimerkiksi Suomessa oli joitain vuosia sitten julkisuudessa tapaus, missä muistaakseni luottokorttifirman (?) sisäinen hyökkääjä yritti esiintyä ulkopuolisena verkkohyökkääjänä ja rikollisnerona hyödynsi naapurinsa langatonta lähiverkkoa yrittääkseen peittää jälkiään. Toki hyökkäys on voitu tehdä niin, ettei verkon kautta ole tehty mitään. Oli kyse sitten tietomurrosta tai vaikka jostain arvoesineiden varkaudesta tai ryöstöstä, niin sisäpiirin tietoihin pääsevällä taholla on hyödyllisiä tietoja turvajärjestelyistä ja niiden puutteista. Lisäksi tällainen henkilö voi tarkoituksella edesauttaa hyökkääjää muutenkin kuin tietoja antamalla pääsemään sisään.

Vahingossa vuotamisista tulee mieleen mm. aikoinaan vahingossa tiedostonjakopalveluihin tms päätyneitä salaisiksi tarkoitetuja tiedostoja tai vaikkapa salaamattoman USB-tikun tai levyn unohtaminen jonnekin julkiselle paikalle. Tällaisia on tainnut tapahtua monissa maissa mm. puolustusvoimien edustajille tai muita vastaavia arkaluonteisia tietoja käsitteleville virkamiehille. Kyllähän kaikenlaista sattuu. Tulee mieleen eräskin neuvostoliiton vakooja, joka Yhdysvalloissa vahingossa maksoi ostoksensa salakätkön sisältävällä ontolla kolikolla ja epäonnisten sattumienm, juopottelun ja muun typeryyden jälkeen onkin sitten historiaa.

[ikuturso]

Nostetaanpa hommalla tätä aihetta.

Tavara on nyt levällään, jotkut maksaneet lunnaita.

Onko levittäjä tai levittäjät alkuperäinen hakkeri vai jotkut ihmiset, jotka ovat ehtineet ladata koko paketin silloin kun se oli hetken saatavilla?

Mielenkiintoisinta tässä on se, että kuulin ensin uutisen toimitusjohtajan ja hallituksen puheenjohtajan eroilmoituksesta ja vasta sitten melko välittömästi uutisen tämän paketin hallitsemattomasta leviämisestä netissä?

Oliko nykyistä toimaria kiristetty? Oliko hän kieltäytynyt maksamasta tai paennut vastuuta eroamalla? Johtuiko aineiston jakaminen uudesta toimitusjohtajasta? Liittyykö syrjäytetty entinen toimitusjohtaja vuotoon?

Tai sitten kaikki on sattumaa, jotka ovat kaksi toisiinsa törmännyttä aikasäiettä, jotka on kirjoitettu jo alkuräjähdyksessä.

-i-

[foobar]

Vastaamo on asetettu tänään aamulla selvitystilaan (joka oli odotettavissa huhupuheiden perusteella jo aika tovi sitten). Todennäköinen syy ovat GDPR-riskit, veikkaan minä.

[justustr]

Tämän kanssa käy vähän niinkuin aavistelin joa alussa. Kohua viikon verran ja klikkiotsikoita sen jäkeen tautellaan tapaus hiljaisuuteen. Ei tämä ensimmäinen kerta ole kun potilastiedot vuotavatt, normihomma julkisella puolella eikä niistä jakseta enää edes uutisoida.

Ööö, normihomma että potilastiedot vuotaa? Onko todisteita moiselle?

[foobar]

Vastaamo on haettu tänään odotusten mukaisesti konkurssiin.

[Torspo]

Vaikka lähtökohtaisesti kiristyksiin ei kannata vastata, niin vanhan toimarin olisi luullut vaikka kulissien takana hoitaneen bitcoinien siirron. Kaupasta hän kuitenkin lähipiireineen kuittasi melkein 10 miljoonaa ja kiristyssumma oli alle puoli miljoonaa.

Riskinä olisi ollut menettää vajaa puoli miljoonaa ja päätyä nykytilaan. Toisena vaihtoehtona olisi ollut saada homma lakaistua maton alle ja pitää miljoonat. Nyt rahat ovat hukkaamiskiellossa ja todennäköisesti jouduttava palauttamaan korkoineen firman ostajalle. Kun koko tietokanta julkaistiin ei yrityksellä ollut mitään toiminnan jatkamisen mahdollisuutta.

