Itse en näe kiristämistä ja jonkun lopulta varsin marginaalisen rahasumman siirtoa kiristäjätaholle suurimpana uhkana, vaan identiteettivarkaudet ja niistä aiheutuvat paljon mittavammat taloudelliset haitat sekä henkiset ongelmat.
Yhteiskunta on todella voimaton identiteettivarkauksien edessä. Ehkä tämä herättää.
Ajattelen että on aika itsestäänselvää, että tietojen murtaminen ja kiristäminen on törkeä teko. Ja ymmärrän toki että suuri yleisö ei tiedä tietotekniikasta niin paljon, että osaisivat välttämättä tehdä oikeat päätelmät siitä miten heikkoa tietoturva on ollut. Siksi toivoisin median pitävän vielä enemmän sitä puolta esillä.
Olisi kyllä mielenkiintoista nähdä kiristäjä, onko suomalainen ja minkä ikäinen. Haaveeksi jäänee.
Tuolla on ilmeisesti joku jolla ollut se 10gb paketti hallussa kirjoitellut omia pohdintojaan:
En tiedä yhtään miten luotettava tuo lähde on, mutta teksti itsessään vaikuttaa loogiselta.
Mahdottomia näistä on sanoa, mutta itse pistäisin matalimman kertoimen sille, että varsinainen murto on tapahtunut aikoinaan jonkun tahon toimesta, ja tämä nyt ilmi tullut kiristäjä on ostanut/vaihtanut tjms. alkuperäisen potilaskannan itselleen ja pistänyt kiristyksen pystyyn. Siinä voisi olla ainakin yksi tekijä mikä selittäisi ison viiveen murron ja kiristyksen välillä.
Tässä jotain kohtalaisen luotettavasta lähteestä peräisin olevaa tietoa Vastaamon SQL DB:stä. Mikä sitten on kenties ollut vuoden 2020 aikana tapahtunut “tilkitseminen”. Mutta kai tuo pohjarakenne aika pitkälti määrittää ratkaisun laadun. Itselläni jo yli 10v kun olen näitä juttuja tehnyt, joten enpä sano enempää.
PHP 5.6 ei ole saanut päivityksiä sitten vuoden 2019, muutenkin kyllähän noi osaavat tahot perus pupuntupannuihin varsinkin jos niitä ei jakseta oikein ylläpitää ja perehtyä, menee ihan sama onko ne ajantasalla vai ei mutta jos jätät tuollaisia reikiä että käytät vanhaa PHP:tä niin sitä saa mitä tilaa.
Sen lisäksi noita täytyisi vielä tietenkin päivittää, epäilen onko niitäkään jaksettu bootteineen tehdä (yllättävän harva meinaa jaksaa mitä vastaan tulee).
Tietty vielä sitten tietokannan rakenne ja miten tiedot sinne on tallennettu, miten sille on juteltu jne.
Varmaan aika amatööritason viritys.
Tämä on itseasiassa mielenkiintoinen asia, että kenen vastuulla on ollut kaikki päivittäminen.
Onko Vastaamo koodannut järjestelmän itse vai onko ostettu muualta (tod.näk. ostettu muualta)?
Jos ostettu muualta niin miksi ei ole päivitetty, eikö ole ollut ylläpitosopimusta ja jätetty vain pyörimään?
Missä hostattu ja mikä heidän vastuunsa on?
Kovasti on ainakin omavalmisteena mainostettu tuota potilastietojärjestelmää.
kuten @Juteeni tuossa tosiaan kirjoittelikin niin itsetuotettua kai kaikki.
Ja siis potilastietojärjestelmistä aikaisemmin ihmettelin tuota pilveä siksi, että niissä ainakin ennen oli pykäliä ettei tietoja saanut luovuttaa kolmansille osapuolille (mieti nyt joku Google ja sen tiedon onkimiset, tekee järkeä), tai ne piti vähintään hostata tietyissä ympäristöissä Suomessa.
Ok. En ole tosiaan mikään asiantuntija noissa lakipykälissä (vaikka mutsi onkin syyttäjä niin mähän olen melkein lentäjä itsekin…), mutta kyllä meidän myymiin järjestelmiin lakimiehet tarkistaa sopimukset ja asiakas-datassa on jonkin verran myös terveystietoja ja tietenkin kaikki yhteystiedot hetusta alkaen.
Tietokannat hostataan Aivenissa, nodejs-palikat Kubella Google Cloudissa (no yksi asiakas haluaa käyttää Azurea) eikä missään sopimuksessa tuo ole ollut ongelma.
Jees. Voi olla muuttunut mutta epäilen koska potilastietoja säätelee aika tiukat lait, en tiedä tosin. Näin oli ennen ainakin. Sillä juuri kyselinkin alunperin jos sulla siitä on jotain päivitettyä tietoa.
Sekin mua tässä ihmetyttää miten tuota kyseistä puljua ollaan päästämässä kun koira veräjästä ainakin näillä näkymin. Ihan täyttä laiminlyöntiähän tässä on jos tuo twiitti pitää paikkaansa. Näissä tapauksissa sitä toivoisi että Suomessa olisi jenkkityylinen oikeus jossa ne korvausvaatimuksetkin on sellaisia että oikeasti tuntuu.
Jos se on niitten oma järjestelmä niin aivan törkeää huolimattomuutta.
Mä en meidän omiin järjestelmiinkään pääse katsomaan edes logeja ennenkuin joku antaa mulle oikeudet…
Eikä pidäkkään. Onneksi tuo tietoturva otetaan nykyään vähänkin isommissa lafkoissa vakavasti mut jos on tuollainen nyrkkipajaviritys kun tuo lataamo tuntuu olevan niin ei tää toisaalta yllätä.
Pässi, jokus sql (kai siellä joku vanha mysql on pyörimässä tyyliin suojaamattomilla salasanoilla) ja vanha php versio kertoo kyllä aika paljon jo mun mielestäni touhuista.
Tästä tuli mieleen hauska juttu Saunalahden alkutaipaleelta, saa liputtaa tai siirtää, kun eksyy kuitenkin aiheesta.
MySQL:ssä ei pitkään aikaan ollut transactioita ja siskoni yritti tilata Saunalahden nettisivuilta liittymää. Ei onnistunut kun aina tuli joku virhe, mutta 35 laskua tuli. Eli joku taulu päivittyi, joku toinen ei 
toimitusjohtaja pimitti tiedon yhtiön palvelimille tehdystä tietomurrosta yli puolentoista vuoden ajan
Toivottavasti kyseinen henkilö ei enää koskaan työskentele lähelläkään tälläisiä asioita.
Tässä heitetään toimari junan alle ja muut luikkii karkuun.
Ei todellakaan ole yksin syypää, niitä on monia muitakin.
Ei ole yksin syypää (tod.näk. ei ollenkaan tähän tietomurtoon muuten kuin välillisesti), mutta due diligencessä ei ihan kauheasti kannattaisi jättää kertomatta asioita, voi kostautua myöhemmin.
Se on kyllä selkeä rikkomus, jos tietomurtoja peitellään. Tutkinta pitää välittömästi aloittaa ja ainakin nyt tapahtuneen kaltaisessa ei yhtiön sisäinen selvittely riitä. Viranomaiset on ehdottomasti otettava mukaan. Eiköhän se ole potkut tiedossa Vastaamon toimarille, jos noin vakavaa peittelyä on harrastettu.
Sinänsä monenkin yhtiön tietoturva murtuu, jos oikeat henkilöt lähtevät asialle. Se on lievä puolustus Vastaamolle, miksi juuri se valikoitui kohteeksi. Oliko murron tekijöillä jotain sisäpiiritietoa, erityistä kaunaa Vastaamoa kohtaan. Tekijä on saattanut olla jopa ex-työntekijä. Tutkintareittejä on monia. Eiköhän pian kuulla tapauksesta jotain selventävää.
Sitäkin voi mietiskellä, että millä määritellään kelvollinen tietoturvan taso. Ja milloin se on “rikollisen” huono. Missään lakitekstissä sitä ei ilmeisesti ole suoraan sanottu. Pitääkö tietokantasuunnittelijoiden omata joku tietty henkilökohtainen sertifikaatti. Sekään ei vielä takaa mitään. Mutta tuo kassavirtaa yrityksille, jotka noita sertifikaatteja pääsee jakamaan.
Miten mahtaa olla laadunhallintajärjestelmien ja auditointien kanssa. Mikähän yritys on tuon Vastaamon tietokantaratkaisun ja tietoturvan takana. Eiköhän siinä ole alihankintaa mukana eli eiköhän Vastaamo keskity vain omaan bisnekseensä.
Tuossa IS:n jutussa ainakin myönnettiin suoraan, että on ollut puutteita.
“Tässä kohden pyydän anteeksi, että tietoturvassa on ollut puutteita, joiden inhimillinen hinta on tullut äärimmäisen raskaaksi.”