Psykoterapiakeskus Vastaamon tietomurto - nyt oikeuskäsittelyssä

[marlboro]

Hakkeriporukka on siis iskenyt neljään muuhun organisaatioon, jotka kaikki ulkomailla. Osaavat hyvin englantia. Kiristäjät nähtävästi jossain ulkomailla.

Tekijä on suomalainen, alle 30-vuotias eteläsuomalainen mies.
* kiristäjä on kirjoittanut ylilaudalle, joka on alle 30-vuotiaiden suomalaisten nuorten miesten suosiossa
* kiristäjä ei osaa englantia natiivisti, siksi käyttää huoliteltua kielikoneella tarkistettua englantia jotta suomalaisten peruskielioppivirheet eivät näkyisi
* muista murroista ei ole todisteita
* kiristäjä on tyhmä

Tässä miksi kiristäjä on vähän hömelö:
* Esimerkiksi kiristäjä pyytää Vastaamon tulokseen suhteutettuna liian suurta summaa. 450k on liian iso, 45k olisi voinut mennä läpi.
* Materiaali on niin toksista ettei sitä voi levittää julkisessa internetissä.
* Tor-verkkoa ei osaa käyttää kuin nörtit.
* Tor ei näy hakukoneissa (paitsi tietyt, joita kukaan ei tunne)
* Kiristäjä olisi voinut kiristää rahaa henkilökohtaisesti asiakkailta (koska sähköposti tiedossa), mutta kiristäjällä ei ole osaamista massasähköpostin käyttöön

Huonosti suunniteltu kiristysyritys jonka taustalla ei selvästikään ole minkäänlaista logiikkaa eikä organisaatiota.

[Likeavirgin]

Tässä miksi kiristäjä on vähän hömelö:
* Esimerkiksi kiristäjä pyytää Vastaamon tulokseen suhteutettuna liian suurta summaa. 450k on liian iso, 45k olisi voinut mennä läpi.
* Materiaali on niin toksista ettei sitä voi levittää julkisessa internetissä.
* Tor-verkkoa ei osaa käyttää kuin nörtit.
* Tor ei näy hakukoneissa (paitsi tietyt, joita kukaan ei tunne)
* Kiristäjä olisi voinut kiristää rahaa henkilökohtaisesti asiakkailta (koska sähköposti tiedossa), mutta kiristäjällä ei ole osaamista massasähköpostin käyttöön

Huonosti suunniteltu kiristysyritys jonka taustalla ei selvästikään ole minkäänlaista logiikkaa eikä organisaatiota.

~13 miljoonaa ollut liikevaihto 2019.

[napalanko]

^^lisäisin että on joko ylipainoinen, tai sairaalloisen laiha, koska elää energiajuomilla.
Nukkuu päivisin, "työskentelee" öisin, asuu äitinsä kanssa, kannattaa tarkkailla yläkerran ikkunoita joista öisin hohtaa sininen valo.
Pukeutuu mustaan, kulkee huppu päässä, kasvot huomiota herättävän kalpeat.

[Keskitien Kulkija]

Tässä miksi kiristäjä on vähän hömelö:
* Esimerkiksi kiristäjä pyytää Vastaamon tulokseen suhteutettuna liian suurta summaa. 450k on liian iso, 45k olisi voinut mennä läpi.
* Materiaali on niin toksista ettei sitä voi levittää julkisessa internetissä.
* Tor-verkkoa ei osaa käyttää kuin nörtit.
* Tor ei näy hakukoneissa (paitsi tietyt, joita kukaan ei tunne)
* Kiristäjä olisi voinut kiristää rahaa henkilökohtaisesti asiakkailta (koska sähköposti tiedossa), mutta kiristäjällä ei ole osaamista massasähköpostin käyttöön

Huonosti suunniteltu kiristysyritys jonka taustalla ei selvästikään ole minkäänlaista logiikkaa eikä organisaatiota.

~13 miljoonaa ollut liikevaihto 2019.

Ja liki 250k tappiollinen tulos...

[Kintsu]

* Kiristäjä olisi voinut kiristää rahaa henkilökohtaisesti asiakkailta (koska sähköposti tiedossa), mutta kiristäjällä ei ole osaamista massasähköpostin käyttöön

Veikkaan että julkaisee muutaman tuhat kpl vielä, ja jos vaatimuksiin ei suostuta alkaa kiristämään henkilökohtaisesti. Tämä selvästi työläämpää niin siksi varmaan aloitti näin. Nythän jo pyytänyt sen 0,005btc yksittäisiltä henkilöiltä.

[Tarkastaja Levisi]

Voisiko olla, että poliisi tietää tekijästä enemmän, kuin kertoo?