[Melbac]

https://www.is.fi/digitoday/tietoturva/art-2000007971215.html
USA:n polttoainejakeluun iskeneet venäläishakkerit katuvat tekojaan – ”Emme halua aiheuttaa yhteiskunnalle ongelmia”

https://www.is.fi/digitoday/tietoturva/art-2000007920483.html
Haittaohjelman yllättävä vaikutus: Juustoista tuli pulaa Hollannissa

Noita nyt näkyy tapahtuvan vähän enemmänkin maailmalla.Toi öljyputki juttu oli omasta mielestä vähän vikatikki koska nyt niitä oikeasti etsitään.Tossa ei taida enää olla kyse rahasta ja jos itse olisin tollaista tehnyt niin pelkäisin henkeni puolesta.Noiden elämä voisi olla vähän nihkeää jos joku lupaisi tietyn summan rahaa tyypeistä kuolleina.Joku vasikoi kaverisi niin saat elää sekä saat pitää rahat juttu vielä tollaiseen uhkaukseen.

[jmk]

https://www.is.fi/digitoday/tietoturva/art-2000007971215.html
USA:n polttoainejakeluun iskeneet venäläishakkerit katuvat tekojaan – ”Emme halua aiheuttaa yhteiskunnalle ongelmia”

https://www.is.fi/digitoday/tietoturva/art-2000007920483.html
Haittaohjelman yllättävä vaikutus: Juustoista tuli pulaa Hollannissa

Noita nyt näkyy tapahtuvan vähän enemmänkin maailmalla.Toi öljyputki juttu oli omasta mielestä vähän vikatikki koska nyt niitä oikeasti etsitään.Tossa ei taida enää olla kyse rahasta ja jos itse olisin tollaista tehnyt niin pelkäisin henkeni puolesta.Noiden elämä voisi olla vähän nihkeää jos joku lupaisi tietyn summan rahaa tyypeistä kuolleina.Joku vasikoi kaverisi niin saat elää sekä saat pitää rahat juttu vielä tollaiseen uhkaukseen.

Idioottimaista on myös rakentaa öljyputken kaltaisten yhteiskunnan kriittisten infrakomponenttien tietojärjestelmät niin, että hakkereilla on edes tilaisuus yrittää päästä niihin käsiksi. "Kun helpointa on heittää ne tonne avoimeen intternettiin, mitä ongelmia siitä nyt muka tulis." Sama ajattelutapa on nykyään vallalla joka saakelin härvelissä voimaloista vaaleihin.

Juu ja ei tarvitse kertoa Stuxnetistä. Kyllähän eristettyihinkin järjestelmiin tehdään hyökkäyksiä mutta se on monta kertaluokkaa vaikeampaa.

[ikuturso]

Kun radiossa sanottiin, että Vastaamon potilastietonsa saa nyt hakea KELA:sta, niin ensimmäiseksi tuli mieleen, että KELA:n tädit on käyneet TOR-verkossa kalassa.

Vasta sitten aivot naksahtivat sille linjalle, että ehkäpä potilastiedot on avattu valtiolliselle toimijalle, kun yksityinen terveysalan putiikki painuu konkurssiin. Olihan niitä potilastietoja KELA:lla kai aika paljon enemmän, kuin mitä vuodossa kerrottiin hakkereiden saaneen.

Mutta hauska tuo intuitio ja ensimmäinen ajatus.

-i-

[Skeptikko]

Tor-verkkoon ilmestynyt Vastaamo-hakukone paljastaa potilastiedot
https://www.is.fi/digitoday/tietoturva/art-2000008200963.html

PIMEÄN internetin Tor-verkkoon on ilmestynyt hakukone, joka mahdollistaa hakujen tekemisen koko Vastaamon potilastietokannasta.

Tämä tarkoittaa sitä, että ihmisiä on mahdollista hakea tietokannasta esimerkiksi nimellä, paikkakunnalla tai postinumerolla. Hakukone näyttää haun jälkeen käyttäjälle Vastaamon asiakkaan terapiatiedot.
...
F-Securen tutkimusjohtaja Mikko Hyppösen mukaan hakukone on ollut verkossa ainakin kaksi kuukautta. Sen tekijä ei ole tiedossa, mutta F-Secure epäilee, ettei kyseessä ole alkuperäinen kiristäjä.

– Kyseessä on joku, joka haluaa vahingoittaa, Hyppönen sanoo.
...
VASTAAMO-TUTKINNAN johtajan, rikosylikomisario Marko Leposen mukaan hakukoneen julkaisija voi syyllistyä yksityiselämää loukkaavan tiedon levittämiseen tai sen törkeään tekomuotoon.

