Bombshell data breach ransom incident exploded in Finland. Psychotherapy center Vastaamo patient records were breached and ransom demands for not publishing data was sent to both company and patients. Patient data of 300 were already published on-line.
Vastaamo, which has branches throughout the Nordic country of 5.5 million and operates as a sub-contractor for Finland’s public health system, said its client register with intimate patient information was likely stolen during two attacks that started almost two years ago. The size of register is over 40 000 patients, so almost 1% of country population. Also some public hospital records could have leaked as company was a sub-contractor for handling records for some hospitals.
The privately-run psychotherapy centre Vastamo announced that sensitive information about its clients was leaked after its database was (not so) recently hacked.
The criminals demanded from the psychotherapy center Vastaamo 450,000 euros in exchange for stopping publishing the data. The center said the unknown perpetrator or perpetrators had published at least 300 patient records containing names and contact information using the anonymous Tor communication software.
The National Bureau of Investigations, and other agencies, have launched an investigation into how the data might have become compromised.
Hackers hijack and publish mental health data of hundreds of people
https://www.foreigner.fi/articulo/national/scandal-over-the-hijack-and-and-publication-of-private-mental-health-data/20201023121903008599.html
Finland shocked by therapy center hacking, client blackmail
https://abcnews.go.com/Health/wireStory/finland-shocked-therapy-center-hacking-client-blackmail-73817011
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Hackers hold patient information for ransom in psychotherapy data breach
https://newsnowfinland.fi/crime/hackers-hold-patient-information-for-ransom-in-psychotherapy-data-breach
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Psychotherapy centre’s database hacked, patient info held ransom
The company did not reveal when the hack took place, nor how extensive it was.
https://yle.fi/uutiset/osasto/news/psychotherapy_centres_database_hacked_patient_info_held_ransom/11605460
Vastaamon asiakkaat ovat saaneet henkilökohtaisia kiristysviestejä,
viesteissä vaaditaan 200-500 euron arvosta bitcoineja Poliisi:
“Kiristysviestin vaatimuksiin ei tule suostua”
https://www.hs.fi/kotimaa/art-2000006698803.html
Yksityishenkilöille on lähetetty kiristyssähköposteja älä suostu
vaatimuksiin, tee sähköinen rikosilmoitus, älä soita hätäkeskukseen
https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/yksityishenkiloille_on_lahetetty_kiristyssahkoposteja_ala_suostu_vaatimuksiin_tee_sahkoinen_rikosilmoitus_ala_soita_hatakeskukseen_94177
Mikko Hyppönen arvioi Vastaamon kiristäjän mahdollisuuksia jäädä
kiinni pitää tapausta ainutlaatuisena
https://www.is.fi/digitoday/tietoturva/art-2000006696775.html
Psykoterapiakeskuksen potilastietoja julkaistiin internetissä
syyllistytkö rikokseen, jos katsot niitä? Professori:
“Tulkintakysymys”
https://www.kauppalehti.fi/uutiset/psykoterapiakeskuksen-potilastietoja-julkaistiin-internetissa-syyllistytko-rikokseen-jos-katsot-niita-professori-tulkintakysymys/f2f83cf5-659e-47e3-b401-bb8846ddc250
Uusimmat tiedot Vastaamon tietomurrosta: Vastaamo on ollut myös Kelan
palvelutuottaja, kiristäjän verkkosivu palasi nettiin, HUSin, Tyksin,
Taysin ja Kanta-Hämeen keskussairaalan asiakastietoja voinut vuotaa
https://yle.fi/uutiset/3-11610267
Vastaamo company official announcement of breach
https://vastaamo.fi/ajankohtaista/
F-Secure’s Hyppönen on Vastamo’s hacking: “Most likely, an attacker has used automated tools to look for vulnerable services”
Hyppönen believes that Vastamo was the target of a data breach by accident.
Mikko Hyppönen, Research Director of the security company F-Secure, considers the hacking of the Psychotherapy Center Vastamo to be exceptional.
“Until now, professional criminals have sought to break into financial institutions, above all, or have tried to fish for credit card numbers. This is the first time subject to medical records. In the past, they have not interested criminals, ”says Hyppönen.
He said criminals have decided that sensitive health information may be of interest. Health information is available in a great many systems. It is possible that some systems are vulnerable.
Hyppönen believes that Vastamo was the target of a data breach by accident.
“Most likely, the attacker has used automated tools to look for vulnerable services. For example, a machine can tap thousands of login attempts per minute. Sooner or later, weakly protected services will be found, ”says Hyppönen.
Source:
F-Securen Hyppönen Vastaamon tietomurrosta: ”Todennäköisimmin hyökkääjä on automaattityökaluilla etsinyt haavoittuvia palveluita”
https://www.tivi.fi/uutiset/f-securen-hypponen-vastaamon-tietomurrosta-todennakoisimmin-hyokkaaja-on-automaattityokaluilla-etsinyt-haavoittuvia-palveluita/5e1f0b1f-b981-47f7-a622-a596366b208e
274 Comments
Tomi Engdahl says:
Tietovaras joutuu ahdistavien tunteiden valtaan…
Ville Rannan pilapiirros 27.10.2020.
https://www.iltalehti.fi/villeranta/a/d65609c5-b202-4fbc-9dff-d81da488ac32
Tomi Engdahl says:
Vastaamon ex-toimitusjohtajan ja tämän vanhempien omaisuutta takavarikkoon lähes 10 miljoonaa euroa https://www.is.fi/digitoday/tietoturva/art-2000006701404.html
Tomi Engdahl says:
Vastaamon tapaus herätti terapia-asiakkaiden huolen tietoturvasta – lakimies antaa tärkeän neuvon https://www.is.fi/digitoday/tietoturva/art-2000006701578.html
Tomi Engdahl says:
Pöytäkirja: Vastaamon hallitus tiesi it-järjestelmän puutteista jo viime vuonna – perustajaperhe nettosi yhtiön myynnillä https://www.is.fi/taloussanomat/art-2000006700731.html
Tomi Engdahl says:
Tietosuojavaltuutetun toimisto selvittää Psykoterapiakeskus Vastaamon toiminnan lainmukaisuutta
https://www.oikeusmedia.uutisparkki.com/2020/10/27/tietosuojavaltuutetun-toimisto-selvittaa-psykoterapiakeskus-vastaamon-toiminnan-lainmukaisuutta/
Tietosuojavaltuutetun toimisto selvittää, onko Vastaamo toiminut tietosuojalainsäädännön mukaisesti, erityisesti muuten kuin jo esitutkinnan kohteena olevien epäiltyjen rikosten osalta. Jos tietosuojalainsäädäntöä on rikottu, tietosuojavaltuutetun toimiston seuraamuskollegio voi määrätä rekisterinpitäjälle hallinnollisen seuraamusmaksun tai käyttää muita korjaavia toimivaltuuksia.
Tomi Engdahl says:
Vastaamon toimitusjohtaja jätti ilmoittamatta jättimäisestä tietomurrosta: Se ei ole rikos, mutta seuraamusmaksu voi olla miljoonia euroja
https://www.hs.fi/talous/art-2000006701642.html?share=fd9f7ed35e1cd3226ff0e44c7e94f326
Euroopan unionin tietosuoja-asetuksessa säädetään, että henkilötietojen tietoturvaloukkauksesta on ilmoitettava ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa.
PSYKOTERAPIAKESKUS Vastaamo ilmoitti maanantaina, että yhtiön nykyiselle hallitukselle ja pääomistajalle ei ole kerrottu maaliskuun 2019 tietomurrosta eikä yhtiön järjestelmissä olleista tietoturvapuutteista.
Yhtiön mukaan vaikuttaa ilmeiseltä, että toimitusjohtaja Ville Tapio on ollut tietoinen tietomurrosta ja saanut tietoonsa Vastaamon tietoturvapuutteet.
”Rikoslaissa ei ole säännöstä, jonka perusteella tietomurron ilmoituksen laiminlyönnistä voitaisiin tuomita rangaistukseen. Julkisella puolella vastuu tietomurrosta ilmoittamisesta toteutuu virkavastuulla. Jos virkamies laiminlyö tietomurrosta ilmoittamisen, se on virkarikos.”
