Psykoterapiakeskus Vastaamon tietomurto - nyt oikeuskäsittelyssä

Otsikon mukaisesti. Myös onnettomuudet pienistä suuriin. Pohjustamattomat keskustelunavaukset.
Hermione
Alibin Kestotilaaja
Viestit: 5039
Liittynyt: Ma Kesä 22, 2020 6:38 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena

Viesti Kirjoittaja Hermione »

https://www.is.fi/digitoday/tietoturva/ ... 76604.html
Tietoturva

Kiristäjä julkaisi suomalaisten arka­luontoisia terapia­keskusteluja – vaatii 450 000:ta euroa tai jatkoa seuraa

Psykoterapiakeskus Vastaamon tietomurrossa on vuotanut ilmeisesti kymmenien tuhansien ihmisten arkaluontoisia tietoja.

13:00

Psykoterapiakeskus Vastaamo on parhaillaan kiristyksen kohteena. Kiristäjillä on hallussaan potilastietoja, joista käy ilmi muun muassa asiakkaiden nimiä, osoitteita, puhelinnumeroita ja henkilötunnuksia. Tämän lisäksi vuodetuissa tiedoissa on arkaluontoisia henkilökohtaisia keskusteluja sisältäviä potilastietoja.

Ilta-Sanomat on nähnyt nettiin vuodettuja tietoja. Tiedoissa kerrotaan terapiaistuntojen sisällöistä, ja niistä paljastuu hyvin arkaluontoisia ja intiimejä asioita. Tämän lisäksi kiristäjä julkaisi lunnasvaatimuskirjeenvaihtoaan Vastaamon kanssa.

Kiristäjä esitti lunnasvaatimuksen, jossa Vastaamolta vaadittiin 40:tä bitcoinia eli noin 450 000:ta euroa. Vastaamo otti yhteyttä viranomaisiin, kun kiristys selvisi.

Ilta-Sanomien havainnon mukaan kiristäjän uhrilleen antamaan bitcoin-osoitteeseen ei ole tehty rahansiirtoja. Kiristäjä julkaisi tänä aamuna salatussa Tor-verkossa sadan terapia-asiakkaan tiedot kello 4.52 Suomen aikaa. Kiristäjä teki asiasta julkisen Ylilauta-foorumilla.

Kiristäjäksi esittäytynyt taho otti yhteyttä Ilta-Sanomiin ensimmäisen artikkelin julkaisun jälkeen. IS:n tekemien tarkistusten perusteella yhteyttä ottanut taho vaikuttaa samalta kuin tekijä.

Hyvällä englannilla toiminut kirjoittaja sanoi edustavansa ryhmää, joka oli murron takana. Kirjoittaja sanoi toimintansa olevan moraalitonta, mutta hän halusi vierittää syyn Vastaamolle, joka ”ei suojellut asiakkaitaan riittävästi eikä halunnut suojella näiden tietoja”. Yhteyttä ottanut taho sanoo julkaisevansa sadan psykoterapia-asiakkaan tiedot joka päivä, kunnes vaatimuksiin suostutaan.

Kiristäjän väitteen mukaan ryhmällä on hallussaan 40 000 terapia-asiakkaan tiedot. Väitteelle ei ole saatu vahvistusta muulta taholta.

Vastaamon tiedotteen mukaan marraskuun 2018 jälkeen kirjattuja tietoja ei ole päätynyt murtautujille. Tämä on linjassa oletetun kiristäjän Ilta-Sanomille välittämän tiedon kanssa.

IS ei julkaise tietoa murron tarkasta ajankohdasta. Kiristäjä sanoi ryhmän ymmärtäneen vasta hiljattain, millaista ainesta sillä on käsissään.

Vastaamon hallituksen puheenjohtaja Tuomas Kahri pahoittelee syvästi tapahtunutta. Hän sanoo Vastaamon saaneen kiristysviestin syyskuun lopussa, mutta ei vahvista murron mittakaavaa eikä vuotaneiden tietojen määrää. Kiristyksestä ilmoitettiin heti viranomaisille.

– Käynnissä olevan poliisitutkinnan takia emme ole aikaisemmin saaneet viestiä aiheesta, sillä tutkintateknisistä syistä asiaa ei ole haluttu julkistaa, Kahri kertoo sähköpostiviestissään IS:lle.

Kahri sanoo Vastaamon olevan syvästi pahoillaan tietoturvaloukkauksen kohteeksi joutuneiden puolesta. Vastaamon tietojärjestelmiä on tarkistettu, ne on vahvasti suojattu ja niiden tietoturva-ammattilaiset valvovat niiden käyttöä tehostetusti.

– Viranomaiset ja Vastaamo tekevät kaikkensa selvittääkseen tapahtuneen, estääkseen tietojen leviämistä ja saattaakseen syylliset vastuuseen. Keskusrikospoliisin lisäksi Traficomin alainen Kyberturvallisuuskeskus ja tietosuojavaltuutetun toimisto ovat mukana asian selvittämisessä. Käytämme myös ulkopuolisia riippumattomia tietoturva- ja tietosuoja-asiantuntijoita, Kahri toteaa.