Myöskään tietojen katseleminen ja hakukoneen käyttäminen ei ole ongelmatonta.

– Kuten poliisi on aiemminkin todennut, salassa pidettävien tietojen käsittelemiseksi laissa on määritelty tietyt kriteerit, jotka käsittelijän tulee täyttää. Se, että tiedot laittomasti saatetaan luettavaksi, ei tee näiden tietojen katselusta taikka keräämisestä (lataamisesta) hyväksyttävää. Tällaisesta toiminnasta tulisi siis ehdottomasti pidättäytyä, Leponen sanoo.

[Skeptikko]

Vastaamon tietomurron uhrien henkilötietoja on alettu hyödyntää tilauspetoksissa – Poliisi: ”Uusi, huolestuttava ilmiö”
https://www.hs.fi/kotimaa/art-2000008606428.html

POLIISIN mukaan Vastaamon tietomurron uhrien henkilötietoja on alettu käyttää luvattomasti tilauspetosten ja muiden rikosten tekemisessä.

Poliisin havaintojen mukaan tähän mennessä identiteettivarkauden uhriksi on joutunut ainakin noin sata henkilöä. Tapauksia voi todellisuudessa olla enemmän.

”Vastaamo-tietomurtoon liittyneen esitutkinnan alusta lähtien poliisissa on seurattu aktiivisesti, alkavatko rikolliset hyödyntää tietovuodon uhrien henkilötietoja esimerkiksi petosten tekemiseen. Valitettavasti olemme nyt havainneet, että tällaisia liitännäisrikoksia on alkanut esiintyä. Ilmiö on erityisen vastenmielinen, koska jo kertaalleen rikoksen uhriksi joutuneita ’lyödään’ uudelleen”, kertoo Vastaamon tietomurtotapauksen tutkinnanjohtaja Marko Leponen blogikirjoituksessaan.
...
Hän kertoo HS:lle, että uhrien henkilötiedoilla on kirjauduttu muun muassa kauppapaikkapalveluihin, joissa voidaan myydä tavaroita tai hankkia hyödykkeitä. Tietoja on pyritty hyödyntämään myös pikavippien ottamisessa.

Suuri osa tietojen hyväksikäytöistä on tapahtunut sellaisissa palveluissa, joiden tunnistautumisessa käytetään esimerkiksi henkilötunnusta eikä niissä ole käytössä vahvaa tunnistautumista.

MAHDOLLISET petokset voivat aiheuttaa uhreille kustannuksia. Vaikutusten laajuus saattaa tulla ilmi vasta pitkän ajan kuluttua rikoksen varsinaisen tapahtumisajan jälkeen.

Jos palvelussa ei käytetä vahvaa tunnistautumista, niin saisivat kärsiä palveluntarjoajat huijausten vahingon kokonaisuudessaan, jos eivät huijareita tavoita, oli kyse sitten Vastaamon asiakkaista tai muista. Kannustaisi paremin hoitamaan palvelunsa kuntoon.

[pyrokatti]

Vastaamon tietomurron uhrien henkilötietoja on alettu hyödyntää tilauspetoksissa – Poliisi: ”Uusi, huolestuttava ilmiö”
https://www.hs.fi/kotimaa/art-2000008606428.html

Jos palvelussa ei käytetä vahvaa tunnistautumista, niin saisivat kärsiä palveluntarjoajat huijausten vahingon kokonaisuudessaan, jos eivät huijareita tavoita, oli kyse sitten Vastaamon asiakkaista tai muista. Kannustaisi paremin hoitamaan palvelunsa kuntoon.

Millä perusteella yritykset pystyvät perimään laskuja jos tunnistaminen on tehty pelkästään henkilötunnuksella? Yritys voi vapaasti myydä tavaroita ja palveluja tuntemattomille laskua vastaan, mutta jos tuntematon ei maksa laskuaan, se on yrityksen oma päänsärky. Lisäksi jos siitä aihetuu kolmannelle osapuolelle kuluja tai vaivaa, yrityksen pitäisi olla korvausvelvollinen.

Jos laissa on jotain epäselvyyttä asian suhteen, niin sen voisi kaiketi helposti korjata lisäämällä sopivaan lakiin maininnan siiitä, että henkilötunnus ei kelpaa henkilön tunnistamiseen; juristilatinaksi käännettynä.