HALLINNOLLINEN seuraamus voi olla enintään kymmenen miljoonaa euroa. Jos kyseessä on yritys, seuraamus voi olla kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä on suurempi.
Vastaamon liikevaihto oli viime vuonna 14 miljoonaa euroa ja 11 miljoonaa euroa vuonna 2018.
Rikosoikeuden professori Sakari Melander Helsingin yliopistosta on samaa mieltä, että tietomurrosta ilmoittamatta jättäminen tuskin voi olla rikos.
”Jos sen sijaan on tullut tietoiseksi tietoturvapuutteista eikä ole tehnyt mitään niiden korjaamiseksi, saattaisi olla, että tietosuojarikoksen tunnusmerkit ovat täyttyneet.”
TIETOSUOJAVALTUUTETUN toimisto ilmoitti tiistai-iltana selvittävänsä, onko Vastaamo toiminut tietosuojalainsäädännön mukaisesti
Tietosuojavaltuutetun toimisto koordinoi selvitystoimia yhteistyössä keskusrikospoliisin ja muiden viranomaisten kanssa.
Vastaamo ilmoitti keskiviikkona 21. lokakuuta joutuneensa tietomurron kohteeksi. Maanantaina sen toimitusjohtaja Ville Tapio irtisanottiin. Tapion epäillään pimittäneen tietoa yhtiön palvelimelle tehdystä tietomurrosta yli puolentoista vuoden ajan.
Tomi Engdahl says:
Vastaamon keississä on taas suuri määrä henkilötunnuksia väärissä käsissä. Sen käyttäminen ainoana henkilön tunnuksena – salasanana, jos sallitte – luotto- ja sopimusasioissa ei ole tätä päivää. Tästä on rustattu nyt kansalaisaloite, jolla heikolla tunnistuksella tehdyt luottokaupat olisivat vähintäänkin perintäkelvottomia.
Meillä on ihan tsaarinaikaiset tunnistusmenetelmät käytössä ja sille olisi hyvä saada loppu. Identiteettivarkaus on tällä hetkellä liian helppoa.
Henkilötunnuksen käyttö tunnistamiseen kiellettävä identiteettivarkauksien estämiseksi
https://www.kansalaisaloite.fi/fi/aloite/7545
Tomi Engdahl says:
Massive Nitro data breach impacts Microsoft, Google, Apple, more
https://www.bleepingcomputer.com/news/security/massive-nitro-data-breach-impacts-microsoft-google-apple-more/
A massive data breach suffered by the Nitro PDF service impacts many
well-known organizations, including Google, Apple, Microsoft, Chase,
and Citibank. Claimed to be used by over 10 thousand business
customers and 1.8 million licensed users, Nitro is an application used
to create, edit, and sign PDFs and digital documents. Cybersecurity
intelligence firm Cyble has told BleepingComputer that a threat actor
is selling the user and document databases, as well as 1TB of
documents, that they claim to have stolen from Nitro Software’s cloud
service. This data is now being sold in a private auction with the
starting price set at $80, 000. Cyble states that the
‘user_credential’ database table contains 70 million user records
containing email addresses, full names, bcrypt hashed passwords,
titles, company names, IP addresses, and other system-related data.
Tomi Engdahl says:
Vuotaneilla henkilötiedoilla voi tehdä tilauspetoksia ja ottaa luottoa
uhrin nimiin Asiakastieto ja Vastaamo tarjoavat tietomurron uhreille
maksuttomat turvapalvelut
https://yle.fi/uutiset/3-11614893
Psykoterapiakeskus Vastaamon tietovuodon takia saaduilla tiedoilla ei
Finanssialan mukaan pysty nostamaan pankkilainaa, koska siihen
tarvitaan aina vahva tunnistautuminen esimerkiksi pankkitunnuksilla.
Sen sijaan henkilötunnuksella ja muilla henkilötiedoilla rikollinen
voi onnistua tekemään tilauspetoksia, osamaksukauppoja tai ottamaan
muuta luottoa uhrin nimiin.
Tomi Engdahl says:
Mistä tiedän onko tietoni vuodettu? Uskaltaako terapiassa enää puhua?
Haimme vastaukset 31 kysymykseen Vastaamon tietomurrosta
https://yle.fi/uutiset/3-11615408
Ylen lukijat esittivät kysymyksiä Vastaamon tietomurrosta. Koostimme
tähän juttuun vastauksia.
Tomi Engdahl says:
Tietovuodon ja kiristyksen kohteeksi joutunut kriisiviestinnän
asiantuntija suomii Vastaamon viestintää: “Katastrofaalisen väärin”
https://yle.fi/uutiset/3-11613976
Hämeenlinnalainen tietokirjailija ja viestintävalmentaja Katleena
Kortesuo kritisoi Vastaamon toimintaa ja tiedotusta tietovuodon
jälkeen. Yritys profiloitua tietomurron uhrina on kummallinen tapa
toimia kriisitilanteessa, jossa 40000 ihmisen arkaluontoiset tiedot
ovat levinneet vääriin paikkoihin. Siinä kohtaan, kun kyseessä ovat
tavalliset ihmiset ja heidän elämänkohtalonsa ja toisella puolella on
yritys, joka tekee 15 miljoonan euron liikevaihtoa, on pikkuisen
väärää retoriikkaa asemoitua uhriksi.
Tomi Engdahl says:
Vastaamo-kiristyksen uhrina: miten toimia ja mitä tehdä?
https://eioototta.fi/vastaamo-kiristyksen-uhrina-miten-toimin-ja-mita-tein/
Tomi Engdahl says:
Vastaamo-kiristäjä teki pahan virheen perjantaina, sanoo F-Securen Hyppönen: “Hän päästi käsistään kaikkein tärkeimmän tietonsa”
https://yle.fi/uutiset/3-11615644
Tietojen mahdollinen leviäminen tarkoittaa sitä, että kiristäjän on vaikeampi hyötyä varastetuista tiedoista.
Psykoterapiakeskus Vastaamon varastetut potilastiedot eivät todennäköisesti ole enää pelkästään kiristäjän käsissä, arvioi tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.
Rikollinen julkaisi viime viikolla yhteensä noin 300 asiakkaan potilastiedot anonyymissä Tor-verkossa. Perjantaiaamuna sivuille ilmestyi hetkeksi myös suuri 10 gigatavun tiedosto, jonka moni muu netinkäyttäjä kertoi saaneensa ladattua ainakin osittain.
Vielä ei ole tietoa, mitä suuressa tiedostossa on ollut. Hyppönen pitää kuitenkin todennäköisenä, että siinä on ollut koko potilastietokanta.
Tähän viittaa muun muassa se, että viikonlopun ja alkuviikon aikana Torilauta-foorumilla on julkaistu laittomasti uusia potilastietoja. Ylen tietojen mukaan ne eivät ole peräisin kiristäjän alun perin julkaisemista tiedostoista. Julkaisijat ovat olleet eri nimimerkkejä kuin kiristäjänä esiintynyt käyttäjä.
– Se oli kieltämättä todella iso moka hyökkääjältä. Hän päästi käsistään kaikkein tärkeimmän tietonsa, jota hän ei missään tapauksessa haluaisi päästää käsistään, Hyppönen sanoo.
– Miten hän pystyy näin paljon mokaamaan, en osaa sanoa. Varmaan se on ollut vahinko. Ehkä hänellä on mennyt kaksi samannimistä tiedostoa sekaisin. Siellähän oli kaksi erikokoista samannimistä tiedostoa vähän aikaa.
Tiedoston suuri koko viittaa Hyppösen mielestä siihen, että siellä oli muutakin kuin tekstiä. Edes 40 000 ihmisen potilaskertomukset eivät tekstinä vie kymmentä gigaa tilaa.
Kiristyksen uhrien kannalta tietojen mahdollinen leviäminen tarkoittaa entistä vahvemmin sitä, että lunnaita ei kannata maksaa. Vaikka alkuperäinen kiristäjä poistaisi tiedot, hänen tilalleen saattaa tulla uusia.
Poliisi ja Bitcoin-välittäjät ovat muutenkin ohjeistaneet uhreja olemaan maksamatta kiristäjälle.
