tiistai 27. lokakuuta 2020

Tietomurron uhrin asema on huono

Vastaamon tietomurron uhrit kärvistelevät helvetissä, jota he eivät ole itse aiheuttaneet eivätkä todellakaan ansainneet. Viranomaiset julkaisevat ohjesivuja ja avaavat tukipuhelimia, mutta niiden apu on rajallista. Tukipuhelimet kuuntelevat ja jakavat soittajan tuskaa, ohjesivuilla on aina samat neuvot: suojaa tietosi, tee luottokielto, tarkkaile postiasi ja laskujasi. Luottokiellolta ei kuitenkaan kannata odottaa liikoja. Klarna on sentään luvannut nyt parantaa toimintaansa. Tilauspetosten selvittäminen, jos niitä tulee, työllistää uhria joka tapauksessa.

Todellista helpotusta on luvassa vasta, jos poliisi saa tekijän kiinni. Miten todennäköistä se on? Suuressa tietovuotojen sarjassa marraskuussa 2011 levitettiin mm. 16 000 ihmisen henkilötiedot nettiin. Poliisi pääsi lopulta tekijän jäljille, mutta todisteet eivät riittäneet syytteen nostoon saati tuomioon. 

Palvelunestohyökkäyksessä valtion palvelimille elokuussa 2018 tekijä saatiin melkein kiinni, mutta hän ei enää ollut maallisen oikeuden tavoitettavissa.

Huhtikuussa 2018 tietomurrossa Liiketoimintasuunnitelma.com -palveluun varastettiin 130 000 käyttäjätunnusta ja salasanaa. Siitä ei ole kuulunut mitään. Ilmeisesti tutkinta on kaikessa hiljaisuudessa lopetettu, eikä poliisi tiedota mitään.

Myöskään Lahden kesäkuun 2019 "kyberhyökkäyksestä" ei ole kuulunut mitään. Ilmeisesti tekijät tulivat ulkomailta eikä heitä ole mahdollista tavoittaa. Poliisi ei ole kertonut tästäkään mitään julkisuuteen.

OP:n pankkipalveluun hyökkäyksen 2015 tehneet kaksi nuorta miestä saatiin kiinni ja tuomittiin, koska he alkoivat itse leveillä netissä teoillaan. 

Vastaamon hyökkääjä on luultavasti yksin toimiva suomalainen nuori mies. Jos hän pystyy hiljaa eikä tee virheitä, häntä on erittäin vaikea tavoittaa. Tässä suhteessa lunnasrahojen osittainen maksu jopa helpottaisi poliisin työtä, sillä "follow the money" -periaate toimii myös nettirikollisten suhteen. Rahaa on vaikea piilottaa ja etenkin käyttää, vaikka se olisi Bitcoineina. Ehkä poliisi on kaikessa hiljaisuudessa tehnytkin pari maksua uhrien puolesta, jotta niitä voidaan seurata? Virallinen viesti julkisuuteen on tietenkin jyrkkä ei maksamiselle.

Vielä senkään jälkeen, kun tekijä on kiinni ja tuomittu, uhrit eivät voi olla täysin levollisin mielin. Jonkin verran tietoja on jo ehtinyt levitä nettiin ja ne voivat kummitella vuosien ajan. Vaikka niin mediat kuin käyttäjätkin lupaavat #enlue ja #enjaa, uteliaita ja epärehellisiä löytyy aina. Tor-verkon sivuilla tiedostoja on jo kyselty.

Rikoksen uhrien asema on aina heikko. Siksi tuntuu julmalta, että viranomaiset velvoittavat kaikkia jättämään samansisältöisen rikosilmoituksen teosta, jota poliisi jo tutkii kaikin mahdollisin keinoin. Ilmoituksella on merkitystä lähinnä vasta sitten, jos tekijä saadaan kiinni ja häneltä voidaan vaatia korvauksia. Ilmoitus on edellytys korvausten hakemiselle. Todennäköisesti henkilöltä ei pystytä perimään kuin murusia, joten tämäkään ei paljon lohduta.

Se vähän lohduttaisi, jos Vastaamon vakuutusyhtiö maksaisi korvauksia yrityksen laiminlyönneistä kärsineille. Niin ikään tulisi avata ryhmäkannemahdollisuus myös muissa kuin kuluttajariita-asioissa. Sen jälkeen uhrit voisivat ajaa asiaansa yhteisellä kanteella, jopa yhteisellä rikosilmoituksella.

Lisäksi pitäisi vaatia, että luotollisessa myynnissä myyjä tarkistaa ostajan tai tilaajan henkilöllisyyden, jos se ei perustu vahvaan tunnistamiseen. Nyt tilaamisesta on haluttu tehdä mahdollisimman helppoa, mikä houkuttelee väärinkäytöksiin ja rankaisee syyttömiä.