[ikuturso]

Kuulin ihmiseltä, joka joskus käy joutessaan TOR-verkon puolella, että koko vastaamon tietokanta on siellä edelleen kokonaisena kenen tahansa luettavissa.

-i-

[pyrokatti]

Henkilötunnuksen käytön kieltämisestä tunnistamiseen on luotu kansalaisaloite. Jostain syystä kieltoa ei ole henkilötunnuksen osalta hallituksen esityksessä mukana.

Perustelut

Henkilötunnus on yksilöintitunniste. Silti henkilötunnusta käytetään edelleen laajasti luonnollisten henkilöiden tunnistamiseen, vaikka sitä ei ole siihen tarkoitettu. Henkilötunnuksen käsittelyyn liittyy paljon väärää tietoa. Sitä käytetään salasanan omaisesti, vaikka se ei ole salainen.

Lokakuussa 2020 julkisuuteen tuli psykoterapiakeskukseen kohdistunut tietomurto. Tämä toi suuren yleisön tietoon myös ne ongelmat, jotka liittyvät henkilötunnuksen käyttöön tunnistamistarkoituksessa. Henkilötunnuksen haltuun saanti mahdollistaa edelleen helpon identiteettivarkauden, luottopetoksen ja tilauspetoksen tekemisen. Tätä ei saisi tapahtua.

Henkilötunnuksen arvo rikollisten tekojen välineenä laskisi huomattavasti, jos henkilötunnuksen käyttö henkilöllisyyden todentamiseen kiellettäisiin lainsäädännössä.

Useat asiantuntijat kannattavat henkilötunnuksen käytön kieltämistä henkilöllisyyden todentamiseen. Henkilötunnusjärjestelmän uudistamista koskevan hallituksen esityksen luonnos on nyt lausuntokierroksella. Esitysluonnoksessa on monia muutosehdotuksia, mutta henkilötunnuksen käyttöä henkilöllisyyden todentamiseksi ei olla rajaamassa. Uuden henkilötunnuksen rinnalle tulevan yksilöintitunnuksen kohdalla näin on kuitenkin tehty. Myös henkilötunnuksen käyttö henkilöllisyyden todentamiseksi tulee kieltää ja siksi tämä kansalaisaloite on tarpeen.

[totuuspuheasiamies]

Poliisi epäilee Vastaamon tietomurron johtuneen työntekijöiden törkeästä huolimattomuudesta tai tahallisuudesta

[...]

Tietomurron ja kiristyksen lisäksi KRP on tutkinut Vastaamon työntekijöiden osuutta tietojen vuotamiseen. Leposen mukaan asiassa tehdään viimeisiä kuulusteluja, ja näillä näkymin asia siirtyy lokakuussa syyttäjälle. Tietosuojarikoksesta epäillään alle viittä henkilöä.

–  Poliisin epäilys tässä vaiheessa on tahallisuuden ja törkeän huolimattomuuden välillä. On syyttäjän tehtävä katsoa, vastaako se lopulta myös hänen näkemystään.

https://www.is.fi/digitoday/tietoturva/art-2000008956543.html

[totuuspuheasiamies]

Vastaamon tietomurto: kolmea epäillään törkeistä rikoksista

Keskusrikospoliisi (KRP) epäilee tietosuojarikoksia Vastaamon tietomurtoon liittyen.

KRP on saanut valmiiksi tietomurtoon liittyvän esitutkinnan. Asia etenee syyteharkintaan kolmen epäillyn osalta. Heitä epäillään tietosuojarikoksesta.

KRP:n rikoskomisario Marko Leponen kertoo, että tutkinnassa on selvitetty, missä kunnossa Vastaamon tietoturva ja tietosuoja ovat olleet henkilötietojen ja arkaluonteisten tietojen osalta ennen ja jälkeen yritykseen kohdistunutta tietomurtoa.

Esitutkinnassa on myös kuultu useita todistajia ja pyydetty lausuntoja tietoturva-asiantuntijoilta.

[...]

https://www.iltalehti.fi/kotimaa/a/13c2111d-6e12-40a8-a242-9f7312c34c5a

[totuuspuheasiamies]

Vastaamon ex-toimitusjohtaja Ville Tapiota syytetään tietosuojarikoksesta

Vastaamon entistä toimitusjohtaja Ville Tapiota vastaan on nostettu syyte tietosuojarikoksesta. Haastehakemus on toimitettu Helsingin käräjäoikeuteen.