[Tarkastaja Levisi]

https://yle.fi/uutiset/3-11607115

Valvira: Kukaan ei valvo yksityisiä psykoterapeutteja aloitusilmoituksen jälkeen – Nyt Valvira selvittää terapiakeskus Vastaamon tietovuotoa

Uskaltaako terapiaan enää mennä? Valvira vastaa tähän ja 7 muuhun kysymykseen.

22.10.2020 12:26

Kysyimme Valviran näkemystä Psykoterapiakeskus Vastaamoon tietovuotoon. Kiristäjä on saanut Psykoterapiakeskus Vastaamon terapiapotilaiden arkaluontoisia tietoja. Niitä on julkaistu Tor-verkossa.

Kysymyksiin vastaa Valviran Terveydenhuollon valvontaosaston ryhmäpäällikkö, psykiatri ja psykoterapeutti Kaisa Riala.

1. Millaisia ajatuksia Teissä herättää, että Psykoterapiakeskus Vastaamon tietojärjestelmästä on saatu potilaiden arkaluonteisia tietoja ja niitä on julkaistu Tor-verkossa?

Se herättää ajatuksen, ovatko Vastaamon tietojärjestelmät olleet yhtä hyvin suojattuja kuin julkisessa terveydenhuollossa. Millaiset tietojärjestelmät siellä ovat, siitä minulla ei ole mitään tietoa. Potilaiden terveystiedot ovat aina arkaluonteisia. Erityisen ikävää on, jos psykoterapiatietoja päätyy jonnekin internettiin keskustelupalstoille..

2. Tehdäänkö Valvirassa nyt jotain toimia Psykoterapiakeskus Vastaamon tietovuodon vuoksi?

Tällä hetkellä meidän tietotekninen asiantuntija on alkanut käsitellä tätä kyseistä Psykoterapiakeskus Vastaamon asiaa.

3. Miten Valviran tietotekninen asiantuntija selvittää tätä tapausta?

Siihen en osaa sanoa mitään. Meillä on yksi henkilö, jonka tehtävänä on nyt aloitella tätä selvitystä.

4. Miten Psykoterapiakeskus Vastaamon toimintaa on valvottu?

Silloin, kun yksityinen psykoterapeutti tai psykoterapiakeskus aloittaa toimintaansa, siitä tehdään aloitusilmoitus Valviralle tai Aluehallintaviranomaiselle (Aville).

Uskoisin, että silloin tarkistetaan se, millaiset tietoturvajärjestelmät aiotaan ottaa käyttöön. En tiedä, onko lupailmoitus tehty tässä tapauksessa Valviralle vai Aluehallintovirastolle, enkä tiedä lupailmoituksen sisällöstä.

5. Miten toimintaa valvotaan tämän jälkeen?

Sen jälkeen sitä ei valvota, ellei meille tule ilmoituksia tai kanteluita. Emme me käy rutiininomaisesti sairaaloissakaan katsomassa, mikä tilanne siellä on.

6. Eli eikö käytännössä yksityisten psykoterapeuttien toimintaa valvota siis millään tavalla aloitusilmoituksen jälkeen?

Ei valvota.

7. Kuinka paljon Suomessa on yksityisiä psykoterapeutteja ja Psykoterapiakeskus Vastaamon kaltaisia keskuksia?

Yksityisiä psykoterapeutteja on useita satoja. Arvioni on, että Psykoterapiakeskus Vastaamon kaltaisia keskuksia on 10-20.

8. Uskaltavatko potilaat mennä terapiaan luottavaisesti, voiko tällaista tapahtua muissakin yrityksissä?

Toivottavasti uskaltavat. Mieltäisin itse, että tämä on vain huonoa tuuria, jossa jostain syystä juuri Psykoterapiakeskus Vastaamo on valikoitunut tähän. Ei se tarkoita, että yksityisessä psykoterapiatoiminnassa olisi mitään erityisiä tietoturvariskejä sen enempää kuin muussakaan yksityisessä terveydenhuollossa.

[Leikkikaveri]

Ettei vaan olis firman oma nörtti asialla?

Hyvässä laukassa oleva yritys tekee yhtäkkiä tappiota liki saman summan, mitä kiristäjä nyt vaatii.
Vai onko kiristäjä palannut samalle hillopurkille, mistä edellisellä tilikaudella lohkesi reippaat 400 tonnii, eivätkä kehtaa tunnustaa että tiedot on pöllitty jo aikoja sitten.

Selittäisi ainakin sen, että tiedot koskee ennen vuotta -19 tapahtuneita potilaskontakteja.

[ReissuLasse]

Tuskimpa vaan tuossa ilmoituksessa viranomaisille on tietoturvasta mitään ihmeempää, muutama kysymys tyyliin onko hoidettu kyllä/ei tai joku sanallinen kuvaus miten on järjestetty. Järjestelyjä tuskin tarkastetaan tai auditoidaan.