Edelleen pitäisi vaatia, että myyjä todella tarkistaa mahdollisen luottokiellon ennen myyntiä, tai muuten laskua ei voida lähteä perimään.

Tässäkin mielessä Vastaamon tapaus antaa paljon mietittävää ja parannettavaa viranomaisille.

maanantai 26. lokakuuta 2020

Vastaamon tapaus ei ole kunniaksi Suomelle, mutta useimmat yritykset tekevät parhaansa

Case Vastaamo antaisi loputtomasti aiheita blogikirjoituksiin. Valitsen tänään yhden: Suomen maine ja yritysten vastuu.

Suomea on pidetty tietosuojan mallimaana. Meillä on parhaat viranomaisrekisterit ja otimme GDPR-sääntelyn pilkuntarkasti, liki saksalaiseen tapaan (toisin kuin esim. Ruotsi). Ennen GDPR-siirtymäkauden loppua järjestettiin varmaan tuhansia tilaisuuksia, joissa it-ammattilaisia muistutettiin tietosuojan olemuksesta ja lain ankarista sanktioista. Oli ilmaisia ja maksullisia seminaareja, monen päivän koulutusohjelmia, nettisivuja... Lopulta GDPR tuntui pursuavan jo korvista ulos ja kun odotettu 25.5. viimein koitti, kaikki olivat varmaan helpottuneita siitä, että asia siirtyi jos ei nyt hoidettujen pinoon niin ainakin taustalle. 

Jo monta vuotta olemme olleet huolissamme Googlen ja Facebookin tiedonurkinnasta. Ne loukkaavat yksityisyyttä ja urkkivat tietojamme. Samaan aikaan yritykset ovat käyttäneet miljoonia euroja erilaisiin GDPR-tietosuojalausekkeisiin ja evästekyselyihin, jotka lähinnä häiritsevät käyttäjiä ja pikemmin vähentävät kuin lisäävät kiinnostusta omaan tietosuojaan.

Riitelimme lillukanvarsista, kuten mikä on GDRP:n ja tulevan ePrivacyn mukainen riittävä suostumus evästeiden käyttämisestä -- pitääkö olla nimenomainen suostumus joka kerta, vai riittävätkö selaimen evästeasetukset.

Vastaamon järkyttävän tietovuodon jälkeen kaikki tämä tuntuu akateemiselta puuhastelulta. Miljoonat eurot olisi kannattanut käyttää todellisen tietosuojan parantamiseen. Olemme pelänneet nettijättejä, vaikka todellinen mörkö on ollut ihan lähellä. Liian lähellä.

Niin lähellä, että emme osanneet edes pelätä sitä. Pidimme itsestäänselvänä, ettei henkilö- ja mielenterveystietoja voi vuotaa nettiin. Ei yksinkertaisesti voi, koska GDPR. Korkeintaan pelkäsimme vihamielisen tahon hyökkäystä, jossa salaa muutettaisiin sairaalan veriryhmätietoja tai jotain vastaavaa.

Keskustelu evästeistä ja nettiyhtiöiden urkinnasta on saattanut johtaa huomiota harhaan. Surffaus- tai ostotietojemme vakoilu on pientä terveyteemme verrattuna. Kriittistä ei ole se, mitä Google tai Facebook tekevät vaan se, miten minun koodaamani softa toimii tai miten minun koneellani oleva data on suojattu.

Kauhistuimme, kun Saksassa kiristysohjelma johti epäsuorasti potilaan kuolemaan. Nyt saatamme kokea saman Suomessa.

En silti halua uskoa, että Vastaamon kaltaisia pommeja olisi useita. Uskon, että viimeistään parin vuoden takainen GDPR-show sai yritysten hallitukset ja toimivan johdon ymmärtämään, miten tärkeästä asiasta on kyse ja miten suuri taloudellinen riski siihen liittyy. Aihe on otettu vakavasti ennen Vastaamoakin.

Minulta on usein kysytty, voiko yritys mennä konkurssiin tietoturvan pettämisen vuoksi. Tähän asti esimerkkinä on ollut hollantilainen varmenteiden myöntäjä, jonka varmennebisneksen onnistunut hakkeri-isku tuhosi. Nyt meillä on toinenkin kauhuesimerkki tietoturvan ja -suojan vakavista seurauksista.

Näin tietoturvaviikon alkaessa on ilo todeta, että valtaosa yrityksistä suhtautuu tietoturvaan vakavasti. Silti yksikin softakehittäjä, it-vastaava tai ylläpitäjä voi omalla piittaamattomuudellaan romuttaa kaiken.