[...]

Poliisin mukaan Vastaamon tietokannassa oli noin 33 000 ihmisen tiedot. Noin 22 000 ihmistä on tehnyt asiassa tutkintapyynnön, ja noin 6 000 on antanut täydentävän lausuman.

https://www.is.fi/digitoday/tietoturva/art-2000009096535.html

[totuuspuheasiamies]

Vastaamon IT-työntekijät välttyivät syytteeltä – tietoturva retuperällä: ”Piraattiversio, ilman ostettua lisenssiä”

[...]

Tiistaina julkitulleiden asiakirjojen mukaan Vastaamon tietoturva olisi ollut jopa vuosia retuperällä. Erään todistajan mukaan yhtiön tietoturvaohjelmistot ja palomuurit toimivat minimitasolla. Se ei ollut hänen mielestään riittävää, koska yhtiön palvelimilla oli arkaluonteista sisältöä.

Yhden vanhan työntekijän mukaan Vastaamon tietoturvaan ja it-infrastruktuuriin oli panostettu taloudellisesti ja resurssein hyvin vähän, jos edes sitäkään. Ex-työntekijän mukaan Vastaamolla mentaliteetti oli ollut, että ”tehdään sitten, kun on pakko”.

Yhden todistajan mukaan myös it-budjetti oli aivan liian pieni. Hänen mukaansa yhtiöön hankittiin lähinnä ilmaisia työkaluja. It-arkkitehtuurin kannalta kriittinen järjestelmä oli esimerkiksi laiton versio.

[...]

Poliisin esitutkinnan mukaan yhtiössä oli havaittavissa marraskuun 2017 ja syyskuun 2020 välisenä aikana noin 40 tietoturvapoikkeamaa. Poliisin mukaan Tapio ja yhtiön it-osasto olivat poikkeamista pääsääntöisesti tietoisia.

– Erityisesti esille on otettu Vastaamossa käytössä olleet heikot salasanat ja niiden jakaminen salaamattomana, syyttäjän laatimassa asiakirjassa kirjoitetaan.

[...]

https://www.is.fi/digitoday/tietoturva/art-2000009097454.html

[ikuturso]

Nyt olisi yksi hakkeri vangittu poissaolevana.

Julius Kivimäen nimi ollut julkisuudessa. Kuuluisa teinihakkeri. Nykyään näyttäisi olevan 25v.


MUOKS: Tuolla muutama twiitti, jossa kiistää kaiken:
https://gekkonen.net/julius-kivimaki-kiistaa-vastaamo-tietomurron-twitter-291022/

Syytteessä ollut toimitusjohtajakin käynyt tykkäämässä Kivimäen twiiteistä.

Asianajaja on vahvistanut iltapäivälehdille tämän tilin aitouden.

— Aleksanteri Kivimaki (@AlexKivimaeki) October 28, 2022

-i-

[Circus Hypno]

Kivimäki jäi muuten hiljan kiinni Ranskassa. Yritti kyllä pyristellä karkuun esittämällä romanialaiset henkkarit.

Nyt hän on Vantaalla lukkojen takana.

https://www.is.fi/digitoday/art-2000009417305.html

MASSIIVISESTA psykoterapiakeskus Vastaamon tietomurrosta epäilty 25-vuotias Julius Kivimäki on tuotu Suomeen.

Hänen asianajajansa Peter Jaari kertoi lauantaina Ilta-Sanomille, että Kivimäki on parhaillaan Vantaan vankilassa.

Nykyisin hän käyttää nimeä Aleksanteri Kivimäki.

Vuonna 1997 syntynyt Kivimäki otettiin kiinni Ranskassa helmikuun alussa tavanomaisen poliisitehtävän yhteydessä. Mediatietojen mukaan poliisi oli kutsuttu paikalle asuntoon Courbevoiessa perheväki­valta­epäilyn vuoksi.

Pidätyshetkellä Kivimäki käytti väärää henkilöllisyys­todistusta.

– Hän käytti henkilöllisyyttä Asan Amet. Hänellä oli tällä nimellä romanialainen passi ja henkilökortti, Versaillesin muutoksen­haku­tuomio­istuimen julkis­asiamies Sophie Gulphe-Berbain kertoi Ilta-Sanomille 8. helmikuuta sähköpostitse.

– Poliisille selvisi, että tutkittava yksilö esitti väärän henkilöllisyys­todistuksen. Hänen oikea henkilöllisyytensä oli suomalaisen karkulaisen, Ranskan etsintä­kuulutettujen tutkinta­osastoa johtava poliisi­komentaja Guillaume Lacassin puolestaan sanoi.