Tuli mieleen tuo sama että tekijä voisi olla jopa yllättävän läheltä kyseistä firmaa, mutta aivan mahdollista on että kyseessä on joku kotimainen tekijä tai sitten noita ahkeria massalla kokeilijoita maailmalta. Suomen suoja jossain määrin ulkomaisia vastaan on pieni kielialue, toki ei se murtoja estä mutta voi hidastaa tietojen käytettävyyttä ja myös valitun kohteen tuntemista.

[On Anoi Kaa]

^^
Hyvä ajatus!

Tätä on kyllä odotettukin ihan siitä lähtien, kun rekisterejä alettiin digitalisoimaan th-alallakin. Ajatelkaapa nyt, että Suomessa on varmaan satojatuhansia ihmisiä, joiden tunnuksilla pääsee muille mahdollisesti vähintäänkin taloudellisesti tuhoisiin tietoihin sairaskertomusten kautta. Tai lääkemääräysten. Osa on toki sidottu työpaikan koneelle, mikä estää osaamattomien pääsyn moneen järjestelmään, mutta tuo on vain haaste, jos tunnukset päätyvät asiansa osaavien hakkereiden haltuun.
- Ovatko he kaikki huolellisia tunnusten kanssa? Aihe on varmasti puhuttanut myös alalla etätöiden lisäännyttyä, kun ollaan luotu yhteyskäytäviä kotoa työpaikan tietojärjestelmiin yhä useammalle.

Tässä miksi kiristäjä on vähän hömelö:
* Esimerkiksi kiristäjä pyytää Vastaamon tulokseen suhteutettuna liian suurta summaa. 450k on liian iso, 45k olisi voinut mennä läpi.
//

~13 miljoonaa ollut liikevaihto 2019.

Heh, miksi en ylläty, että "joillakin" ei ole mitään käsitystä liike-elämästä tai sen luvuista! Ei noita tarttekaan kaikkien tietää, mutta ehkä kuitenkin edes liikevaihto ja tulos voisi olla hyvä meidän kaikkien tajuta merkityksiltään.

PS. Vastaamo voisikin nyt vastata kiristäjille järjestämällä täysin avoimet ovet potilaidensa sairaskertomuksiin ja muihin tietoihin, niin jäisivät nuolemaan näppejään.

[ReissuLasse]

- Ovatko he kaikki huolellisia tunnusten kanssa? Aihe on varmasti puhuttanut myös alalla etätöiden lisäännyttyä, kun ollaan luotu yhteyskäytäviä kotoa työpaikan tietojärjestelmiin yhä useammalle.

Jos käytetään jotain käyttäjätunnus/salasana yhdistelmiä järjestelmissä joissa voi olla jotain arkaluontoista ollaan jo valmiiksi metsässä ja on vain ajan kysymys koska jotain tapahtuu, tahallisesti tai tahattomasti.

Nykyään on sentään parempi menetelmiä tarjolla, jos siis vaan niitä tajutaan käyttää. Tämän pitäisi tavallistenkin kuluttajien huomata omissa käyttämissään palveluissa, vaikka tuntuu että on vaivaa niin se kaksivaiheinen tunnistautuminen kannattaa laittaa päälle.

[VastarannanKiiski]

Kaipa tässä Kallonkutistamo-tietomurrossa on vain kaksi vaihtoehtoa; joko onneton tietoturvajärjestelmä ja käytännöt ja tiedot kaivettu hakkeroimalla tai vaihtoehtoisesti tekijä jonkun työntekijän on lähipiiristä ja saanut käsiinsä käyttäjätunnuksen tai kirjautumiseen käytettävän henkilökortin.

Miten huolellisesti sitten on ollut tapana toimia? Onko siivooja tai tiloissa pyörinyt joku muu voinut saada käsiinsä "avaimet" potilastietoihin?

Yleisellä tasolla minua on huolettanut ihmisten yksityisyyden suoja ja tietosuoja jo kauan. Kilpailutukset ovat tuoneet sosiaali- ja terveysalalle paljon yrityksiä, jotka elävät hetken ja lopettavat sitten. Vanhusten, vammaisten tai muuten jotain hoitoa ja apua tarvitsevien tietoja käsittelee milloin kukakin ja palvelun tuottaa jopa vuosittain eri taho. Kuka valvoo, että näissä kaikissa yksiköissä ja yrityksissä asiakkaiden ja potilaiden tietoja käsitellään huolellisesti ja yrityksen mahdollisesti lopetettua, tiedot tuhotaan, eikä ne ole kaivettavissa roskalavoille heitetyistä tai eteenpäin myydyistä tietokoneista? Pahoin pelkään, että vastaus on "ei kukaan". Vaikka kai nyt tilaajan tai ostopalveluja ostavan tahon pitäisi varmistua, ettei tietosuoja vaarannu.

Joku tehokkaampi valvonta ja velvoitteet näihin pitäisi nyt saada. Tai vaihtoehtoisesti yritysten lisäksi myös yksityisille mahdollisuus vaihtaa hetu (kuten y-tunnus) ja päästä eroon menneisyyden mahdollisista riesoista.

[Leikkikaveri]

Firma, jonka nimeä en nyt muista, keräsi vanhoja tietokoneita niissä luuraavan jalometallin vuoksi, purki osiin, lajitteli ja kauppasi eteenpäin. Tuottoisa pisnes, kun käyttivät vielä lievästi työrajoitteisia henkilöitä valtion tuella työvoimanaan.

Puolituttu IT-hamsteri haki sieltä komponentteja omiin projekteihinsa, ja naureskeli, että päitä putoilis jos julkistelis tietoja mitä niistä rojuista löytyi...

Itse en ymmärrä tietokoneista yhtään mitään, hädintuskin osaan käynnistää tämän, mutta poistoon menevät koneet saa kyllä lekaa ennen roskikseen heittoa, auttaako mitään? Tuskin.

[B€st]

Aivan perseestä, sanon minä. Milloinkahan omakanta murretaan? Nämä digitaaliset systeemit on hirveä riski monessakin asiassa; enää urkkijan ei tarvitse päästä fyysisesti johonkin arkistoon vaan hän voi istua missäpäin maailmaa tahansa tietoverkon perässä. Suhtaudun erittäin skeptisesti edes teveyskeskuslääkärin etävastaanottoon.

Minä suhtaudun skeptisesti koko suomalaiseen terveydenhuoltojärjestelmään, enkä käy enää lainkaan lääkärissä. Olen huomannut, että taudit kyllä menevät itsestäänkin ohitse ja valittamaan ei huvita mennä. Kerran kun kaaduin metsässä ja käsi meni palasiksi ja se leikattiin Töölön sairaalassa, niin tieto kontrollikäynnistä tavoitti minut vasta sitten, kun aika oli mennyt jo umpeen. Sain ajan myöhemmäksi ajankohdaksi ja siellä puolestaan selvisi, ettei käteen oltu laitettu kipsiä, jotta olisin voinut jumpata sitä, mutta siitä ei tietenkään oltu kerrottu tai annettu ohjeita. Lääkäri kysyi miten menee, niin vastasin siihen, että olisihan paremminkin voinut mennä, enkä ole urheillakaan tässä päässyt. Siihen se kirurgi vastasi: maksaako joku sulle juoksemisesta. Silloin päätin, etten perhana vieköön käy enää lääkärissä, jos ei ole pakko. Jos on joku vamma, niin tuskin osaavat mitään sanoa, jos ei tarvitse leikata ja jos tarvitsee leikata, niin jälkihoito kustaan ja tulee vittuilut päälle. Aika paljon on tullut aikoinaan maksettua yksityisille lääkäriasemille käynneistä ja on aika vapauttavaa huomata, kuinka paljon helpommalla pääsee, kun ei käytä mitään lääkäripalveluita ollenkaan. Olen oppinut tunnistamaan, milloin on rasitusmurtumaa, milloin on jotakin muuta, milloin on influenssaa tai jotain nuhakuumetta tms. ja hoitanut itseni kuntoon. Jos minulle tulisi pääkopan kanssa vaikeuksia, painuisin vaikka halkoja hakkaamaan, enkä toimisi kuten vaikkapa moni Kalliossa tekee ja menee jonnekin terapiaan valittamaan. Ei ihme, että tiedot leviävät, kun koko järjestelmä on sekaisin. Hyvä opetus tuo sinänsä nyt on. Moni miettii kannattaako juosta valittamassa jos vähän varpaaseen sattuu. Jossain vaiheessa potilastiedot myydään verkossa eniten tarjoavalle tai vuodetaan vähintään Kiinaan.

[TiiaStiina]

Tässä on kai viety vähintään osoitetietoja + henkilötunnuksia ja ties mitä.
Kannattaisiko mahdollisten uhrien käydä muuttamassa omapostin luovutuskielto kohdasta asetus joka sallii paperisen muuttoilmoituksen tekemisen. Monesti on ollut juttua siitä, että pelkällä henkilötunnuksella kuka tahansa ulkopuolinen voi tai on voinut ...ehkä edelleenkin voi?.... tehdä osoitteenmuutoksen henkilön itsensä tietämättä, jos henkilö ei ole nimenomaisesti kieltänyt paperista ilmoitusta. Mahdollisesti sitä käytäntöä jo muutettu, en tiedä onko. Jos ei ole, ainakin voisi estää tietynlaiset lisärötökset tarkistamalla omat asetuksensa ko. palvelusta. Koskee tietysti muitakin, ei vain tätä tapausta. Henkilötunnukset kun on kai muutenkin suht. helposti kenen tahansa saatavilla.