Kiristäjän esittämien väitteiden mukaan Vastaamon järjestelmien salasanasuojaus olisi ollut erittäin heikko. Kahri ei kommentoi väitettä.

Vastaamo ei ole tiedottanut asiasta ennen tätä päivää, ei edes murron uhreiksi joutuneelle.

– Käynnissä olevan poliisitutkinnan takia emme ole aikaisemmin saaneet viestiä aiheesta, sillä tutkintateknisistä syistä asiaa ei ole haluttu julkistaa. Olemme tänään viestineet asiasta verkkosivuillamme.

– Vastaamo huolehtii rekisterissä olevien henkilöiden oikeuksien toteutumisesta lain velvoittamalla tavalla. Vastaamo tekee tarvittavat toimenpiteet tiedottaakseen tilanteesta tietoturvaloukkauksen kohteeksi joutuneille henkilöille, Kahri jatkaa.

Tutkinnanjohtaja rikoskomisario Marko Leponen Keskusrikospoliisista kertoo, että poliisilla on tutkinnassa kuvatunlainen tapaus. Hän ei tutkinnallisista syistä paljasta kohteeksi joutuneen tahon nimeä.

Tapausta tutkitaan törkeänä tietomurtona.

Tietoverkkorikoksia on yleensä vaikea selvittää. Leponen ei arvioi rikoksen selviämismahdollisuuksia, mutta sanoo poliisin tekevän esitutkintaa kaikin keinoin.

Poliisi kehottaa yksityishenkilöitä tekemään rikosilmoituksen, jos näiden tietoja julkaistaan verkossa. Tällöin kysymykseen tulee yksityiselämää loukkaava tiedon levittäminen.

Leponen ei ota kantaa siihen, onko taho syyllistynyt mahdolliseen gdpr-rikkomukseen, jos sen asiakastietokanta on varastettu, mutta uhreille ei ole ilmoitettu siitä. Asia kuuluu tietosuojavaltuutetulle, jonka toimien perusteella poliisi voi käynnistää esitutkinnan.

VastarannanKiiski
Axel Foley
Viestit: 2438
Liittynyt: La Helmi 08, 2020 6:24 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja VastarannanKiiski »

Kylläpäs tuli aiempiin viesteihini paljon kirjoitusvirheitä, mutta eipä niitä enää pysty muokkaamaan. En itse ole kyllä Vastaamon asiakas, vaan yleisesti nettipalvelujen ja sivustojen loputon kehittely ja ideointi yhdistettynä heikkoon tietoturvaan ja silkkaan sinisilmäisyyteen vituttaa.

Hesarissa on kiinnostava juttu Vastaamon taustasta. Postaan sen tänne, kun on maksumuurin takana. Olisiko kannattanut laajentua hitaammin ja harkitummin? Ehkä it-tyyppi on yliarvioinut kykynsä ja aliarvioinut riskit. Jo pelkästään tuo alkuajan sähköpostien vaihto kuulostaa hiukan arveluttavalta näinkin arkaluonteisten asioiden ollessa kyseessä. Ilmeisesti ostopalveluna kunnatkin ovat firmalta terapiaa ostaneet potilaille, leikattuaan ensin omat fyysiset palvelut olemattomiin säästösyistä.
Perheyritys, ehkei vanhemmat ole niin perehtyneitä tietotekniikkaan, poika söheltävä it-uskovainen ja lopputulos on tämä.
Toivottavasti kukaan ei päädy tämän takia itsemurhaan sentään.

https://www.hs.fi/elama/art-2000005112692.html
Äiti ja poika tekivät yhdessä terapiasta menestyvän bisneksen – ja heidän luomansa konsepti on Suomessa ainutlaatuinen

Terapiatalo Vastaamo laajenee vauhdilla. Yrityksen pääomistajat Ville ja Nina Tapio ovat paitsi ohjelmistokehittäjä ja psykoterapeutti myös äiti ja poika. Yritys sai alkunsa vanhempien kahvipöydässä esitetystä kysymyksestä.

Kuva

Nina Tapio on psykoterapeutti ja Ville Tapio ohjelmistokehittäjä. Yhdessä he johtavat Vastaamoa.­Kuva: Jukka Gröndahl / HS

4.3.2017 2:00 | Päivitetty 6.3.2017 16:47

Miten it-alan ja psykoterapian voisi yhdistää?

Nina Tapio muistaa sen hetken, kun hänen poikansa Ville Tapio esitti kysymyksen. Ville Tapio oli käymässä vanhempiensa luona Helsingin Pakilassa, ja he olivat juuri nousseet kahvipöydästä.