KIVIMÄKI vietti kaksi viikkoa pahamaineisessa Bois d’Arcyn rangaistus­keskuksessa lähellä Pariisia.

..

Ei todellakaan käy kateeksi häntä. Voin kuvitella hänen olevan sen verran vihattu tyyppi tällä hetkellä, että saanee kuikuilla olkansa yli pitkän tovin linnareissun jälkeenkin. En ihmettele, vaikka lopunikänsä.

[totuuspuheasiamies]

[...]

Psykoterapiakeskus Vastaamon tietoturvassa oli useita ja merkittäviä puutteita. Keskusrikospoliisin esitutkinnassa selvisi, että ulkopuolinen hyökkääjä käytti hyväkseen tietoturvapuutteita, ja sai näin haltuunsa kymmenien tuhansien suomalaisten arkaluontoisia potilastietoja.

[...]

Tämän jälkeen kyberturvakonsultointiyhtiö Nixu selvitti Vastaamon tietoturvaa. Paljastui, että yrityksen tietokannan käyttäjätunnus ja salasana olivat olleet käytössä vuodesta 2012 alkaen. Käyttäjätunnuksen ”vastaamo” salasana oli sjuka66, kun taas käyttäjälle ”root” ei ollut lainkaan salasanaa.

[...]

Ainakin toimitusjohtaja Ville Tapiolla oli tunnuksillaan pääsy potilastietoihin, vaikka omavalvontasuunnitelman mukaan näin ei pitänyt olla.

[...]

Heikkojen salasanojen ja muutenkin retuperällä olleen tietoturvan kanssa yhdessä yksi merkittävä syy tietomurrolle oli avoin tietoliikenneportti.

Normaalisti potilastiedot olivat suljetun yhteyden takana, mutta loppuvuonna 2017 toinen IT-työntekijöistä pyysi avaamaan tietoliikenneportin. Portti oli avoinna puolitoista vuotta.

[...]

https://www.iltalehti.fi/digiuutiset/a/570fb111-a558-486f-bc14-74f7f22f4ff4

[...]

Syyttäjä Pasi Vainion mukaan Tapio oli joko tahallaan tai törkeästä huolimattomuudesta laiminlyönyt Vastaamon tietoturvan, tietosuojan ja yrityksen hallussaan pitämien henkilötietojen käsittelyn turvallisuuden.

[...]

Syyttäjä esitti myös, että Tapio olisi pyrkinyt salaamaan tietomurrot viranomaisilta.

Vastaamon panostuksista tietoturvaan kertoi syyttäjän mukaan karua kieltä esimerkiksi se, että yrityksen toimintakertomuksissa järjestelmän kehittämiseen käytettiin vuosina 2016–2018 yhteensä noin 400 euroa. Lisäksi syyttäjä soimasi yrityksen palomuurien tilaa.

– Palomuuri ei kontrolloinut liikennettä palvelimelle millään tavalla, vaan se päästi kaiken liikenteen läpi, Vainio sanoi.

[...]

Oikeudenkäynnin tauolla syyttäjä Vainio kertoi syyttäjien vaativan Tapiolle vankeusrangaistusta, mutta hän ei ottanut kantaa rangaistuksen pituuteen. Kirjallisessa haastehakemuksessaan syyttäjät esittävät, että Tapio on tuomittava tuntuvaan sakkorangaistukseen tai ehdolliseen vankeusrangaistukseen.

[...]

https://www.is.fi/digitoday/art-2000009428490.html

Kymmenien tuhansien potilaiden arkaluontoisten tietojen altistaminen tietomurrolle ei johda edes minuutin mittaiseen kiven sisässä istumiseen. Psykoterapiapuljun tai muun terveyspalveluorganisaation johto voi ilmankin hakkeria lukea uhriensa salaisuuksia eikä joudu tiilenpäitä lukemaan. Yksityisyydensuojaa ei ole.

[Äpyli]

Kymmenien tuhansien potilaiden arkaluontoisten tietojen altistaminen tietomurrolle ei johda edes minuutin mittaiseen kiven sisässä istumiseen. Psykoterapiapuljun tai muun terveyspalveluorganisaation johto voi ilmankin hakkeria lukea uhriensa salaisuuksia eikä joudu tiilenpäitä lukemaan. Yksityisyydensuojaa ei ole.

Juu, käsittämätöntä. Melkoinen sankari tämä toimitusjohtaja. Mitään ei omassa toiminnassa mennyt vikaan, alaisten vika. Väitetysti vielä peitteli tapahtunutta taloudellisin motiivein ja kyllähän se petokselta maallikon nenään haiskahtaa, kun on pimitetty olennaisia tietoja ennen yritysmyyntiä.

Kaikki tämä käsittämätön leväperäisyys vieläpä alalla, jossa tietoturvan vaatimukset eivät voi tulla ullatuksena, koska koko alan perustana on luottamuksellisuus ja lakitekstistäkin löytyy muistutuksia asiasta. Tietoturvan kannalta tosiaan aivan kaikki tehty päin helvettiä. Mutkun ne alaiset.

[P]

No eivät ne alaisetkaan olleet penaalin terävimpiä kyniä. Olisi luullut, että järjestelmästä vastaavat olisivat hoitaneet nuo perushommat kuntoon.

Ja yksi IT-työntekijöistä avasi portin auki näkymään julkisesti vuosiksi. Sellainen "pikku virhe".

Ei taida ",Vastaamo" CV:ssä tuoda uusia IT-toitä.

Toimitusjohtajan piikkiin menee, että oli ilmeisesti valmis vain maksamaan banaaneilla, niin sai duunareiksi apinoita?

[Melbac]

No eivät ne alaisetkaan olleet penaalin terävimpiä kyniä. Olisi luullut, että järjestelmästä vastaavat olisivat hoitaneet nuo perushommat kuntoon.

Ja yksi IT-työntekijöistä avasi portin auki näkymään julkisesti vuosiksi. Sellainen "pikku virhe".

Ei taida ",Vastaamo" CV:ssä tuoda uusia IT-toitä.

Toimitusjohtajan piikkiin menee, että oli ilmeisesti valmis vain maksamaan banaaneilla, niin sai duunareiksi apinoita?

Tainnut mennä niin että it tyypit on toistuvasti pyytäneet asioita ja tj on aina kieltäytynyt asioista koska maksaisi rahaa?.Noi vastaamon pj:n tapaiset tyypit on _vähän_ haluttomia maksamaan lisenssejä softista.Tossa voi olla myös se että noi äijät ei ole tienneet asiasta tai sitten ollut joku "älä koske ettet riko mitään" juttu eli jos se toimii niin ei saa koskea,jos ne olisi sulkenut noi portit niin silloin ne ei olisi voineet tarkistaa asioita kotoa tms eikä ne ole halluneet asennella mitään softia kotikoneeseensa.Tuskin toi asia on noin yksinkertainen vaan siellä voi olla paljon muutakin eikä noi tietokone jutut ole mitään autosta on rengas puhki joten vaihdan sen.Toi tollainen ei ole mitään uutta eikä ensimmäinen kerta ja tuskin vikakaan.,tollaisten takia porukka juuri scannailee portteja.

/offtopic
Tuolla murha.infossa on juttua tosta miten noi on tehty,ei salattua yhteyttä serveriin,kotikoneita salaamattomia yhteyksiä serveriin ja koska helppous(todennäköisesti työntekijöiden vaatimuksesta) niin salasanat kaikissa samat yms.Toi pj on ollut tietoinen noista mutta ei ole tehnyt asialle mitään.Noi it-tyypit ei muuten saaneet mitään syytteitä joka kertonee siitä etteivät olleet tehneet mitään rikollista.

[P]

^No salasanojan vaihtaminen tai yleensä asettaminen ei maksa mitään. Eikä se, että joku idiootti avaa portin näkyväksi julkisesti ja jattää sen auki vuosiksi...

Ihan täyttä perseilyä se on ollut niiden duunareidenkin osalta.

[Melbac]

^No salasanojan vaihtaminen tai yleensä asettaminen ei maksa mitään. Eikä se, että joku idiootti avaa portin näkyväksi julkisesti ja jattää sen auki vuosiksi...

Ihan täyttä perseilyä se on ollut niiden duunareidenkin osalta.

Vastaamon Malmin toimipisteessä luotiin vuonna 2012 työasemille salasana ”malmi70” – sitten sitä käytettiin kaikkialla vuosien ajan
https://yle.fi/a/74-20020562

"Rikoksesta epäiltynä kuultu IT-työntekijä kertoi, että hän, muut IT-työntekijät ja toimitusjohtaja Ville Tapio käyttivät tietokantaa yhteisillä käyttäjätunnuksilla. Käyttäjätunnusta ja salasanaa ei vaihdettu käytännössä koskaan, ja se oli ollut käytössä vuodesta 2012."