Vastuu tietoturvasta kuuluu yritykselle itselleen. Koska kyse on myös asiakkaiden/potilaiden elämästä ja hyvinvoinnista, pelkkään vastuunkantoon ja omavalvontaan ei voi luottaa. Tarvitaan muutakin valvontaa, josta hoivakoteihin tehdyt tarkastukset ovat hyvä esimerkki.

Oli yleisesti tiedossa, että Vastaamo on itse kehittänyt tietojärjestelmänsä. Sen olisi pitänyt herättää viranomaisten huomio ja priorisoida tarkastuksia. Niin ikään yhtiö oli nimennyt tietosuojavastaavaksi softakehittäjän. Senkin olisi pitänyt herättää huomiota Tietosuojavaltuutetun toimistossa, jonne vastaavat rekisteröidään. Web-sivulla kehuttu omavalvonta on pettänyt täysin, sillä yhtiö ei huomannut murto(j)a ja sai tiedon tapahtuneesta vasta, kun kiristäjä otti yhteyttä. Yhtiöllä ei siis ollut valvontaa, joka olisi hälyttänyt vaikka palvelimelta imetään 10 gigatavua dataa ulkopuolelle. Tietoturvakriittisessä terveyspalvelussa tällainen valvontaohjelma olisi pitänyt ehdottomasti olla. Nyt ei voida tietää, ovatko mahdollisesti muutkin varastaneet tietokannan, mutta pysyneet teostaan hiljaa.

Viranomaisilla ei ole hoitakotien kaltaista tietoturvavalvontaa. Kriittisiä nettisovelluksia saa kehittää alaikäinen nörttipoika, mutta kylpyhuoneremontti vaatii tekijältä työnäytteen ja märkätilasertifikaatin. Yrityksen on ostettava palotarkastus, jossa tutkitaan onko käytävän tarrat oikeanlaisia ja oikeissa paikoissa. Ja toki tarkastetaan vaahtosammuttimet.

Palo- ja remonttiturvallisuus on opittu kantapään kautta, tehtyjen kalliiden virheiden seurauksena. Samanlainen kehitys on tapahtumassa tietoturva-alalla, joka on vielä kovin nuorta. 

Luonnollista kehitystä voi kuitenkin nopeuttaa päättäväisillä toimilla. Vastaamon tapaus osoittaa, että niille on tarvetta.

perjantai 23. lokakuuta 2020

Vastaamo on tietosuojan painajainen - kyberturvallisuus on osa potilasturvallisuutta

Vastaamosta vuotaneet 40 000 potilastapausta tietoineen ovat likipitäen pahin tietosuojakatastrofi, jota voimme kuvitella. Seuraukset ovat sen mukaiset. Niistä olemme nähneet vasta jäävuoren huipun.

Oli odotettavissa, että vakava tietovuoto tapahtuu ennen pitkää. Niin paljon potilas- ym. tietoja käsitellään eri järjestelmissä, että inhimilliset mokat ovat väistämättömiä, eikä mikään GDPR-lainsäädäntö pysty täysin niitä estämään.

Vuoto olisi saanut olla pieni herätys koko alalle -- sellainen, jossa olisi vuotanut muutamia luottamuksellisia tietoja. Kokonaisen tietokannan vuotaminen kiristäjälle ja tietojen osittainen julkistus on kuin suoraan painajaisesta. Tällaista ei kukaan kaivannut.

Tapaus on niin merkittävä, että siitä irtoaa loputtomasti näkökulmia ja ajatuksia. Tässä muutamia.

Kuukausi sitten uutisoitiin saksalaiseen sairaalaan iskeneestä kiristysohjelmasta, joka johti epäsuorasti potilaan kuolemaan kun hänet jouduttiin siirtämään toiseen sairaalaan. Tapahtumaa pidettiin merkittävänä, koska ensi kertaa kyberturvallisuuden pettäminen oli johtanut ihmisen kuolemaan. On luultavaa, että psykiatrisen hoidon potilaiden tietojen vuotaminen tai uutisesta seuraava ahdistus, vaikka tiedot eivät koskaan tulisi julkisuuteen, voi tuottaa saman johtopäätöksen. 

Ahdistusta ei voi vähätellä. Kun AIDS tuli Suomeen, uutisissa kerrottiin suomalaisten tehneen itsemurhia, koska he pelkäsivät saaneensa kohtalokkaan taudin. Ruumiinavauksissa keneltäkään ei löydetty virusta.

Valvira valvoo terveydenhuoltoa ja alan ammattilaisten pätevyyttä. Tietojärjestelmät ovat asiakastietolain nojalla mukana tarkastuksissa, mutta työ on yksittäisen henkilön vastuulla. Nyt pitäisi olla selvää, että kyberturvallisuus on osa potilasturvallisuutta, joka pitää tarkistaa siinä missä työntekijöiden määrän riittävyys tai todistusten aitous.