Ville Tapio oli ohjelmistokehittäjä, Nina Tapio taas psykoterapeutti. Siinä mielessä kysymys oli ymmärrettävä.

Ja muutenkin.

”Heti ajattelin, että kyllä ne on mahdollista yhdistää”, Nina Tapio muistelee.

Noin vuoden kuluttua poika esitti äidilleen saman kysymykseen. Ja sitten alkoikin tapahtua.

Ville ja Nina Tapio omistavat psykoterapiakeskus Vastaamon, jolla on seitsemän toimipistettä kuudessa kaupungissa. Ville Tapio on toimitusjohtaja, Nina Tapio henkilöstöjohtaja.

Lisää Vastaamoja on tulossa: tänä vuonna avataan neljä uutta. Niihin palkataan sata työntekijää, suurin osa psykoterapeutteja ja psykiatreja.
:
:


Vuonna 2013 Vastaamo-verkkoa alettiin aktiivisesti rakentaa. Vuonna 2016 Vastaamon liikevaihto oli jo 5,6 miljoonaa. Liikevoitto oli 0,3 miljoonaa euroa.

Suosiosta voinee päätellä, että suomalaiset ovat terapian tarpeessa. Ville Tapio mukaan näin onkin – ja itse asiassa vielä suuremmassa tarpeessa kuin moni ymmärtää.

”On arvioitu, että kymmenen prosenttia suomalaisista tarvitsisi psykoterapiaa. Kuitenkin tarvitsevista vain 25 prosenttia käyttää palveluja.”
:
:

Ville Tapio on ohjelmoinnissa itseoppinut. Kaikki alkoi, kun hän sai ekaluokkalaisena Commodore 64 -tietokoneen isovanhemmiltaan. Vuosi oli 1988.

Hän hurahti täysin. Ohjelmoinnin hän aloitti yläasteella, kun koodasi koripallojoukkueelleen ottelutilastojärjestelmän ja kotisivut.

Jossain vaiheessa Ville oli tietokoneella yöt läpeensä. Koulu kärsi, ja aina ei jaksanut olla skarppi. Vanhemmat pitivät puhutteluja.

Nina Tapiolle on jäänyt mieleen eräs talvinen aamu, kun hän joi aamukahvia kotona.

”Ville juoksi ohi reppu selässä. Puolen tunnin kuluttua hän tuli takaisin ja sanoi, että koululla ei ole ketään. Sanoin, että ei niin, koska nyt on hiihtoloma.”

Ville Tapio koki, ettei 1990-luvulla koulussa arvostettu tietokonetaitoja. Se söi entisestään hänen in­toaan opiskella.

”Koulu ei osannut tarjota mitään näköalaa, miten tällaisia taitoja voisi oikeassa elämässä hyödyntää.”

Opettajat eivät todennäköisesti itsekään tienneet. Onneksi he saivat oppia – Ville Tapiolta. Kun Ville oli lukiossa, Helsingin opetusvirasto palkkasi hänet opettamaan opettajille tietokoneen käyttöä.

Nina Tapio ei enää harmittele, että poika valvoi öisin koneen äärellä. Hän on muutenkin miettinyt, kannattaako vanhempien liikaa toppuutella, jos lapsilla on intohimo johonkin asiaan.

”Kun on motivoitunut, kehittyy.”

Verkkopalvelut ovat edelleen olennainen osa Vastaamoa. Terapeutin voi tavata videovastaanotolla. Verkkoneuvonnassa voi kysyä asiantuntijalta esimerkiksi parisuhteestaan, uupumuksestaan tai lastenkasvatuksestaan.
:
:

■ Vastaamon 58-vuotias henkilöstöjohtaja, psykoterapeutti.
■ Koulutus: teologian maisteri, työnohjaaja, perheneuvoja sekä kriisi- ja traumapsykoterapeutti.
■ Harrastukset: mökillä puuhastelu ja metsänhoito.
■ Perhe: mies, kolme aikuista poikaa ja kaksi koiraa.

Ville Tapio
■ Vastaamon 35-vuotias toimitusjohtaja, ohjelmistokehittäjä.
■ Koulutus: tuotekehittäjän erikoisammattitutkinto.
■ Harrastukset: koripallo, kaupunkikulttuuri, matkailu.
■ Ei perhettä.

Fakta
Vastaamo
■ Vastaamo on seitsemän psykoterapiakeskuksen verkosto. Tänä vuonna valmistuu neljä uutta. Sen jälkeen Vastaamo toimii Helsingissä, Espoossa, Hämeenlinnassa, Jyväskylässä, Lahdessa, Lappeenrannassa, Oulussa, Tampereella, Turussa ja Vantaalla.
■ Tavoitteena on saada 20 keskuksen verkosto valmiiksi vuoteen 2020 mennessä.
■ Vastaamon psykoterapiakeskuksissa oli 63 338 asiakaskäyntiä vuonna 2016. Verkkopalvelu vastaamo.fi:tä käyttää vuosittain yli puoli miljoonaa ihmistä.
■ Vastaamon omistavat Ville Tapio (68 prosenttia), Nina Tapio (18 prosenttia) ja Petu Tapio (14 prosenttia.)
Cut. Pykälä 21
-NILS-

Kintsu
Scooby-Doo
Viestit: 26
Liittynyt: La Syys 08, 2018 2:31 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja Kintsu »

En juuri näistä atk jutuista tiedä. Mutta koska kiristäjä on postaillut ylilaudalle, eikö tämän ip-tiedot ole mahdollista selvittää? Tor-selaimella ylikselle ei pääse, mutta toki vpn päällä pääsee. Pystyykö jälkiä kuitenkin seuraamaan..?

Avatar
SonnyBonds
Jack Taylor
Viestit: 18
Liittynyt: Pe Heinä 28, 2017 10:47 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja SonnyBonds »

Kintsu kirjoitti:
Ke Loka 21, 2020 4:48 pm
En juuri näistä atk jutuista tiedä. Mutta koska kiristäjä on postaillut ylilaudalle, eikö tämän ip-tiedot ole mahdollista selvittää? Tor-selaimella ylikselle ei pääse, mutta toki vpn päällä pääsee. Pystyykö jälkiä kuitenkin seuraamaan..?
Pystyy tai ei pysty, riippuu kuinka hyvin on jälkensä peittänyt. Luulen, että pelkillä IP-tiedoilla ei vielä pitkälle pötkitä, mutta se voi olla yksi palanen kokonaisuudessa, jos muita johtolankoja löytyy. Yleensä nämä jutut kai lähtee avautumaan jonkun aivopierun takia, kun on tehnyt jotain muuta samalla osoitteella/nimimerkillä jne.

Avatar
Tarkastaja Levisi
Angus MacGyver
Viestit: 6598
Liittynyt: La Heinä 18, 2020 4:44 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja Tarkastaja Levisi »

Tässä on kiinnostavaa materiaalia aiheeseen liittyen eli REKISTERINPITÄJÄN JA HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET JA VASTUUT TIETOTURVALOUKKAUKSESSA. Kyseessä on oikeustieteiden Pro Gradu Itä-Suomen yliopistolta.
Todennäköisesti kehno salasana järjetelmään ei vastaa tietosuojalain vaatimuksia, jolloin Vastaamo voi olla sortunut törkeään huolimattomuuteen.
.
https://epublications.uef.fi/pub/urn_nb ... 190956.pdf

Henkilötietojen käsittelijän tieto-taito -tasoa määriteltäessä rekisterinpitäjän on syytä
tunnistaa toisaalta tietosuojalain vaatimukset käsittelyyn liittyvästä luottamuksellisuudesta,
toisaalta tietosuoja-asetuksen vaateet valppaudesta tietoturvaloukkausten havaisemisessa ja
ilmoitusvelvollisuudessa.
– Touhumme eteni yhä pitemmälle, ja kun aloimme suoraan sanoen nussia lauteilla sylikkäin, Kari Tapio räjähti, Frederik muistelee kirjassa.

Avatar
Tarkastaja Levisi
Angus MacGyver
Viestit: 6598
Liittynyt: La Heinä 18, 2020 4:44 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja Tarkastaja Levisi »

Hakkeriporukka on siis iskenyt neljään muuhun organisaatioon, jotka kaikki ulkomailla. Osaavat hyvin englantia. Kiristäjät nähtävästi jossain ulkomailla.

https://www.is.fi/digitoday/tietoturva/ ... 77282.html

Kommentti: Psykoterapian tietomurrossa on kolme isoa kysymystä – jokainen on todella ruma

Niin kiristäjän, uhriksi joutuneen Vastaamon kuin poliisin toiminnassa on avoimia kysymyksiä. Kärsijöitä ovat ennen kaikkea haavoittuvaisessa asemassa olevat terapia-asiakkaat, kirjoittaa Ilta-Sanomien digitoimittaja Henrik Kärkkäinen.


21.10.2020 21:19

Tänään tuli ilmi, että Psykoterapiakeskus Vastaamoon on tehty tietomurto, jossa on viety mitä todennäköisimmin kymmenien tuhansien ihmisten hyvin sensitiiviset psykoterapiaistuntotiedot sekä henkilötiedot osoitteineen ja henkilötietoineen.

Tuntematon kiristäjä vaati tietojen julkaisematta jättämisestä noin 450 000 euron lunnaita. Kun niitä ei kuulunut, tämä ilmoitti alkavansa julkaista asiakastietoja 100 päivässä.

Vyyhti on ruma. Ja siihen liittyy myös kolme rumaa kysymystä.

Ensimmäinen on: kuka tekee tällaista?


Kiristystä on tehty kautta aikain. Harvoin tietoverkkokiristys kuitenkaan johtaa kuolemiin. Nyt se on mahdollista. Julkaistuissa tiedoissa on äärimmäisen sensitiivistä tietoa ihmisistä, jotka ovat erittäin herkässä tilassa ja kertoneet asioita, jotka eivät muulle maailmalle kuulu.

Julkaistujen tietojen joukossa on myös alaikäisten terapiakertomuksia. Uhreina on siis lapsia.

Vuotaneet tiedot saattavat tulla vastaan mitä moninaisimmilla tavoilla ja viiveellä. Niitä voidaan käyttää petosten tekemiseen tai pahimmissa tapauksissa uusiin kiristyksiin. Mahdollisesti vuosien viiveellä. Olisikin syytä miettiä, pitäisikö henkilötunnuksen muuttamista helpottaa.

Kun Ashley Madison -pettämispalvelu murrettiin ja sen käyttäjien tiedot vuosivat vuonna 2015, alkoi uhreille tulla yhteydenottoja satunnaisilta kiristäjiltä, jotka tarttuivat tilaisuuteen. Niin voi käydä myös nyt.

IS on ollut yhteydessä kiristäjäksi esittäytyneeseen henkilöön, ja tämän tausta murron tehneessä organisaatiossa on varmistettu teknisesti.

Murtautuja sanoo ryhmän iskeneen neljään muuhunkin organisaatioon, jotka ovat maksaneet lunnaat. Tämä sanoo, että Vastaamon tietojen julkaisemista mietittiin pitkään ja deadlinea lykättiin.

Mikään muista tietomurron kohteeksi joutuneista organisaatioista ei ole tietävästi Suomessa.

Kiristäjän mukaan ryhmä ei tietoisesti julkaissut alaikäisten tietoja, vaan poimi ensimmäiset 100 nimeä sattumanvaraisesti. Silti tekoa ei voi puolustella millään. Murtautujan toimista seuraa paitsi valtavasti kärsimystä, myös mahdollisesti uusien rikosten sarja.


Toinen kysymys on: oliko Vastaamon tietoturva riittävä?


Uhria ei saa eikä tule syyllistää, mutta kiristäjä on esittänyt IS:n kanssa käydyssä vistinvaihdossa erittäin häiritseviä väitteitä Vastaamon tietokannan tietoturvasta.

IS ei julkaise väitteitä. Asia selviää poliisin tutkimuksissa.

Potilastietoihin liittyy kuitenkin suuri vastuu. Apulaistietosuojavaltuutettu Jari Råman kommentoi tänään STT:lle yleisellä tasolla, että erityisesti terveydentilaa koskevia tietoja on suojattava huolellisemmin kuin monia muita tietotyyppejä.

Jos luottamuksellisia tietoja vuotaa julki, myös tietojen säilyttäjä saattaa joutua vastuuseen. STT:n mukaan tiedossa on tapauksia, joissa tuomioistuin on määrännyt rekisterinpitäjän maksamaan korvauksia henkilötietojen epäasianmukaisesta käsittelystä.

Murtomies on aina syyllinen. Mutta vastuuta voi olla myös sillä, joka jättää oven auki.

Kolmas kysymys kuuluu: miksi terapia-asiakkaille ei kerrottu murrosta heti?

EU:n gdpr tietosuoja-asetuksen artikla 34 määrää kertomaan rekisteröidyille henkilötietojen tietoturvaloukkauksista ilman aiheetonta viivytystä.

Vastaamon hallituksen puheenjohtaja Tuomas Kahri kertoi yhtiön saaneen yhteydenoton kiristäjiltä syyskuun lopussa. Vastaamo julkaisi asiasta tiedotteen heti Ilta-Sanomien soitettua Kahrille tänä aamuna. Tämän jälkeen asiakkaille myös lähetettiin sähköpostia. IS:ään on ollut yhteydessä Vastaamon asiakas, joka sai tiedon tietojen vuotamisesta Ilta-Sanomista.

Kahri sanoi IS:lle, ettei Vastaamo tiedottanut asiasta aiemmin poliisin ohjeistamana.

Gdpr:n vaatimukseen on poikkeus. Sen resitaali 86 sanoo, että tarve toteuttaa toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien henkilötietojen tietoturvaloukkausten estämiseksi voivat olla perusteena pidemmälle ilmoitusajalle. Eli toisin sanoen tiedottamatta jättämiselle.

Tietosuojavaltuutettu tutkinee aikanaan, onko asiassa edetty lainmukaisesti.
– Touhumme eteni yhä pitemmälle, ja kun aloimme suoraan sanoen nussia lauteilla sylikkäin, Kari Tapio räjähti, Frederik muistelee kirjassa.

Avatar
MissMallard
Axel Foley
Viestit: 2468
Liittynyt: Ke Syys 16, 2015 4:24 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja MissMallard »

Ilmeisesti lisää tietoja on julkaistu kertoo Yle:

https://yle.fi/uutiset/3-11606925

Mitäpähän tähän kommentoisi? Ehkä sellainen joukkotsemppi näille uhreille. Asia on äärimmäisen herkkä ja vakava ja nuo tiedot ovat erittäin arkaluonteisia. Jos yhtään lohduttaa niin nykypäivänä on valtavasti ihmisiä jotka käyvät terapioissa ja hankkimassa keskusteluapua ja tukea itselleen. Joten asiaa ei siltä osin tarvitse hävetä kenenkään! Se joka saa mielihyvää toisen henkilön arkaluonteisten tietojen lukemisesta voi käydä kurkistamassa peiliin että onko siellä kaikki omat kattilat järjestyksessä kun peilikuva tuijottaa takaisin.

Kintsu
Scooby-Doo
Viestit: 26
Liittynyt: La Syys 08, 2018 2:31 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja Kintsu »

Mielestäni vastaamon olisi tehtävä kaikki voitava lisätietojen vuotamisen estämiseksi. Jos lunnaita ei makseta 45000 potilaan tiedot tulevat ihan varmasti julki.
Vastaamon olisi annettava kuva että potilaat ovat tärkeämpiä kuin raha, nythän näin ei näytä olevan. Vaikuttaa siltä että vastaamoa ei paljo kiinnosta asia. Nythän vahinko on vielä aika paljon vähäisempi, 200kpl vs 45000kpl.

Tor-verkossa muutamat uhrit kyselevät nyt kiristäjältä, paljonko maksaa jos omat tiedot poistetaan julkaisuista. Vastaus oli että 0,05Btc ja ilmoitus annettuun sähköpostiin kun maksettu.

Avatar
Tarkastaja Levisi
Angus MacGyver
Viestit: 6598
Liittynyt: La Heinä 18, 2020 4:44 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja Tarkastaja Levisi »

Kannattaa toki hankkia potilastietojärjestelmä, jonka toimivuudesta ei voi olla varmuutta, kymmenen vuoden sopimuksella ja mielellään vielä ulkomaalaiselta yhtiöltä, joka kiertää veroja. Ylen Spotlight -ohjelmassa oli vastikään juttua Vaasan tuoreesta hankinnasta, jossa hintalappu yli 100 miljoonan. Todennäköisesti tässäkään tapauksessa sopimusta ei voisi purkaa, jos hakkeri-kiristäjä iskisi. Sivujuonteena tässä se, että Suomessa hankintalaki ei tunne aggressiivista verosuunnittelua. Toinen potilastietojärjestelmä, joka on edelleen kritiikin kohteena, on maltaita maksanut Apotti pääkaupunkiseudulla.

https://areena.yle.fi/1-50318098

Eiköhän tässä Vastaamon + 5 muun tapauksessa ole taustalla Kiina.

https://etn.fi/index.php/about/13-news/ ... t-vuotavat

Websense Security Labsin mukaan hakkeri-iskut erilaisia potilastietojärjestelmiä vastaan ovat viimeisen 10 kuukauden aikana lisääntyneet peräti 600 prosenttia.

Hyvä esimerkki on amerikkalaisen Community Helath Systemsin taannoinen tapaus, jossa kiinalaishakkerit varastivat 4,3 miljoonan potilaan henkilökohtaiset tiedot.

Potilastietojärjestelmissä oleva tieto on hakkereiden kannalta arvokasta, koska potilastieto linkittyy vakuutustietoihin ja pankkiyhteystietoihin. Tämä on dataa, josta moni on valmis maksamaan.
– Touhumme eteni yhä pitemmälle, ja kun aloimme suoraan sanoen nussia lauteilla sylikkäin, Kari Tapio räjähti, Frederik muistelee kirjassa.

ammattiamatööri
Jack Bauer
Viestit: 902
Liittynyt: Ma Syys 14, 2020 5:03 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja ammattiamatööri »

Sen verran vielä tähän, että teoriassa jos kyseessä olisi ns. ammattitason porukka ja tämä yksi hakkeri siitä ryhmästä nyt ilmeisesti on rahoja itselleen vaatimassa (?) niin voivat vetää leikin vaikka kuinka pitkälle ja tehdä vaikka wikileaksit eli siellähän ainakin oli joskus systeemi, että jos Assagnelle käy jotain niin avaimet sun muut on siirretty muualle ja esim. jos tulisi tieto Assagnen kuolemasta niin se kakkostaso pistää hyrrää pyörimään ja lähtee tiedot vuotamaan isolla pyörällä.

Hankala, hyvin hankala tapaus jopa poliisille sekä muille viranomaisille. Tälläinen rikollisuuden muoto on aivan omassa kastissaan. Se on pientä, että joku hakkeri nyt pystyy hakkeroimaan jonkun asiakasrekisterin tiedot. Niillä ei paljoa mitään tee jos saat osoitteen ja puhelinnumeron haltuusi. Mutta kun omissa käsissä on dataa mikä on noinkin arkaluonteista hetuineen päivineen ja yhdellä klikkauksella pystyy vaikka koko rekisterin vuotamaan julkiseksi parissa sekunnissa niin... Noh. En tiedä pitäisikö tässä jo melkein maksamista harkita. Ihan vaan oppirahojen kannalta.

Ja mitenköhän muuten menee rikosoikeudellisesti, että jos yrityksen tietokannasta pöllitään sun potilastietoihin rinnastettavia tietoja. Kuka korvaa? Kelle voi laskun lähettää siitä henkisestä kärsimyksestä mitä ihminen saattaa tästä vielä edestään löytää? Pitääkö tehdä poliisille rikosilmoitus ja kuka tässä on nyt vastuussa?

Mielestäni yritys jos nyt selviää, että tämä root:root ihan oikeasti on tosi. Täyttä välinpitämättömyyttä ja mikä pahinta: Jos pitää potilastietoja vuotaa niin mikäs sen pahempaa kuin MT-asiakkaiden tiedot. Toivottavasti tästä nyt ei yksikään asiakas flippaa ja tee jotain harkitsematonta esim. itselleen. Ja toivottavasti ihmiset ympäri sosiaalisen median on sen verran edes järjissään, että ymmärtää olla jakelematta yhtään mitään vaikka kovin kiehtoisikin. Jokainen toki löytää halutessaan nuo tiedot jos nyt niin paljon kiinnostaa mutta nyt kysellään jo moraalin perään.

ReissuLasse
Jessica Fletcher
Viestit: 3218
Liittynyt: To Touko 07, 2015 6:47 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja ReissuLasse »

↑ ↑

Tässä keississä kyse vaan taitaa olla päinvastaisesta eli tein itse ja säästin.

Avatar
MissMallard
Axel Foley
Viestit: 2468
Liittynyt: Ke Syys 16, 2015 4:24 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja MissMallard »

Kaikenlaisia kiristyksiä on ollut kai kautta aikain ja nykyään myös Suomessa näitä tietojärjestelmien kaappauksia, ja jopa ihmisten kaappauksia jne. Mielestäni Suomessa on ollut lähtökohtana että kiristäjien vaatimuksiin ei pääsääntöisesti suostuta, ei ulkomailla kaapattujen suomalaisten osalta kuin että yritykset maksaisivat kiristäjille järjestelmiensä ja tietojen kaappauksista. Sitä on vaikea sanoa että maksaako Suomessa joku yksittäinen yrittäjä lunnaita jos hän joutuu esim. tietomurron- tai järjestelmän uhriksi? Ja nämä ovat vähän hankalia asioita, että vaikea sanoa mitä taustalla tapahtuu eli maksetaanko vai ei, mutta tällainen kuva mediasta on ainakin tullut ettei Suomessa kiristäjien vaatimuksiin pääsääntöisesti suostuta tai suositella suostumaan. Riippuu varmaan myös siitä että ilmoittaako joku tällaisestä viranomaisille vai kärsiikö hiljaa nahoissaan ja kiltisti maksaa pyydetyt vaatimukset.

ReissuLasse
Jessica Fletcher
Viestit: 3218
Liittynyt: To Touko 07, 2015 6:47 pm

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja ReissuLasse »

Kyllä kiristyksiin suostutaan, sekä yksityiset että yritykset myös Suomessa. Sitä ei vaan sen jälkeen haluta myöntää vaan kiltisti nuollaan haavat. Eihän koko tällaista toimintaa olisi jos kukaan ei suostuisi. Yksi tekijä on se että näitä tehdään niin suurella volyymilla että aina löytyy joku maksaja, ihan sama kuin roskaposteissa, joku kuitenkin klikkaa.

Doctor Lecter
James Bond (Daniel Graig)
Viestit: 17032
Liittynyt: Pe Kesä 22, 2007 9:32 am

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja Doctor Lecter »

Psykoterapiakeskus Vastaamon kiristäjä julkaisi yöllä lisää erittäin arkaluontoisia potilaskertomuksia

Potilastiedoissa kerrotaan henkilötietoja ja hyvin intiimejä tietoja asiakkaiden elämäntilanteista ja mielenterveyden ongelmista.

Psykoterapiakeskus Vastaamoa kiristävä henkilö on julkaissut yöllä Tor-verkossa lisää varastamiaan potilastietoja. Potilastiedoista ilmenee Vastaamon asiakkaiden nimet, osoitteet, henkilötunnukset ja potilaskertomukset.

Potilaskertomuksista moni sisältää erittäin arkaluontoista tietoa asiakkaiden yksityiselämästä.

Tuntematon kiristäjä on julkaissut myös viestejä, joiden hän antaa ymmärtää olevan Vastaamon edustajan ja hänen välisiään. Viestien perusteella kiristäjä vaatii Vastaamolta 40 bitcoinin lunnaita, jotta hän lopettaa tietojen julkaisun. Vaadittu verkkovaluuttasumma vastaa noin 450 000 euroa.

Kiristäjä uhkasi julkaista sata potilastietoa päivässä, jos hänen vaatimuksiinsa ei suostuta. Viime yönä hän julkaisi toiset sata, ja nyt julkaistujen potilastietojen määrä on yhteensä vähän yli 200.

Oikeiden ihmisten tietoja
Yle on nähnyt potilastiedot ja tehnyt vertailua potilastietojen, väestörekisterin ja sosiaalisen median välillä. Potilastiedoissa kerrotut henkilötiedot ovat oikeiden ihmisten tietoja.

Myös potilaskertomukset vaikuttavat aidoilta, mutta ulkopuolisen on mahdoton varmistua niiden sisällön todenperäisyydestä.

Kiristäjä kirjoittaa verkossa englanniksi, mutta hänen äidinkielensä ei ole tiedossa.

Kansainväliseen verkkorikollisuuteen erikoistunut rikoskomisario Marko Leponen Keskusrikospoliisista vahvisti keskiviikkona Ylelle, että KRP tutkii parhaillaan kuvatunlaista tapausta törkeänä tietomurtona. Leponen ei kuitenkaan vahvistanut yrityksen nimeä.

Vastaamo itse kuitenkin vahvistaa, että yritys on joutunut tietomurron ja kiristyksen kohteeksi.

Tietomurron laajuus ei tiedossa
Vastaamon hallituksen puheenjohtaja Tuomas Kahri kertoi keskiviikkona Ylelle, että asiasta ei ole voitu tiedottaa aiemmin tutkintateknisistä syistä. Kahri ei kerro, kuinka monen ihmisen tietoja on varastettu tai milloin tietovuoto on tapahtunut.

Kiristäjän ilmoituksen mukaan hänellä on niitä hallussaan 40 000.

Erityisasiantuntija Perttu Halonen Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksesta kuvasi tietomurtoa hyvin poikkeukselliseksi.

Erityisen harvinaisen ja vakavan asiasta tekee Halosen mukaan se, että tietomurto on kohdistunut sote-palveluita tarjoavaan yritykseen.

Vastaamoon ohjataan potilaita myös julkiselta sektorilta. Vastaamo on toiminut esimerkiksi Oulun yliopistollisen sairaalan psykoterapian sopimuspalvelutoimittajana toukokuusta 2019 alkaen.

Pohjois-Pohjanmaan sairaanhoitopiirin mukaan vuoto ei tämän hetkisten tietojen mukaan koske Oysin potilastietoja. Vastaamo puolestaan on kertonut, että myöskään Vastaamon tiedoissa tietomurto ei koske marraskuun 2018 jälkeen kirjattuja tietoja.
YLE
22.10. 08:34 Päivitetty 22.10. 09:57
Aina kun kuulen sanan suvaitsevaisuus, poistan varmistimen!

ässähai
Adrian Monk
Viestit: 2905
Liittynyt: Pe Heinä 03, 2020 9:48 pm
Paikkakunta: Haihiha

Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!

Viesti Kirjoittaja ässähai »

ammattiamatööri kirjoitti:
To Loka 22, 2020 10:47 am
[...] Pitääkö tehdä poliisille rikosilmoitus ja kuka tässä on nyt vastuussa? [...]
MTV:n uutisessa vastaus:
Vastaamo toteaa, että asiassa epäillään paitsi tietomurtoa ja kiristystä, myös yksityiselämää loukkaavan tiedon laitonta levittämistä.

– Jos havaitset tietojesi väärinkäyttöä tai epäilet sellaista, jos tietojasi leviää verkossa tai jos sinuun otetaan yhteyttä tietomurrossa vuotaneiden tietojen osalta, kehotamme sinua asianomistajana ilmoittamaan tästä kotipaikkasi poliisille ja tarvittaessa tekemään asiasta rikosilmoituksen. Voit tarvittaessa pyytää neuvoa myös tietosuojavaltuutetun toimistosta, viestissä kerrotaan.
https://www.mtvuutiset.fi/artikkeli/tal ... #gs.jbv4c6
Itse painottaisin erityisesti tuota kohta "jos epäilet sellaista". Mielestäni huolestuneiden ja hätääntyneiden ihmisten ei tarvitse jäädä vahtaamaan varmaa tietoa siitä, onko Vastaamoon tehdyt omat potilastiedot levinneet verkossa.

Todella rumaa välinpitämättömyyttä potilaita kohtaan Vastaamossa!

Vastaamon pitäisi palkata tältä istumalta juridista osaamista omaavia tukihenkilöitä, jotka auttaisivat nyt heti tietomurron uhriksi joutuneita entisiä / nykyisiä potilaitaan. Eihän tietosuojavaltuuten neuvontapuhelin riitä kaikkien avuksi.

Vastaa Viestiin