“Hän vaikuttaa aika oikukkaalta”
Kiristyskirjeiden lähettäminen merkitsi myös muutosta hyökkääjän toimintatavoissa. Alun perin hän vaati lunnaita pelkästään Vastaamolta. Syystä tai toisesta kiristäjä käänsi huomionsa lauantaina Vastaamon asiakkaisiin.
Hyppösen silmissä kiristäjän viimeisin liike tuntuu ehkä jopa epätoivoiselta yritykseltä saada operaatiosta edes jotain rahallista hyötyä.
– Hän vaikuttaa aika oikukkaalta. Tuntuu, että hänellä ei ehkä ollutkaan niin vahvaa suunnitelmaa. Tämä on yksi niistä syistä, minkä vuoksi hyökkääjä alkaa minusta vaikuttaa enemmän yksittäiseltä tekijältä kuin ammattimaiselta rikollisjengiltä, Hyppönen sanoo.
Kiristäjä vaikuttaa siis ajautuneen tilanteeseen, jossa hänellä ei välttämättä ole enää mitään, millä kiristää. Saman on pannut merkille terveyspalveluihin kohdistuneita tietomurtoja tutkinut työelämäprofessori Martti Lehto Jyväskylän yliopistosta.
Hänen mukaansa asetelma on hyökkäyksissä usein erilainen: hakkerit estävät esimerkiksi sairaalaa käyttämästä potilastietojärjestelmää, kunnes lunnaat on maksettu. Näissä kiristyksissä on välillä onnistuttu.
– Nyt Vastaamon toimintakyky ei sinällään ole kohteena. Teknisesti Vastaamo voisi jatkaa toimintaansa kuten ennenkin, Lehto miettii.
Myös uhka mainehaitasta on Vastaamon kohdalla jo toteutunut. Asiakkaiden ja yhteistyökumppaneiden luottamus yhtiöön on kokenut kolauksen.
Rikollisten pitkä odotusaika saattoi olla harkittu teko
Vastaamo myönsi maanantaina, että yrityksen tietojärjestelmiin on kohdistunut kaksi tietomurtoa. Nyt kiristykseen käytettävät tiedot on saatu marraskuussa 2018. Lisäksi tietoon on tullut maaliskuulta 2019 toinen tietomurto. Sen todellinen merkitys on vielä epäselvä.
Vastaamon mukaan toimitusjohtaja Ville Tapio pimitti tietoa tietomurrosta puolentoista vuoden ajan. Maanantaina yhtiö kertoi erottavansa Tapion. Myöhemmin Tapio kiisti tienneensä vuoden 2018 tietomurrosta.
Vielä ei tiedetä, miksi varastettuja tietoja alettiin käyttää hyväksi vasta kaksi vuotta tietomurron jälkeen. Sekä Mikko Hyppönen että Martti Lehto näkevät kuitenkin, että odotus saattoi olla harkittu teko. Sen aikana osa todisteista ehtii kadota.
– Jos murto olisi tehty äskettäin, siitä olisi paljon lokidataa, metadataa, ehkä jopa auki olevia sessioita. Vanhassa ei ole välttämättä mitään jäljellä, Hyppönen sanoo.
Toinen mahdollinen vaihtoehto on, että tiedot on varastanut alun perin joku muu, joka on myynyt ne eteenpäin nykyiselle kiristäjälle.
Keskusrikospoliisi tutkii Vastaamon tietomurtoa törkeänä tietomurtona, törkeänä kiristyksenä ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä.
Poliisi on ollut tutkinnan etenemisestä erittäin vaitonainen.
Tomi Engdahl says:
Nörttipsykologi koodasi ohjelman, jolla voi tarkistaa, onko omat
Vastaamon tiedot julkaistu siinä voi olla ongelma, mutta
tietoturva-asiantuntija puoltaa palvelua
https://yle.fi/uutiset/3-11613376
Tuhannet ihmiset ovat jo käyttäneet Vastaamo-tietovuodon uhrien avuksi
tarkoitettua ohjelmaa, jonka laillisuus on kuitenkin edelleen
epäselvä.
Tomi Engdahl says:
Datan määrä kasvaa ja se on arvokasta saalista “Yksittäinen yritys ei
voi ajatella niin, että ei meillä ole mitään suojattavaa tai emme me
voi olla kenenkään mielenkiinnon kohteena”
https://www.kauppalehti.fi/uutiset/datan-maara-kasvaa-ja-se-on-arvokasta-saalista-yksittainen-yritys-ei-voi-ajatella-niin-etta-ei-meilla-ole-mitaan-suojattavaa-tai-emme-me-voi-olla-kenenkaan-mielenkiinnon-kohteena/fc5109a7-65f7-4746-8e43-6a1c5f238ca1
Elinkeinoelämän keskusliiton johtavan asiantuntijan Markku Rajamäen
mukaan datan määrä kasvaa koko ajan, ja siksi valmistautuminen on
yrityksille yhä tärkeämpää. “Yksittäinen yritys ei voi ajatella niin,
että ei meillä ole mitään suojattavaa tai emme me voi olla kenenkään
mielenkiinnon kohteena. Siellä voi olla sellaista joka jollekin voi
olla arvokasta rikollisessa mielessä”, Rajamäki sanoo.
Tomi Engdahl says:
Vastaamo hyvittää asiakkailleen osan omaehtoisen luottokiellon hinnasta – summat eivät vakuuta tietovuodon uhreja
Tänään klo 9:37
Tietovuodon uhreiksi joutuneet eivät ole tyytyväisiä Vastaamon tarjoamiin hyvityksiin.
https://www.iltalehti.fi/kotimaa/a/9e6cccce-284b-406b-8a2b-afe88d0433dd
Tomi Engdahl says:
Koodari jo teinistä asti – tällainen on potkut saanut Vastaamon toimitusjohtaja Ville Tapio
https://www.iltalehti.fi/kotimaa/a/36f2b6f9-2b93-423b-a276-519ab0607438
Vaasassa opiskellut koodari opetti lukioikäisenä opettajia ATK:ssa, aloitti yritystoiminnan tietokoneiden vähittäiskaupalla, esitti idean terapiapalvelusta kahvipöydässä ja teki miljoonakaupat.
Tomi Engdahl says:
Seuraa livenä: Hallitus kertoo toimistaan Vastaamon tietomurron uhrien auttamiseksi
https://www.iltalehti.fi/kotimaa/a/b86a2be5-1c15-4958-a280-b518a1f77c34
Sanna Marinin (sd) johtama hallitus haluaa helpottaa Psykoterapiakeskus Vastaamon tietomurron uhriksi joutuneiden tuhansien ihmisten asemaa helpottamalla henkilötunnuksen vaihtamista.
– Pohdimme keinoja auttaa uhreja tässä tilanteessa, joka on järkyttävä, Marin totesi saapuessaan hallituksen iltakouluun Säätytalolle.
Iltakoulussa hallitus kuulee muun muassa poliisin, Valviran ja Traficomin edustajia. Marinin mukaan tänään ei kuitenkaan tehdä päätöksiä.
– Iltakoulussa ei tehdä päätöksiä, vaan kuulemme tilannekatsauksen, miten parhaiten saisimme uhreille apua toivottavasti mahdollisimman nopeasti, Marin sanoi.
Nykyisen lain mukaan henkilötunnuksen voi vaihtaa vain painavasta syystä. Syy voi olla esimerkiksi se, että joku henkilö on käyttänyt tunnusta toistuvasti väärin ja siitä on aiheutunut henkilötunnuksen omistajalle huomattavaa haittaa.
– Itse toivon, että voisimme toimia nopeammin, Marin totesi lakimuutoksen mahdollisesta aikataulusta.
Vastaamon tietomurron uhrien kannalta on ongelmallista, että joistakin verkkokaupoista on mahdollisuus tilata tuotteita, tai pikavippifirmoista saada rahaa, jos osaa kertoa henkilön nimen, osoitteen ja henkilötunnuksen.
Keskustan puheenjohtaja Annika Saarikko pohti Säätytalolle tullessaan voisiko esimerkiksi liikenteen suuronnettomuuksien tutkimiseen erikoistunut Onnettomuustutkintakeskus ottaa työkseen myös Vastaamon tietomurron.
– Olen pohtinut voisiko Onnettomuustutkintakeskus käydä tapauksen läpi ja varmistaa ettei vastaavaa tapahdu enää uudestaan, Saarikko pohti.
Hän myönsi, ettei tiedä onko asia laillisesti mahdollista.
Täsmälievennys pikavauhdilla
Vastaamon tietomurron vuoksi tehtävää henkilötunnusta koskevan lain ”täsmälievennystä” on valmisteltu pikavauhdilla valtiovarainministeriössä.
– Ajatus on, että säädettäisiin eduskunnalle annettava suppea hallituksen esitys, jossa henkilötunnusta koskevaa lainsäädäntöä muutettaisiin niin, että nykyisiin hyvin tiukkoihin henkilötunnuksen muuttamismahdollisuutta koskeviin ehtoihin lisättäisiin uusi säännös. Ajatus olisi se, että tällaisen joukkomittaisen tietomurron uhriksi joutuneella olisi oikeus saada uusi henkilötunnus hakemalla sitä, valtiovarainministeriön kansliapäällikkö Juha Majanen kertoo.
Tomi Engdahl says:
Asiantuntijalta sapiskaa terveysalan toimijoiden onnettomalle tietoturvalle: ”Satoja järjestelmiä valvoo yksi ihminen”
Isoillakin toimijoilla saattaa olla tietoturvassa pahoja aukkoja, koska järjestelmiä ei tarkasteta.
https://www.iltalehti.fi/digiuutiset/a/31e180d6-c02c-4ffa-ad1f-d157bf08b91d
Terveysalan toimijoiden tietoturvan taso ja sen valvonta on Suomessa iso ongelma. Kyberturvayhtiö Nixun johtava tietoturva-asiantuntija Antti Nuopponen toteaa, että parhaitenkin hoidetuissa järjestelmissä potilastietojen tietoturvassa voi olla puutteita.
Hänen mukaansa huonoin tilanne on niissä terveysalan yrityksissä ja toimijoissa, jotka eivät ole liitettyinä Kelan Kanta-palveluun. Näitä B-luokan järjestelmiä on erityisesti useimmissa Suomen yksityisen puolen terveysalan yrityksissä.
Tähän luokkaan kuuluu myös tietomurron kohteeksi joutunut psykoterapiayritys Vastaamo.
Joissakin yrityksissä tietoturva voi Nuopposen mukaan olla hyvällä tolalla, mutta tästä ei ole tietoa, koska valvonta on niin olematonta.
– Satoja järjestelmiä valvoo käytännössä yksi ihminen, Nuopponen sanoo B-luokan järjestelmistä.
Terveysalan asiakastietojen turvallisuus on pohdituttanut monia Vastaamon tietomurron jälkeen. Viime viikolla paljastui, että Vastaamon asiakasrekisteriin on tehty mittava tietomurto ja useiden kymmenien tuhansien potilaiden tiedot on varastettu.
Potilastietojärjestelmien valvonta kuuluu Suomessa sosiaali- ja terveysalan lupa- ja valvontavirasto Valviralle. Tietojärjestelmiä on yli 300 ja niistä noin 260 kuuluu B-luokkaan. Loput ovat A-luokan järjestelmiä, joista suurin osa on julkisen terveydenhuollon käytössä.
”Taso vaihtelee paljon”
Nixun Nuopposen mukaan A-luokankaan järjestelmien tietoturvan valvonta ei ole riittävällä tasolla.
– Taso vaihtelee paljon. Valitettavasti Kanta-auditointi ja sen kriteeristö ei ole riittävä, jotta sen perusteella voitaisiin varmistaa että asiakasjärjestelmät ovat turvallisia, Nuopponen toteaa A-luokan järjestelmistä.
Kaikkia suomalaisia koskevaan Kelan Kanta-järjestelmään liitettäviltä potilastietojärjestelmiltä vaaditaan ulkopuolinen tietoturva-auditointi, eli arviointi. B-luokan järjestelmiltä tätä ei vaadita, vaan niiden valvonta perustuu omiin ilmoituksiin.
Nuopposen mukaan auditoinnin lisäksi isoiltakin toimijoilta pitäisi vaatia teknistä testausta, sillä nyt tietojärjestelmälle tehdään etukäteen arviointi, mutta ei enää sen jälkeen asennusvaiheessa ja sitten kun järjestelmä on käytössä.
– Tämä on iso ongelma. Ei tämmöistä isoa potilastietojärjestelmää voi pystyttää ilman riittävää teknistä testausta. Ongelma on kyllä viranomaistenkin puolelta tunnistettu, Nuopponen toteaa.
Yksityiskohdat tärkeitä
Nixun Antti Nuopponen painottaa, että tietoturvaan kuuluvat oleellisesti tekninen testaus järjestelmää käyttöön otettaessa sekä järjestelmän jatkuva päivittäminen. Tärkeää on huolellinen yksityiskohtien tarkastaminen.
– Tyypillistähän tietojärjestelmissä on, että uusia muutoksia tehdään koko ajan. Nyt tilanne on se, että jos tehdään uusi ominaisuus, niin sen tietoturvaa ei välttämättä tarkisteta.
Nuopponen muistuttaa, että tietojärjestelmään tunkeutujalle riittää yleensä yksi aukko. Tällöin ei riitä sekään, että tietoturvasta on huolehdittu 99-prosenttisesti, vaan hakkeri kyllä löytää portin, josta päästä sisälle.
Tämän takia tietoturvaan on pakko suhtautua riittävällä vakavuudella ja virheet on löydettävä etukäteen.
– Olen itse 11 vuotta tehnyt tietoturvatarkastuksia ja kyllä se vaan niin on, että ilman teknisten yksityiskohtien katsomista ei pystytä olemaan varmoja, että järjestelmä on turvallinen.
Nuopposen mielestä kaikki potilastietojärjestelmät pitäisi saada jonkinlaisen arvioinnin alle.
– On sitten A- tai B-luokan järjestelmä, jos siellä pidetään ihmisten henkilökohtaisia potilastietoja, niin kyllä ne pitäisi huomattavasti tarkemmin tarkastaa.
Nuopposen mukaan Suomessa terveydenhuoltoalan tietoturvassa ja sen valvonnassa olisikin paljon parannettavaa.
– Ei sillä verukkeella, että on paljon tekemistä, voida selittää sitä, että jätetään tekemättä.
Uhkia muuallakin?
Valvonnan korjaamista vaativat nyt myös sekä Kuluttajaliitto että Mielenterveyden keskusliitto, jonka lakimiehen Oskari Korhosen mukaan psykoterapiapalvelujen teknisen tietoturvan ja tietosuoja-osaamisen taso on nyt syytä selvittää perusteellisesti.
– On tärkeää tietää, kohdistuuko yksityisyyden suojaan samanlaisia, vakavia uhkia myös muilla palveluntuottajilla, Korhonen sanoo liiton tiedotteessa.
Korhosen mukaan teknisten aukkojen lisäksi puutteita voi olla myös potilastietojen käsittelyyn liittyvässä osaamisessa, sillä psykoterapeuttien keskuudessa on ollut epäselvyyksiä, miten esimerkiksi tapaamisten aikana tehtyjä muistiinpanoja tulisi säilyttää ja kirjata järjestelmiin.
Tomi Engdahl says:
Asiantuntijalta sapiskaa terveysalan toimijoiden onnettomalle tietoturvalle: ”Satoja järjestelmiä valvoo yksi ihminen”
Isoillakin toimijoilla saattaa olla tietoturvassa pahoja aukkoja, koska järjestelmiä ei tarkasteta.
https://www.iltalehti.fi/digiuutiset/a/31e180d6-c02c-4ffa-ad1f-d157bf08b91d
Terveysalan toimijoiden tietoturvan taso ja sen valvonta on Suomessa iso ongelma. Kyberturvayhtiö Nixun johtava tietoturva-asiantuntija Antti Nuopponen toteaa, että parhaitenkin hoidetuissa järjestelmissä potilastietojen tietoturvassa voi olla puutteita.
Hänen mukaansa huonoin tilanne on niissä terveysalan yrityksissä ja toimijoissa, jotka eivät ole liitettyinä Kelan Kanta-palveluun. Näitä B-luokan järjestelmiä on erityisesti useimmissa Suomen yksityisen puolen terveysalan yrityksissä.
Tähän luokkaan kuuluu myös tietomurron kohteeksi joutunut psykoterapiayritys Vastaamo.
Joissakin yrityksissä tietoturva voi Nuopposen mukaan olla hyvällä tolalla, mutta tästä ei ole tietoa, koska valvonta on niin olematonta.
– Satoja järjestelmiä valvoo käytännössä yksi ihminen, Nuopponen sanoo B-luokan järjestelmistä.
Terveysalan asiakastietojen turvallisuus on pohdituttanut monia Vastaamon tietomurron jälkeen. Viime viikolla paljastui, että Vastaamon asiakasrekisteriin on tehty mittava tietomurto ja useiden kymmenien tuhansien potilaiden tiedot on varastettu.
Potilastietojärjestelmien valvonta kuuluu Suomessa sosiaali- ja terveysalan lupa- ja valvontavirasto Valviralle. Tietojärjestelmiä on yli 300 ja niistä noin 260 kuuluu B-luokkaan. Loput ovat A-luokan järjestelmiä, joista suurin osa on julkisen terveydenhuollon käytössä.
”Taso vaihtelee paljon”
Nixun Nuopposen mukaan A-luokankaan järjestelmien tietoturvan valvonta ei ole riittävällä tasolla.
– Taso vaihtelee paljon. Valitettavasti Kanta-auditointi ja sen kriteeristö ei ole riittävä, jotta sen perusteella voitaisiin varmistaa että asiakasjärjestelmät ovat turvallisia, Nuopponen toteaa A-luokan järjestelmistä.
Kaikkia suomalaisia koskevaan Kelan Kanta-järjestelmään liitettäviltä potilastietojärjestelmiltä vaaditaan ulkopuolinen tietoturva-auditointi, eli arviointi. B-luokan järjestelmiltä tätä ei vaadita, vaan niiden valvonta perustuu omiin ilmoituksiin.
Nuopposen mukaan auditoinnin lisäksi isoiltakin toimijoilta pitäisi vaatia teknistä testausta, sillä nyt tietojärjestelmälle tehdään etukäteen arviointi, mutta ei enää sen jälkeen asennusvaiheessa ja sitten kun järjestelmä on käytössä.
– Tämä on iso ongelma. Ei tämmöistä isoa potilastietojärjestelmää voi pystyttää ilman riittävää teknistä testausta. Ongelma on kyllä viranomaistenkin puolelta tunnistettu, Nuopponen toteaa.
Yksityiskohdat tärkeitä
Nixun Antti Nuopponen painottaa, että tietoturvaan kuuluvat oleellisesti tekninen testaus järjestelmää käyttöön otettaessa sekä järjestelmän jatkuva päivittäminen. Tärkeää on huolellinen yksityiskohtien tarkastaminen.
– Tyypillistähän tietojärjestelmissä on, että uusia muutoksia tehdään koko ajan. Nyt tilanne on se, että jos tehdään uusi ominaisuus, niin sen tietoturvaa ei välttämättä tarkisteta.
Nuopponen muistuttaa, että tietojärjestelmään tunkeutujalle riittää yleensä yksi aukko. Tällöin ei riitä sekään, että tietoturvasta on huolehdittu 99-prosenttisesti, vaan hakkeri kyllä löytää portin, josta päästä sisälle.
Tämän takia tietoturvaan on pakko suhtautua riittävällä vakavuudella ja virheet on löydettävä etukäteen.
– Olen itse 11 vuotta tehnyt tietoturvatarkastuksia ja kyllä se vaan niin on, että ilman teknisten yksityiskohtien katsomista ei pystytä olemaan varmoja, että järjestelmä on turvallinen.
Nuopposen mielestä kaikki potilastietojärjestelmät pitäisi saada jonkinlaisen arvioinnin alle.
– On sitten A- tai B-luokan järjestelmä, jos siellä pidetään ihmisten henkilökohtaisia potilastietoja, niin kyllä ne pitäisi huomattavasti tarkemmin tarkastaa.
Nuopposen mukaan Suomessa terveydenhuoltoalan tietoturvassa ja sen valvonnassa olisikin paljon parannettavaa.
– Ei sillä verukkeella, että on paljon tekemistä, voida selittää sitä, että jätetään tekemättä.
Tomi Engdahl says:
Tapaus Vastaamo muuttaa maailmaa
https://insinoori-lehti.fi/tasta-on-kysymys/tapaus-vastaamo-muuttaa-maailmaa/?fbclid=IwAR3byesFPuhzq1FlWze56EWTfMOeyo1uuZduVnxJIwyEHR6VjMgQ8KfOaxs
Ensin tein rikosilmoituksen. Poliisin sähköinen palvelu oli pahasti ruuhkautunut ja sivusto kaatui ainakin kolme kertaa. Sen jälkeen tein kaksi maksullista omaehtoista luottokieltoa, tietojenluovutuskiellot ja paperisen osoitteenmuutoskiellon OmaPosti-sovelluksen kautta. Se oli yllättävän hankalaa.
Yöllä printtasin vielä PRH:n rekisteröintikiellon ja lähetin sen heille kirjattuna sähköpostina. Urakka oli ollut melkoinen, siihen meni koko ilta. Nukkumaan mennessäni mietin niitä ihmisiä, joilla ei ole voimia, osaamista, eikä tarvittavia rahojakaan tällaisen hoitamiseen.
Vastaamo on ollut tapauksesta yllättävä hiljaa, ikään kuin se korjaisi asian tai pyyhkisi tehdyt virheet tekemättömiksi. Luultavasti myös yritys saa syytteen, saa tuomion ja joutuu maksamaan uhreille korvauksia.
Tomi Engdahl says:
Case Vastaamo: tietomurto on jo liian helppo tehdä
https://etn.fi/index.php/13-news/11321-case-vastaamo-tietomurto-on-jo-liian-helppo-tehda
Suomi kohisee nyt ison digitaalisuuteen liittyvän akuutin ongelman parissa, kun Psykoterapiakeskus Vastaamon potilastietoja on päätynyt bitcoin-kiristäjien haltuun. Tietoturvayritys Trend Micron Suomen maajohtaja Kimmo Vesajoen mukaan tietomurtojen teko on nykyään tehty jo liian helpoksi.
Vesajoen mukaan Trend Micro on – monien muiden ohella – viestinyt ongelmasta jo pidemmän aikaa. Yhtiön kyberturva-asiantuntija Kalle Salmisen mukaan tilanne on vakava. – Tietomurron yrittäminen ei edellytä tekijältään erityistä taitoa, koska rikokset ja niihin tarvittavat exploitit, haittaohjelmat sekä muut tarvittavat työkalut voi ostaa palveluna. Tarjolla on jopa RaaS-palvelu eli kiristyshaittaohjelman voi ostaa valmiina palveluna, Salminen kertoo.
Vesajoen mukaan verkosta löytyvät työkalut ja palvelut ovat teknisesti erittäin edistyneitä. – Kyse on ammattimaisesta toiminnasta. Koska meillä ei ole globaalia lainsäädäntöä, esimerkiksi RaaS-tyyppiset palveluissa on yritystason helpdesk- ja chat-palvelut, joissa verkkorikollisia autetaan. Palvelumallit ja ansaintamallit ovat verkkorikollisuudessa täsmälleen samat kuin lainkuuliaisella puolella, Vesajoki sanoo.
Julkisuudessa olleiden tietojen mukaan Vastaamon potilastietoja sisältävä palvelin on ollut verkkoon auki maaliskuuhun 2019 saakka ja tätä pidetään todennäköisenä reittinä datavarkaudelle. Miksi ihmeessä sote-alan yritys rakentaisi tietokantansa heikon paikallisen ratkaisun varaan?
- Julkipilvi on hyvä ratkaisu, kunhan muistetaan jaetun vastuun malli tietoturvassa. Pilvipalvelun tarjoaja vastaa esimerkiksi IaaS-palvelussa fyysisestä turvallisuudesta, mutta siinäkin käyttäjä on vastuussa datan suojauksesta ja esimerkiksi haavoittuvuuksien päivityksestä. Julkipilvi ei ratkaise kaikkia ongelmia. Jos mennään pilvipalvelussa pidemmälle eli PaaS- tai SaaS-palveluihin, niin näissä palveluntarjoaja vastaa ohjelmansa tietoturvasta.
Vesajoki uskoo, että Vastaamon datavarkauksen takia tietosuojalainsäädäntöön tullaan tekemään tiukennuksia ja tietoturvan merkitys korostuu varmasti entisestään. – Ongelma on, ettei kyberrikollisuus ole kansallisen regulaation keinoin saatavissa aisoihin, koska se on globaali ilmiö ja sen regulointia varten tarvitaan ylikansallista päätöksentekoa.
Esimerkiksi luottokorteissa on sertifioidut auditointitoimijat. – Samaan tapaan pitäisi olla setifiointi, joka oikeuttaa tekemään tämäntyyppisiä auditointeja. Voi olla, että tarvitaan myös erillisiä tarkennuksia potilastietojärjestelmiin, että vain tietyt tahot saisivat niiden tietoturvaa auditoida, Vesajoki arvioi.
Joskus on sanottu, että kaikki data, joka on yhteydessä verkkoon, on periaatteessa haavoittuvainen ja kaikki suojaukset murrettavissa. Onko tähän dilemmaan olemassa ratkaisua? Trend Micron kyberturva-asiantuntija Kalle Salmisen mukaan absoluuttista tietoturvaa ei ole olemassa mutta tietoturvallisuuden koulutukseen, prosesseihin ja teknologioihin liittyviä parhaita käytäntöjä olisi syytä terottaa.
- Perusasiat, kuten päivitykset ja pääsynhallinta pitäisi laittaa nyt joka yrityksessä kuntoon, jonka lisäksi tietoturvan säännöllinen auditointi olisi paikallaan. Teknologioita löytyy luottamuksellisen tiedon ja tietokantojen sekä tietokantapalvelinten (data-rekisteri-alusta) suojaukseen kuten myös tietomurtojen havaintaan ja tunkeutumisen estoon, Salminen kuvaa.
Vastaamo-murtoa voidaan pitää suorana iskuna koko digitalisoituvaan yhteiskuntaan. Viimeistään nyt kaikkien toimijoiden on herättävä ymmärtämään tietoturvan merkitys. Turvallisuuden ja suojausten pitäisi olla mukana kaikesta alusta asti. Vesajoki peräänkuuluttaa security by design -lähestymistapaa.
Tomi Engdahl says:
Tietovuodon ja kiristyksen kohteeksi joutunut kriisiviestinnän asiantuntija suomii Vastaamon viestintää: “Katastrofaalisen väärin”
https://yle.fi/uutiset/3-11613976
https://eioototta.fi/vastaamo-kiristyksen-uhrina-miten-toimin-ja-mita-tein/
Tomi Engdahl says:
Tietosuojavaltuutettu: Henkilötunnusta ei saa nykyisinkään käyttää tunnistamiseen – tiukennuksia on kuitenkin harkittava
https://www.oikeusmedia.uutisparkki.com/2020/10/28/tietosuojavaltuutettu-henkilotunnusta-ei-saa-nykyisinkaan-kayttaa-tunnistamiseen-tiukennuksia-on-kuitenkin-harkittava/
Tomi Engdahl says:
Vastaamo-vyyhtiä puretaan nyt kolmessa eri ministeriössä – Marin väläyttää kyberturva-asioiden keskittämistä yhdelle ministerille
https://www.iltalehti.fi/kotimaa/a/b86a2be5-1c15-4958-a280-b518a1f77c34
Tomi Engdahl says:
Vastaamo-kiristyksen uhrien tietoja levitetään nyt uudella tavalla – asiantuntijat: Harkitse tarkkaan, mitä kirjoitat someen https://www.is.fi/digitoday/art-2000006702529.html
Tomi Engdahl says:
Vastaamo lähetti sähköpostilla asiakkaiden henkilötunnuksia suojaamatta https://www.is.fi/digitoday/tietoturva/art-2000006702392.html
Vastaamo on lähettänyt henkilötunnuksia sähköpostissa suojaamatta laskun mukana – asiantuntija: “Vastoin kaikkia sääntöjä”
Vastaamo ei kommentoi asiaa. Tietosuojavaltuutetun mukaan laskuun ei saisi laittaa henkilötunnusta.
https://yle.fi/uutiset/3-11617763
Tomi Engdahl says:
Kolumni: Pian kaikki voivat tietää, mitä sinä haluat sängyssä
https://www.iltalehti.fi/kotimaa/a/9aca2586-486d-4516-bcdb-826c39f93ad1
Vastaamon tietomurto on järkyttävä katastrofi ja törkeä rikos, mutta ikävä kyllä se oli täysin ennakoitavissa. Eikä se jää viimeiseksi – rakkaat ystävät, tämä on vasta alkua.
On häkellyttävää, kuinka naiivin optimistisesti me suhtaudumme kaikkeen tietoon, jota annamme itsestämme nettiin. On täysin mahdollista, että kaikki netille luovuttamamme tieto vuotaa joku päivä julkiseksi.
Netti tietää meistä enemmän kuin läheiset ystävät tai jopa puolisomme. Se on täydellinen päiväkirja sinusta, mutta sinä et itse pääse sitä enää lukemaan. Sen lukee joku toinen.
Tomi Engdahl says:
Vastaamo-kiristäjä pysyi piilossa vaikka lunnaiden maksuaika umpeutui
nyt uhkana uhrien identiteettivarkaudet
https://yle.fi/uutiset/3-11618253
Kiristäjä ei tiettävästi julkaissut uusia henkilötietoja tai
potilaskertomuksia tiistaina, kuten uhkasi.
Tomi Engdahl says:
Vastaamo-kiristyksen uhrien tietoja levitetään nyt uudella tavalla
asiantuntijat: Harkitse tarkkaan, mitä kirjoitat someen
https://www.is.fi/digitoday/art-2000006702529.html
Tiedetään, että idiootit pimeässä verkossa ovat jo levittäneet
poliisien, kansanedustajien ja muiden julkisuuden henkilöiden
potilastietoja, sanoo F-Securen tietoturvajohtaja Erka Koivunen.
Tomi Engdahl says:
Maksoitko lunnaat Vastaamo-kiristäjälle? Mikko Hyppönen: Näin voit
auttaa saamaan hänet kiinni
https://www.is.fi/digitoday/tietoturva/art-2000006702689.html
Mikko Hyppönen vetoaa Vastaamo-iskun lunnaat maksaneisiin uhreihin ja
pyytää heitä ottamaan yhteyttä. myös:
https://www.is.fi/digitoday/tietoturva/art-2000006702280.html
Tomi Engdahl says:
Marin toivoo, että Vastaamon tietomurron uhrit voisivat muuttaa
henkilötunnustaan nopeasti hallitus pui tietomurtoa iltakoulussaan
https://yle.fi/uutiset/3-11617366
Pääministeri Sanna Marin (sd.) kommentoi iltakoulun jälkeen, että on
hallituksen vastuulla kartoittaa laajasti ne asiat, joita
lainsäädännössä pitäisi mahdollisesti muuttaa, jotta tietomurtoja
voidaan estää. Nopealla aikataululla on tarkoitus katsoa se, että
tarjoaako nykylainsäädäntö välineitä Vastaamon tietomurron uhreille
muuttaa henkilötunnusta vai tarvitaanko siihen lainsäädäntömuutoksia.
Liikenne- ja viestintäministeriötä Marin on puolestaan pyytänyt
johtamaan työtä, jonka tarkoitus on parantaa kyberturvallisuutta ja
tietosuojaa. Marinin mukaan pitää pohtia myös sitä, pitäisikö yhden
ministeriön olla selkeästi vastuussa kyberturvallisuudesta,
tietosuojasta ja digiasioista.
Tomi Engdahl says:
Hakkeriyrityksen johtaja Mårten Mickos vaatii ankaria sakkoja
tietoturvansa laiminlyöville yrityksille Vastaamon tapauksen hän uskoo
selviävän
https://www.kauppalehti.fi/uutiset/hakkeriyrityksen-johtaja-marten-mickos-vaatii-ankaria-sakkoja-tietoturvansa-laiminlyoville-yrityksille-vastaamon-tapauksen-han-uskoo-selviavan/72a050dd-8d7d-4987-9759-37448d4ad221
Yritysten tietoturva-aukkojen etsimiseen keskittyvän Hacker Onen
toimitusjohtaja ja startup- rahoittaja Mårten Mickos sanoo, että
Suomessa ei ymmärretä digitaalisen datan arvoa ja merkitystä. Sen
takia lainsäädäntö on liian lepsua, ja tämä voi johtaa uusiin
tietomurtoihin. “Pitäisi tajuta, että kyberuhat ovat yhtä vaarallisia
kuin kemialliset, terveydelliset ja sotilaalliset uhat. Vaikutus ja
tuho voivat olla samaa luokkaa”, hän sanoo.
Tomi Engdahl says:
Suomalaisten terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen
http://www.hyperlinkki.mediaparkki.com/2020/10/29/suomalaisten-terveystietojen-tietoturvaa-auditoidaan-kevyemmin-kuin-luottokorttitietojen/
Vastaamon tapaus herätti vilkkaan keskustelun terveystietojen tietoturvasta. Yhteiskunnassamme tulisi nyt pohtia, miten terveystietojen tietoturvaa auditoidaan, ja verrata sitä muiden toimialojen tietoturvavaatimuksiin ja auditointikäytäntöihin.
”Vuoden 2020 alkupuolella aloimme tarjota asiakkaillemme Kanta-auditointia, johon kuuluu THL:n vaatimusten auditoinnin lisäksi erilliset tekniset tarkastukset. Uskomme, että tietoturva on sovellustoimittajille niin tärkeä, että tällaiselle palvelulle on kysyntää ilman viranomaisvaatimustakin. Tarjoamme mielellämme myös palvelutoimittajille tarkastuksia, joilla voidaan selvittää käyttöympäristön tietoturvan taso. Tämä kannattaa tehdä ennen tietomurtoa, omavalvonnan hengessä, aivan kuten viranomainen palvelutoimittajilta odottaakin”, kertoo Nixu Certification Oy:n toimitusjohtaja Niki Klaus.
Terveystiedot ja Kanta-tietoturvavaatimukset
Terveystietoa käsittelevät tietojärjestelmät on jaettu kahteen luokkaan, A- ja B-luokan järjestelmiin. A-luokan järjestelmillä tarkoitetaan niitä tietojärjestelmiä, jotka liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon, eli Kantaan. B-luokan järjestelmät eivät ole liittyneet Kantaan, eli ne toimivat paikallisesti.
A-luokan järjestelmille on THL:n määrittelemät tietoturvavaatimukset. Sen sijaan B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Järjestelmää käyttävä palvelutuottaja joutuu kuitenkin tekemään omavalvontasuunnitelman tietoturvan osalta.
Julkisesti saatavilla olevien tietojen mukaan Vastaamo käytti B-luokan järjestelmää. Tällaista järjestelmää ei siis tarvitse auditoida, vaan sen osalta suoritetaan ns. omavalvonta, eli palveluntuottaja täyttää ainoastaan omavalvontalomakkeen.
Maksukorttitietojen turvallisuus ja PCI
Maksukorttitietojen turvallista käsittelyä kauppiaiden ja palveluntarjoajien osalta säätelee kansainvälinen standardiperhe nimeltä PCI (Payment Card Industry). Sen tunnetuin standardi on PCI DSS (PCI Data Security Standard), joka asettaa vaatimuksia tiedon käsittelylle, siirrolle ja tallennukselle. PCI DSS syntyi maksukorttiyhtiöiden yhteistyön tuloksena (mm. Visa ja MasterCard)
Viranomaisten turvaluokiteltu tieto ja Katakri
Viranomaisten turvaluokitellun tiedon suojausta voidaan arvioida Katakrilla, joka on kansallinen turvallisuusauditointikriteeristö vuodelta 2015. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakria käytetään arvioitaessa viranomaisten tietojärjestelmien turvallisuutta, mutta sitä käytetään myös viranomaisten puolesta tietoa käsittelevien palveluntarjoajien, kuten IT palvelutalojen, arvioinnissa. Näin pyritään varmistamaan, että organisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.
Toisin kuin PCI, Katakri sisältää turvatasoja sen mukaan, miten kriittistä tietoa suojataan. Alin taso on turvaluokka TL IV ja ylin taso TL I. Turvaluokkia voidaan pitää positiivisena asiana, sillä tiedon ylisuojaaminen on kallista ja vaikeuttaa tiedon käyttöä. Samalla varmistetaan, ettei arkaluontoista tietoa alisuojata.
Tomi Engdahl says:
F-Securen Mikko Hyppönen: Vastaamo-kiristäjä on tehnyt ison virheen – ”Vähän kuin sormenjälki”
Hyppönen uskoo, että virhe voi johtaa tekijän jäljille.
https://www.is.fi/digitoday/tietoturva/art-2000006701807.html
Psykoterapiakeskus Vastaamoa kiristävää verkkorikollista voi olla vaikea saada kiinni, mutta nyt hän on tehnyt ison virheen, F-Securen tutkimusjohtaja Mikko Hyppönen kertoo Ilta-Sanomille.
Aivan, hän. Hyppönen kertoo hiljattain vakuuttuneensa siitä, että kansainvälisen rikollisryhmän sijasta asialla on yksittäinen ihminen.
– Tämä on tietysti spekulaatiota. Faktoja meillä ei ole.
Kun Vastaamon kiristystapaus tuli julkisuuteen viime viikon keskiviikkona, Hyppösen ensimmäinen veikkaus oli, että kyseessä on suomalainen hyökkääjä. Sitten kun hän seurasi hyökkääjän kommunikointia, näytti siltä, että kyseessä on ammattimaisen ryhmän jäsen, joka tekee tällaista usein. Ehkä hän antoi sellaisen mielikuvan tarkoituksella.
Kiristäjän toiminta vaikutti Hyppösen mukaan rutinoituneelta, eivätkä kansainväliset verkkorikollisryhmät ole mitään satua.
Nyt Hyppönen kertoo huomanneensa, että kiristäjä vaikuttaa hermoilevan. Mielikuva ammattimaisesta ryhmästä on karissut, hän sanoo.
Syitä tähän on ainakin kaksi. Ensimmäinen on kiristäjän yhtäkkinen strategian vaihto: ensiksi hän yritti kiristää suoraan Vastaamoa, mutta kun se ei näyttävästi tuottanut tulosta, rikollinen siirtyi kiristämään Vastaamon yksittäisiä asiakkaita.
Toiseksi kiristäjä on tehnyt Hyppösen mukaan suuren virheen. Kiristäjän salatussa tor-verkossa ylläpitämä verkkosivu oli pystyssä keskiviikon ja torstain, mutta perjantaina aamuyöstä sinne ilmestyi yhtäkkiä kymmenen gigatavun kokoinen tiedosto. Se ehti olla sivustolla noin seitsemisen tuntia, Hyppönen sanoo.
Tomi Engdahl says:
Näin Mikko Hyppönen päätyi uskomaan, että Vastaamon kiristäjä on suomalainen
Kiristäjä oli viestittelyssään jonkin aikaa hyvinkin aktiivinen.
https://www.is.fi/digitoday/tietoturva/art-2000006702280.html
Tomi Engdahl says:
Kyberturvallisuusprofessori vaatii kansallista selvitysryhmää penkomaan Vastaamon vuotoa
Teppo Ovaskainen29.10.2020 09:15TietoturvaYhteiskuntaDigitalous
https://www.tivi.fi/uutiset/tv/cd1d113a-f573-406a-9aa5-ad59bb17c117
Psykoterapiakeskuksen tietomurto ja kansalaisten laaja kiristys ovat kansallinen kriisitilanne, katsoo kyberturvallisuuden työelämäprofessori Jarno Limnéll. Hän vaatii selvitysryhmää tutkimaan digiajan suuronnettomuutta.
”Vaikka kyseessä on kansallinen kriisitilanne, jossa iso joukko suomalaisia tuntee parhaillaan vakavaa turvattomuuden tunnetta, kukaan ei ole vieläkään ehdottanut selvitysryhmän perustamista. Eikö kymmenien tuhansien ihmisten ahdinko ole riittävän suuri kriisi?” ihmettelee Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno Limnéll Puheenvuoron blogissaan.
Tomi Engdahl says:
Marin: Vastaamon vuodon urheille harkinnassa uudet henkilötunnukset
https://www.tivi.fi/uutiset/tv/43140a7f-8622-4701-bb83-8a7f2f78f149
Hallitus kuuli iltakoulussaan eri asiantuntijatahoja Vastaamon tietovuodosta ja keinoista suojella uhreja sekä parantaa tietoturvaa lainsäädännöllä.
Tomi Engdahl says:
EXCLUSIVE: Medical Records of 3.5 Million U.S. Patients Can be Accessed and Manipulated by Anyone
https://www.securityweek.com/exclusive-medical-records-35-million-us-patients-can-be-accessed-and-manipulated-anyone
More Than 2 Petabytes of Unprotected Medical Data Found on Picture Archiving and Communication System (PACS) Servers
The results of 13 million medical examinations relating to around 3.5 million U.S. patients are unprotected and available to anyone on the internet, SecurityWeek has learned. This is despite the third week of this year’s National Cybersecurity Awareness Month (week beginning 19 October 2020) majoring on ‘Securing Internet-Connected Devices in Healthcare’.
The details were disclosed to SecurityWeek by Dirk Schrader, global vice president at New Net Technologies (NNT — a security and compliance software firm headquartered in Naples, Florida). He demonstrated that the records can be accessed via an app that can be downloaded from the internet by anyone. The records found are in files that are still actively updated, and provide three separate threats: personal identity theft (including the more valuable medical identity theft), personal extortion, and healthcare company breaches.
Schrader examined a range of radiology systems that include an image archive system — PACS, or picture archiving and communication system. These contain not only imagery but metadata about individual patients. The metadata includes the name, data of birth, date and reason for the medical examination, and more. Within a hospital, the imaging systems (X-rays, MRIs etc) are also stored in the PACS. The treating physician needs ready access to the images to confirm the current treatment. Schrader simply used Shodan to locate systems using the DICOM medical protocol. Individual unprotected PACS systems within the return of 3,000 servers were located manually. One, for example, contained the results of over 800,000 medical examinations, probably relating to about 250,000 different patients.
Tomi Engdahl says:
https://etn.fi/index.php/13-news/11328-vastaamon-kaltaisia-kaksoiskiristyksia-luvassa-lisaa
Tomi Engdahl says:
“Mitä psykoterapeutti on kirjannut minusta?” Vastaamo-uhri pöyristyi alan käytännöistä
https://www.iltalehti.fi/iltv-paivarinta-klipit/a/f03c3747-7768-48c0-a848-880130f9a667
Vastaamo-kiristyksen uhriksi joutuneen Katleena Kortesuon mukaan on täysin herran hallussa, mitä psykoterapeutti kirjaa asiakkaan tietoihin.
Tomi Engdahl says:
Supon päällikkö Vastaamon varastetuista potilastiedoista: ”Tiedustelupalvelut voivat olla hyvinkin kiinnostuneita” https://www.is.fi/kotimaa/art-2000006703366.html
Tomi Engdahl says:
http://www.hyperlinkki.mediaparkki.com/2020/10/29/muuttoeston-voi-nyt-tehda-myos-sahkoisesti/
Tomi Engdahl says:
Törkeä tietomurto ja kiristys herätti niin uhrit kuin muutkin digimaailman vaaroihin. Lakimies Maria Jauhiainen kertoo omasta tapauksestaan ja siitä, mitä seurauksia #Vastaamo-tapauksella on.
https://insinoori-lehti.fi/tasta-on-kysymys/tapaus-vastaamo-muuttaa-maailmaa/?fbclid=IwAR1sGpUCgPo0W_bm0Ls08FGDPbWxVDxt1yVTJn2fkTeZAXErz1vPKEtdUVE
Tomi Engdahl says:
Yle: Ainakin 14 Vastaamon tietomurron uhria on maksanut lunnaat
F-Securen tutkimusjohtajan mukaan psykoterapiakeskuksen kiristäjän nimimerkki on aktivoitunut.
https://www.iltalehti.fi/kotimaa/a/cfe5481f-7fab-4288-b07e-f4a7f507287e
F-Securen tutkimusjohtaja Mikko Hyppönen kertoo Ylellä, että Vastaamoa kiristäneen henkilön nimimerkki on viime yönä tyhjentänyt tilit, joille uhrit ovat maksaneet rahoja.
Nimimerkki ransom_man vaati uhreilta 200 euroa.
Hyppösen mukaan ainakin 14 Vastaamon kiristäjän uhria on maksanut vaaditut lunnaat. Keskiviikkona Hyppönen pyysi Twitterissä yhteydenottoja niiltä Vastaamon uhreilta, jotka ovat lunnaat maksaneet. Bitcoin-osoitteiden avulla kyberturvallisuuden asiantuntijat voivat päästä kiristäjän jäljille.
Hyppönen kertoi Yle Radio Suomessa tänään, että hän on saanut twiittinsä tiimoilta ainakin 50 yhteydenottoa. Heistä suurin osa on Hyppösen mukaan halunnut maksaa ja on yrittänytkin.
– Sellaisia, joista todella näen, että maksaminen on oikeasti onnistunut ja rahat on lähtenyt tililtä niin heitä on tiedossa 14 kappaletta
Tomi Engdahl says:
“Vaarallisten rikollisten suututtaminen iso riski” – Nyt puhuu Vastaamo-kiristyksen uhri
https://www.iltalehti.fi/iltv-paivarinta/a/a0a7cc66-8fbc-4c8e-9200-f9c81254b076
Viestintäyrittäjä Katleena Kortesuo pitää tekijöitä vaarallisina rikollisina, joiden suututtaminen voi olla iso riski.
Katleena Kortesuo astuu rohkeasti kameroiden eteen Sensuroimattomassa Päivärinnassa.
Tomi Engdahl says:
Vastaamon kiristäjä aktivoitui viime yönä – siirsi lunnasrahat itselleen
Ainakin 14 ihmistä on maksanut lunnaat suoraan kiristäjälle.
https://www.is.fi/digitoday/tietoturva/art-2000006703666.html
Tomi Engdahl says:
Supon päällikkö Vastaamon varastetuista potilastiedoista: ”Tiedustelupalvelut voivat olla hyvinkin kiinnostuneita”
https://www.is.fi/kotimaa/art-2000006703366.html
Koronaviruspandemia lisäsi kybervakoilun määrää. Erityisesti Venäjä ja Kiina kohdistavat Suomeen systemaattista kybervakoilua.
Tomi Engdahl says:
Maksoitko lunnaat Vastaamo-kiristäjälle? Mikko Hyppönen: Näin voit auttaa saamaan hänet kiinni
https://www.is.fi/digitoday/tietoturva/art-2000006702689.html
Mikko Hyppönen vetoaa Vastaamo-iskun lunnaat maksaneisiin uhreihin ja pyytää heitä ottamaan yhteyttä.
Kiristäjä lähetti Vastaamon uhreille sähköpostia lauantaina vaatien näiltä henkilökohtaisia 200 euron lunnaita. Kaikille vastaanottajille oli luotu yksilöllinen bitcoin-lompakko.
Viesti on mitä ilmeisimmin koneellisesti lähetetty. Ei tiedetä, moniko on sellaisen saanut.
Bitcoin on virtuaalinen valuutta, johon verkkorikolliset usein turvautuvat tehdäkseen jäljittämisestään vaikeampaa. Vastaamo-kiristäjän tapauksessa tekijän tunnistaminen ei välttämättä ole mahdotonta, Hyppönen on arvioinut. Hän uskoo tällä hetkellä, että kyseessä on yksittäinen suomalainen henkilö kansainvälisen liigan sijasta.
Vaikka bitcoinin liikkeet ovat anonyymejä, rahan liikettä virtuaalilompakosta toiseen voi seurata. Todellinen kiinnijäämisen paikka on, kun virtuaaliraha yritetään muuttaa oikeaksi rahaksi jossain verkon kryptovaluuttapörssissä.
Tomi Engdahl says:
Uusimmat tiedot Vastaamon tietomurrosta: Hyppönen: 14 ihmistä on maksanut kiristäjälle, Limnéll ehdottaa selvitysryhmän perustamista, identiteettivarkauden uhri voi saada apua kotivakuutuksesta
https://yle.fi/uutiset/3-11612399
Yle seuraa tähän artikkeliin keskeiset tiedot poikkeuksellisesta tietomurtotapauksesta.