Ennen GDPR:n voimaantuloa peloteltiin tietosuojaviranomaisilla, jotka tulevat tekemään yllätystarkastuksia yrityksiin. Onko näin tapahtunut? En ole kuullut yhdestäkään isosta tarkastuksesta. Resurssit ovat pienet, mutta turha pelottelu tarkastuksilla ei myöskään toimi. Oliko kukaan koskaan tarkastanut Vastaamon tietojärjestelmiä? Kenelle tarkastus olisi kuulunut?

Julkisten tietojen perusteella kyseessä on alkeellinen moka. Ei mitään ovelaa hakkeria, ei aiemmin tuntematonta tietoturva-aukkoa -- ei mitään muuta kuin alkeellinen, mahdollisesti nettiin avoimeksi jäänyt tietokanta, jollaisia lapsikin pystyy hakemaan vaikka Shodan-hakukoneella. Koska tiedot ovat vanhoja, kyse saattaa olla edellisestä tietojärjestelmästä tai testi/kehityskannasta, joka oli vain "unohtunut" linjalle. Salasana root ja käyttäjätunnus root kertovat täydellisestä huolimattomuudesta.

Jos kanta löytyy näin helposti, kuka muu sen on mahdollisesti löytänyt? Muut hakkerit tai valtiolliset tiedustelupalvelut, jotka etsivät tällaista aineistoa työkseen?

Kuinka arvokasta heille olisikaan päättäjien tai avainhenkilöiden sairaskertomukset, niin kiristyksen kuin mielenterveyden manipuloinnin kannalta. Onko tällaista mahdollisesti jo tapahtunut?

Kaikille muille tapaus jättää syvän epäluulon: uskallanko kertoa ongelmistani lääkäreille tai terapeuteille, jos on vaara, että tiedot päätyvät julkisuuteen?

Nyt vaakalaudalla on koko terveydenhuollon uskottavuus ja terapian tulevaisuus.

Ja kaikki tämä vain auki jääneen tietokannan vuoksi. 

keskiviikko 21. lokakuuta 2020

OneCoin goes to Hollywood

Skotlannin Glasgowista kotoisin oleva Jen McAdam kuuli Onecoinista ja sijoitti siihen 9000 puntaa (euroissa vähän enemmän). Ei se vielä mitään, mutta hän kehui uutta kryptovaluuttaa lähipiirilleen ja sai nämä sijoittamaan peräti 220 000 puntaa tähän huijaukseen. Rahat menivät eikä Britannian poliisi voinut auttaa (kuulostaa kovin tutulta). 

McAdam alkoi itse kampanjoida Onecoinia vastaan (kuulostaa kovin tutulta, tämäkin) ja sai julkisuutta asialleen. Julkisuuden myötä tulivat myös uhkailut ja kunnianloukkaukset toisilta onecoinisteilta, jotka yhä jaksoivat uskoa verkoston lupauksia.

McAdam kirjoitti kirjan Fake!, jossa hän kuvasi kokemuksiaan Britannian Onecoin-piireissä (kuulostaa edelleen kovin tutulta) ja poliisin voimattomuutta. Hollywood nappasi kirjan oikeudet itselleen ja elokuvaa ryhtyy tuottamaan MGM-studioille Kate Winslett, joka ilmeisesti esittää myös Jen McAdamia. Käsikirjoittajaksi ja ohjaajaksi on valittu Scott Z Burns, joka tunnetaan mm. Bourne Ultimatum -elokuvasta.

McAdamin tarina on juuri tähän aikaan sopiva. Nainen huijauskoneiston uhrina, taistelemassa oikeudenmukaisuuden puolesta, kun viranomaiset ovat voimattomia. Hollywoodin koneisto varoittaa tulevia uhreja verkostomarkkinoinnin ja valheellisten kryptovaluuttojen vaaroista virkavaltaa tehokkaammin.

Kävin tammikuun alussa Los Angelesin keskustassa katsomassa vankilaa, jossa Konstantin Ignatovia pidettiin pidätyksen jälkeen. Aulassa ollut vahti tuli kysymään, millä asioilla liikuin, kun otin kuvia rumasta vankilarakennuksesta (ei ihan tavallinen turistikohde!) ja jäi juttelemaan. Hän muisti Konstantinin ("se tatuoitu mies") hyvin, tiesi Onecoinin tarinan ja kateissa olevan siskon. Aika hyvin, koska Onecoinia ei koskaan markkinoitu USA:ssa.

Sanoinkin vartijalle, että tapahtuneesta pitäisi tehdä elokuva. