Psykoterapiakeskus Vastaamon tietomurto - nyt oikeuskäsittelyssä

[Saaris]

Töölööläinen kirjoitti:

"Venäjänkielisten sanojen kirjoittaminen latinalaisin kirjaimin ei ole aivan yksioikoista, mutta ihminen, jonka äidinkieli on venäjä, kirjoittaisi sanan loppuun kirjaimen "d" (ei "t")."

Lisäisin tuohon että "blyat" on sana jonka kaikki tietokonepelejä käyttävät parikymppiset miehet tuntevat. Se ei kerro äidinkielestä mitään, vaan ainoastaan sen, että pelimaailma on kirjoittajalle tuttu. Voi hyvinkin olla yritys hämätä. Jos kirjoittaja olisi oikeasti venäjänkielinen, hän ei ehkä tuota olisi kirjoittanut.

[guilty]

Jokunen täällä nähtävästi luulee, että tietäisin Vastaamon saaneen 38500 rekisteritietojen tarkastuspyyntöä, vaikka kirjoitin edellisessä postauksessa, että en ole saanut mitään vastausta pyyntöjen käsittelyajoista enkä mitään muutakaan tietoa asiasta. Kyseinen hatusta temmattu luku oli vaan esimerkkini toiveesta, jossa tietopyyntöjen määrän joku Vastaamosta kertoisi. Koska jos ja kun se määrä suuri olisi, voisin sitten sitä vastaan omaa piinallista odotusaikaani suhteuttaa. Kyllä minä ymmärrän, että tarvii hakea kopiopaperia rekalla lisää siinä vaiheessa, kun pyyntöjen määrä nousee kymmeniintuhansiin, ja kun kaikki lajitttelu ja postitus pitää vielä tehdä jumalattoman tarkasti, ettei yksikään paperi eksy väärään kuoreen, niin ymmärtäähän sen, että kestää. Kuka niitä papruja tunkee siellä kirjekuoriin? Ei ne voi kadulta sinne porukkaa hakea salattuja potilastietoja käsittelemään.

Hyväksyttävähän se minun nyt on, että tätä kaikkea varten on sote-alalla toimiville yrityksille ja julkisyhteisölle luotu oma kankea ja hidas tapansa hoitaa homma muodollisesti oikein ja turvallisesti. Aikaa tähän on lain mukaan yksi kuukausi. Jos vastauksen saanti kestää kauemmin, siitä voi valittaa potilasasiamiehelle.

Ymmärrän tämän, mutta silti haluaisin, että joku sanoisi edes jonkun arvion odotusajasta. Anything. Mutta, siis: nou nou 38 500, hys hys, ei totta.

Pari muuta juttua osaan kyllä sanoa ihan varmasti.

1. Terapeutit eivät saa tulostaa ja antaa edes itse kirjoittamiaan potilaskertomuksia potilailleen, päätös kuuluu lääkärille, kyseessä on potilasturvallisuusasia. Esimerkiksi vakavasti masentuneelle itsetuhoiselle ihmiselle ei voi antaa lukemistoa, joka voisi viedä käden lääkepurkille viimeistä kertaa. Arvio siitä, voiko paprut antaa potilaalle, kuuluu laissa määriteltyyn lääkärin virkavastuuseen. Ts. laki määrää lääkäreitä suojelemaan potilaita itseltään. Sen sijaan terapeutit saavat tietenkin lukea potilaalle omia merkintöjään puhelimessa tai tapaamisen yhteydessä. Muiden terapeuttien aikaisempia merkintöjä he sen sijaan eivät saa potilaalle lukea.

2. Se vuodettu tiedosto on 20-gigainen siksi, että siinä on mukana valtavasti skannattuja kuvatiedostoja, jotka ovat suurimmaksi osaksi tietoja ja potilaskertomuksia asiakkaiden aikaisemmista hoitosuhteista. Osalla tätä historiaa voi olla kymmenien vuosien ajalta. Kuten ehkä tiedätte, jos olette yrittäneet vaikkapa hammashoitotietojanne metsästää vaikkapa uudelle paikkakunnalle muuton jälkeen, meillä nämä asiat liikkuvat sähköisesti ainoastaan terapianjärjestäjältä kiristäjille. Sen sijaan ne eivät liiku sähköisesti itsestään eri hoitoyksikköjen välillä, vaan joka paikkaan pitää lähettää suostumuksia ja soitella ja loppuviimeksi sitten antaa paperipinkka uuden terapeutin käteen. Kun sitten otetaan huomioon keskimääräisen ihmisen tietämys skannerin asetuksista, voi olla, että osa tiedostoista on valtavan suuria ihan for no reason. (Tämän lisäksi vuodetussa paketissa on mukana myös eri terapiamuodoissa (mm. taideterapia) tehtyjen tehtävien skannauksia, itse pidettyjä mielialapäiväkirjoja jne jne)

[piikikäs]

1. Terapeutit eivät saa tulostaa ja antaa edes itse kirjoittamiaan potilaskertomuksia potilailleen, päätös kuuluu lääkärille, kyseessä on potilasturvallisuusasia. Esimerkiksi vakavasti masentuneelle itsetuhoiselle ihmiselle ei voi antaa lukemistoa, joka voisi viedä käden lääkepurkille viimeistä kertaa. Arvio siitä, voiko paprut antaa potilaalle, kuuluu laissa määriteltyyn lääkärin virkavastuuseen.

Hmm. Olisiko antaa viittausta lakiin, jossa näin sanotaan? Vastaamon tapauksessa siellä terapeuteilla on käynyt suuri joukko ihmisiä, joilla ei ole edes hoitosuhdetta mihinkään lääkäriin asiassaan.

2. Se vuodettu tiedosto on 20-gigainen siksi, että siinä on mukana valtavasti skannattuja kuvatiedostoja, jotka ovat suurimmaksi osaksi tietoja ja potilaskertomuksia asiakkaiden aikaisemmista hoitosuhteista.
...
(Tämän lisäksi vuodetussa paketissa on mukana myös eri terapiamuodoissa (mm. taideterapia) tehtyjen tehtävien skannauksia, itse pidettyjä mielialapäiväkirjoja jne jne)

Kaipaisin jotain lähdettä myös tälle "tiedolle". Onko sinulla itselläsi se 10 gigainen tiedosto vai mitä ihmettä? Ei ole tällaisia tietoja sen paketin sisällöstä juuri näkynyt. Spekulaatioita tietenkin ollut.

[Ghost hunting]

Pitää vieläkin ihmetellä, että mitenkä tämä olisi mukamas jonkun huippunörtin saavutus, odotella näin kauan jättää merkkejä nettiin ja ehkä sitten saanut tiedostot myytyä jollekkin toiselle osapuolelle, tai saanut kaverin avuksi, mikä nyt yrittää rahastaa ja saada voittoa mikä jää kyllä saamatta, jos jäävät kiinni niin siinä ei riitä mihinkään 450 000 euroa. Kuka idiootti oikeasti on asialla, hölmöläisten touhuja sanon minä.

[guilty]

1. Terapeutit eivät saa tulostaa ja antaa edes itse kirjoittamiaan potilaskertomuksia potilailleen, päätös kuuluu lääkärille, kyseessä on potilasturvallisuusasia. Esimerkiksi vakavasti masentuneelle itsetuhoiselle ihmiselle ei voi antaa lukemistoa, joka voisi viedä käden lääkepurkille viimeistä kertaa. Arvio siitä, voiko paprut antaa potilaalle, kuuluu laissa määriteltyyn lääkärin virkavastuuseen.

Hmm. Olisiko antaa viittausta lakiin, jossa näin sanotaan? Vastaamon tapauksessa siellä terapeuteilla on käynyt suuri joukko ihmisiä, joilla ei ole edes hoitosuhdetta mihinkään lääkäriin asiassaan.

2. Se vuodettu tiedosto on 20-gigainen siksi, että siinä on mukana valtavasti skannattuja kuvatiedostoja, jotka ovat suurimmaksi osaksi tietoja ja potilaskertomuksia asiakkaiden aikaisemmista hoitosuhteista.
...
(Tämän lisäksi vuodetussa paketissa on mukana myös eri terapiamuodoissa (mm. taideterapia) tehtyjen tehtävien skannauksia, itse pidettyjä mielialapäiväkirjoja jne jne)

Kaipaisin jotain lähdettä myös tälle "tiedolle". Onko sinulla itselläsi se 10 gigainen tiedosto vai mitä ihmettä? Ei ole tällaisia tietoja sen paketin sisällöstä juuri näkynyt. Spekulaatioita tietenkin ollut.

Hei! Ei ole muuta lähdettä antaa kuin se, että oma terapeuttini nämä asiat minulle kertoi, ja että luotan häneen, enkä jaksa lähteä lakipykäliä tsekkaamaan. Olen itsekin terapeutilleni toimittanut joitakin aikaisempien hoitosuhteitteni asiakirjoja, jotka hän on varmaankin järjestelmään skannannut, jos kerran kaikki on siellä sähköisessä muodossa. Sen tiedän lehtijutuista, että kaksinkertaisia merkintöjä samoista asioista ei saa olla, ts. terapeutti ei saa pitää omaa arkistoa potilaasta sen ohella, mitä potilaskertomukseen on kirjannut. Näinhän voisi joku terapeutti arkijärjellä ajateltuna toimia hoitosuhteessa esiin tulevien kaikkein arkaluontoisimpien asioiden kanssa. En tiedä, mihin lakiin tämä pohjautuu. Mielelläni näkisin asiasta jutun, vink vink toimittajat. Se, että näistä ei julkisuudessa ole puhuttu, johtunee siitä, ettei asiaa ole missään mediassa tältä kannalta puitu.

Kaksinkertaisen kirjanpidon kiellon voi ymmärtää potilasturvallisuuden kautta, joka on varmaan lainlaatijoilla ollut näitä sääntöjä sorvatessa päällimmäisenä mielessä. Tuplamerkinnät tekisivät potilaan hoitamisen vaikeaksi muualla, jos potilas vaikkapa itsetuhoisen käytöksen vuoksi häviää kotikuvioistaan ja ilmaantuu paikan x ensiapuun psykoosissa tms.

En osaa sanoa niistä asiakkaista, joilla ei ole mitään tekemistä lääkärin kanssa. Todennäköisesti tämä joukko on pienehkö, koska lääkärihän ne reseptit mielialalääkkeisiin kirjoittaa, ja kelaterapiassa varsinkin on pakko olla (nimellinen) hoitosuhde psykiatriin, joka on kirjoittanut terpapiaan menon tarpeesta b-lausunnon kelaa varten.

[guilty]

Yle se ei vaan petä ja löytää aina uusia tapoja tuhota suomalaisten elämiä. Tämäkin tor-verkon puffaus on ollut melkoista! Mahtaakohan olla edes laillista mainostaa laitonta pimeässä verkossa toimivaa huumekauppapaikkaa, luulenpa että tavalliselle ihmiselle EI olisi, mutta tuskinpa kuitenkaan ylen Silja Viitalalle?

Onko totta, että jutun kuvan osoitteen kirjoittaminen tor-selaimeen olisi eilen vienyt torilaudalle, jossa edelleen olisi ollut tallella potilastietoja? Jos näin on, Yle olisi edesauttanut jutullaan rikollista toimintaa eli potilastietojen lukemista.

Nythän koko torilauta on suljettu? Vai onko? Eli enää asialla ei ole muuta merkitystä kuin ihmetys, että tällaista kuvaa ei ole osoitteen osalta nettiin julkaistaessa blurrattu osoitteen kohdalta. Voisin kyllä uskoa tämän virheen tapahtuneen, koska Ylellä oli muistaakseni kiristysviestien tultua jonkun jutun kuvituksena kuvakaappaus, jossa juttuun haastatellun uhrin kännykän näyttökuvan bitcoinlompakon osoitetta ei oltu blurrattu, mutta iltapäivälehtien ja hesarin jutuissa oli.

Minulle, joka en tiedä torilaudasta tai bitcoineista mitään muuta kuin sen, mitä media on kertonut, on toisarvoista, tekeekö kukaan jollakin bitcoinlompakon osoitteella mitään, se vaan tuntuu yksityiseltä tiedolta. Tämä tunne on huono juttu Ylen kannalta koska siitä tulee tunne, että siellä tehdään jutuissa muitakin huolimattomuusvirheitä, jotka vaarantavat haastateltujen anonymiteettiä. Tämän jutun https://yle.fi/uutiset/3-11616210 osaltahan jutun kohteesta on julkaistu kuvia, vaikka hän haluaa esiintyä vain etunimellä! Tulee mieleen sellainen mahdollisuus, että haastateltu ei ymmärrä mitä tekee, ja tällaisessa tilanteessa journalistin velvollisuus olisi alan eettisten koodien mukaisesti nämä asiat ymmärtää, sanoa, että eihän sua nyt tunnistettavasti voi samaan juttuun kuvata, jossa esiinnyt vaan etunimellä. Ainakin tästä ratkaisusta anonymiteetistä kuvan kanssa pitäisi juttuun kirjata maininta, koska nyt anonymiteetin toteutus on ihan mahdoton asia lukijalle ymmärtää.

Voi ihan hyvin olla, että naamansa juttuun antanut nainen ei tajua tekonsa lopullisuutta. Haastatellut kertovat usein asioita, joista olisi heille ja muille ihmisille vahinkoa, ja jotka näin ollen jätetään laatumedian jutuissa julkaisematta, vaikka haastateltu voi itse hirveästikin jonkun henkilökohtaisen asian julkaisua tahtoa. Onnettomuuden uhria ei saa haastatella shokkitilassa ja painaa kaikkea hätäpäissään sanottua lehteen. Kari Lumikero esimerkiksi haastatteli Thaimaan tsunamin uhreja, jotka makasivat paareilla shokissa muutama minuutti hukkumiselta pelastumisen jälkeen, ja tätä toimintaa yleisesti jälkikäteen paheksuttiin. Alennustilassa (5 promillen känni) sanottuja asioita ei saa eettisen koodin vastaisesti juttuun mukaan ottaa. Juttujen kohteiden pitää olla syyntakeisia.

[TuskaistaTietoa]

Kyllä tästä jutusta ainakin sen oppi, että Suomessa oikeuslaitos toimii ensiluokkaisesti, kunhan kyse on rahamiehistä. Ei ehtinyt kissaa sanoa, ennenkuin uudella omistajalla oli vanhojen omistajien rahat oikeuden määräämänä takavarikossa.

[teppo]

Kyllä tästä jutusta ainakin sen oppi, että Suomessa oikeuslaitos toimii ensiluokkaisesti, kunhan kyse on rahamiehistä. Ei ehtinyt kissaa sanoa, ennenkuin uudella omistajalla oli vanhojen omistajien rahat oikeuden määräämänä takavarikossa.

Kyseessä on väliaikainen turvaamistoimi. Rahat eivät ole uudella omistajalla.

[Hermione]

Kyllä tästä jutusta ainakin sen oppi, että Suomessa oikeuslaitos toimii ensiluokkaisesti, kunhan kyse on rahamiehistä. Ei ehtinyt kissaa sanoa, ennenkuin uudella omistajalla oli vanhojen omistajien rahat oikeuden määräämänä takavarikossa.

Tässä tullaan näkemään konkreettisesti, tuleeko oikeus lopulta tuomitsemaan rikokset niin, että uhrit saavat oikeutta ja korvauksia kärsimyksilleen ja taloudellisille vahingoille, vai annetaanko omistajan putsata konkurssipesä ensin ja muut tahot jää nuolemaan näppejään.

Vastaamon entisiltä omistajilta on siis vajaa 10 M€ takavarikossa, nykyomistaja pyrkii purkamaan kaupat ja saamaan vahinkonsa minimoitua.

Onhan GDPR sakkoja jo annettu, kannattaa tutustua Marriot-hotelliketjun tapaukseen. Hotelliketju sai muhkeat sakot ostamansa yrityksen tietoturva-aukosta.

Nykyomistajan virheeksi saatetaan ehkä kuitenkin lukea se, etteivät he ymmärtäneet varmistaa ostamansa yrityksen todellista tietoturvan tilannetta.

Mitä sitten tulee uhreihin. Luottokiellot maksavat, nimenmuutokset maksavat, uudet henkilökortit, ajokortit ja passit maksavat. Helposti tulee kuluja n. 500€ verran ja luottokiellon uusiminen vielä lisää kuluja tulevaisuudessa.

Uhreja on n. 40000, kulut vahingoista on yhteensä luokkaa 20 M€ ja siinä ei ole edes mukana mitään kärsimyslisää.

[töölöläinen]

Töölööläinen kirjoitti:

"Venäjänkielisten sanojen kirjoittaminen latinalaisin kirjaimin ei ole aivan yksioikoista, mutta ihminen, jonka äidinkieli on venäjä, kirjoittaisi sanan loppuun kirjaimen "d" (ei "t")."

Lisäisin tuohon että "blyat" on sana jonka kaikki tietokonepelejä käyttävät parikymppiset miehet tuntevat. Se ei kerro äidinkielestä mitään, vaan ainoastaan sen, että pelimaailma on kirjoittajalle tuttu. Voi hyvinkin olla yritys hämätä. Jos kirjoittaja olisi oikeasti venäjänkielinen, hän ei ehkä tuota olisi kirjoittanut.

Kiitoksia sekä sinulle että nimimerkille Lartonki sanaa blyat koskevista lisätiedoista. Omat tietoni tästä sanasta kuten venäjän kielestä yleisemminkin ovat vuosikymmenten takaa ajalta, jolloin tietokonepelejä ei ollut keksittykään. Kyseinen sana kirjoitetaan venäjäksi блядь ja sen varsinainen merkitys on ”huora”, mutta sitä käytetään puhutussa kielessä suunnilleen samaan tapaan kuin suomen sanaa ”vittu”. Googlaamalla selvisi, että sana kirjoitetaan kirosanana joskus vahingossa tai tahallaan väärin блять. Tietokonepelien ”blyat” perustunee tähän kirjoitusmuotoon.

(Opiskelijahuumoria 1980-luvun Moskovasta: CIA:n vakoojakoulussa Yhdysvalloissa on venäjän kielen suullinen tentti. Kuulustelija sanoo opiskelijalle: ”Aloitetaan helpolla kysymyksellä. Sanokaa venäjäksi: minä opiskelen Moskovan yliopistossa.” Opiskelija jää miettimään. Kuulustelija: ”Kai te nyt tämän osaatte sanoa?” Opiskelija: ”Muuten kyllä, mutta en osaa päättää, minkä sanan eteen sana блядь tulee.”)

[petteri poloinen]

Kyllä tästä jutusta ainakin sen oppi, että Suomessa oikeuslaitos toimii ensiluokkaisesti, kunhan kyse on rahamiehistä. Ei ehtinyt kissaa sanoa, ennenkuin uudella omistajalla oli vanhojen omistajien rahat oikeuden määräämänä takavarikossa.

Tässä tullaan näkemään konkreettisesti, tuleeko oikeus lopulta tuomitsemaan rikokset niin, että uhrit saavat oikeutta ja korvauksia kärsimyksilleen ja taloudellisille vahingoille, vai annetaanko omistajan putsata konkurssipesä ensin ja muut tahot jää nuolemaan näppejään.

Vastaamon entisiltä omistajilta on siis vajaa 10 M€ takavarikossa, nykyomistaja pyrkii purkamaan kaupat ja saamaan vahinkonsa minimoitua.

Onhan GDPR sakkoja jo annettu, kannattaa tutustua Marriot-hotelliketjun tapaukseen. Hotelliketju sai muhkeat sakot ostamansa yrityksen tietoturva-aukosta.

Nykyomistajan virheeksi saatetaan ehkä kuitenkin lukea se, etteivät he ymmärtäneet varmistaa ostamansa yrityksen todellista tietoturvan tilannetta.

Mitä sitten tulee uhreihin. Luottokiellot maksavat, nimenmuutokset maksavat, uudet henkilökortit, ajokortit ja passit maksavat. Helposti tulee kuluja n. 500€ verran ja luottokiellon uusiminen vielä lisää kuluja tulevaisuudessa.

Uhreja on n. 40000, kulut vahingoista on yhteensä luokkaa 20 M€ ja siinä ei ole edes mukana mitään kärsimyslisää.

Jos vertaan tätä väärin Terrafameen, niin siinähän oli pitkään konkurssikypsä yritys jolla ei ollut mitään toivoa kannattavuudesta ja isot ympäristövastuut, ja tässä on kannattava ja laajeneva psykoterapiakeskus, niin aika typerää olisi laittaa se konkurssiin.

Väitetysti Suomessa tapahtuu 138000 identiteettivarkautta vuodessa (Googlen "identiteettivarkaudet Suomessa") ja se että identieettivarkaat saavat 40000 henkilötunnusta lisää, ei välttämättä näy tilastollisesti seuraavien vuosien aikana, riippuu varmaan myös siitä kuinka helposti väärää identiteettiä voi hyödyntää.

GDPR sakko kai oli maksimissaan 4% liikevaihdosta eli 560000 euroa, joka kiristäjänkään mielestä ei pitäisi tuntua 14 miljoonan liikevaihdon yrityksellä missään.

Onhan tuo tietysti paha tilanne Vastaamolle, mutta ravintolat jne ovat koronan vuoksi nyt pahemmassa tilanteessa, ilmeisesti psykoterapiakeskuksessa toiminta jatkui koronan aikaan kuin mitään ei olisi tapahtunut, ehkä lisää koronasta ahdistuneita asiakkaita vain oli tiedossa.

Oli sekin, että Suomessa ei voi olla kaksinkertaista rangaistusta, eli ilmeisesti joko yritys tai Ville Tapio tai joku työntekijä joutuu vastuuseen tietovuodosta, tai ei ehkä kukaan, ei voi vielä tietää, jos ilmenee kin esim että säätelyä tietojen säilyttämisestä B-luokan järjestelmässä ei oltu rikottu ja vastuu rikoksesta on yksin ransom_man:illa.

[TuskaistaTietoa]

Kyllä tästä jutusta ainakin sen oppi, että Suomessa oikeuslaitos toimii ensiluokkaisesti, kunhan kyse on rahamiehistä. Ei ehtinyt kissaa sanoa, ennenkuin uudella omistajalla oli vanhojen omistajien rahat oikeuden määräämänä takavarikossa.

Kyseessä on väliaikainen turvaamistoimi. Rahat eivät ole uudella omistajalla.

Minkätyyppistä kestoa todennäköisesti tuolla oikeusjutulla on? En ole kunnolla perehtynyt.

[Hyperion]

Onko totta, että jutun kuvan osoitteen kirjoittaminen tor-selaimeen olisi eilen vienyt torilaudalle, jossa edelleen olisi ollut tallella potilastietoja?

On totta.

Jos näin on, Yle olisi edesauttanut jutullaan rikollista toimintaa eli potilastietojen lukemista.

Potilastietojen lukeminen ei ole rikollista.

Nythän koko torilauta on suljettu?

On.

Alunperin Torilaudalla (ja siellä toisella jonka nimeä ei käsittääkseni ole vielä mainittu täällä) julkaistuja potilastietoja on nyt näkyvillä ainakin kahdella (todennäköisesti huomattavasti useammalla) sipulisivustolla. Kaikki ei nähdäkseni ole vielä samassa paikassa, mutta näissä tapauksissa yleensä lopputulos on, että kaikki jossain vuodossa julkaistut tulee lopulta yhteen pakettiin. Tämän tapauksen osalta tosin julkaisut todennäköisesti jatkuvat vielä pitkään tipottain.

[nisse55]

Nythän koko torilauta on suljettu?

Torilaudan sysop oli suunnitellut sulkevansa palvelun lokakuun loppuun mennessä jo kuukausia etukäteen.

Oliko juuri hän tämän kiristysyrityksen takana? Tietovuodon ja kiristysten ajoittaminen Torilaudan sulkemisen viime hetkiin tässä hieman haiskahtaa. Tarkoitus oli kääriä rahat hallussaan polttelevalla tietokannalla ja sitten peittää jälkensä ja kadota bittiavaruudesta? Ei kuitenkaan mennyt ihan putkeen?

Tämä voisi olla yksi vaihtoehtoinen tutkintalinja.

[zzrgg]

Aihepiiriä sivuavia kirjoitelmia:

Rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet ja vastuut tietoturvaloukkauksessa (pro gradu -tutkielma)
https://epublications.uef.fi/pub/urn_nb ... -20190956/

Healthcare Data Breaches: Insights and Implications (artikkeli)
https://dx.doi.org/10.3390/healthcare8020133