"Toinen rikoksesta epäiltynä kuultu tietoturva-asiantuntija kertoi, että yhtiön tietohallintokonsepti oli sellainen, että oli täysin mahdotonta vaihtaa käyttäjätunnuksia ja salasanoja, koska se olisi aiheuttanut kaaoksen toimipisteissä. Hänen mukaansa jokaisessa työasemassa oli sama salasana, jota käytettiin myös hälytysjärjestelmissä ja koodisanana vartiointiliikkeille.

Kuulusteltu arveli, että salasanan olivat aikoinaan määritelleet omistajat, jotka aloittivat työt ensimmäisellä toimipisteellä Malmilla.

Torstaiaamuna syyttäjä luki Helsingin käräjäoikeudessa Ville Tapiolle syytteen tietosuojarikoksesta. Syyttäjän mukaan Tapio ei ilmoittanut tietokannan murrosta viranomaisille vaan salasi sen ilmoittamalla sen käyttökatkokseksi ja huolloksi."


Lue koko juttu.Siinä ei jotkut it-työntekijät voi tehdä mitään jos pj sanoo ettei mitään saa tehdä.

/offtopica
Kannattaa muistaa että vpn on hidas eikä kaikkialle ole ollut saatavilla tolloin nopeampia yhteyksiä niin toi suojaamaton yhteys on ollut ehkä sillä hetkellä helpoin vaihtoehto.2012 ilmestyi windows 8 ja android 4.1 jelly beam.Intelillä oli i7-2700k ja amd:llä ekat Bulldozer fx prossut.Nopein yhteys mitä saanut tonne tainnut olla joku adsl?.

/edit
Se että joku portti on ollut auki etäyhteyttä varten taitaa olla yhdentekevää jos noiden tunnukset ja salasanat on ollut tiedossa?.Se että "portti" on auki firewallista ei tarkoita sitä että kone olisi vaarassa.

[Ari-Lee]

Siinä ei jotkut it-työntekijät voi tehdä mitään jos pj sanoo ettei mitään saa tehdä.

Irroitan tämän kontekstistaan, koska tämä on se tärkein kysymys, ja tiedämme mihin kaikki tekemättömyys ja vastuunpakoilu johtaa.

Olisivat voineet estää rikollisen toiminnan alkutekijöihinsä. Tietoturva olisi kunnossa ja jos sen vuoksi olisi tullut monoa olisi se ollut laitonta sekin, mistä olisi tullut korvaukset ja sulat hattuun.

[Melbac]

Siinä ei jotkut it-työntekijät voi tehdä mitään jos pj sanoo ettei mitään saa tehdä.

Irroitan tämän kontekstistaan, koska tämä on se tärkein kysymys, ja tiedämme mihin kaikki tekemättömyys ja vastuunpakoilu johtaa.

Olisivat voineet estää rikollisen toiminnan alkutekijöihinsä. Tietoturva olisi kunnossa ja jos sen vuoksi olisi tullut monoa olisi se ollut laitonta sekin, mistä olisi tullut korvaukset ja sulat hattuun.

Tyypit tulleet taloon jossa on noin ollut valmiina?.Ei toi ole työntekijöiden vika vaan pj:n syy koska ei ole tehnyt tarvittavia toimia jotka sen olisi pitänyt tehdä jo lain perusteella.Äijä on niin kiero p*ska että yritti vielä pimittää asian ja myydä firma eteenpäin kun tajusi mitä tosta seuraa.Yrittää vielä vierittää syyn alaistensa niskaan.

/edit
En ihmettelisi vaikka noita edelliset tyypit olisi ottaneet/saaneet loparit sen jälkeen kun yrittänee saada tota tyyppiä korjaamaan noi asiat eikä se ole tehnyt mitään.

[P]

/edit
Se että joku portti on ollut auki etäyhteyttä varten taitaa olla yhdentekevää jos noiden tunnukset ja salasanat on ollut tiedossa?.Se että "portti" on auki firewallista ei tarkoita sitä että kone olisi vaarassa.

Juu, ei tarkoita, mutta ei sen liputtaminen ole järkevää, varsinkin kun tietoturva muutenkin on kuvatulla tasolla. Sieltä se hakkeri on lähtenyt pyrkimään sisään...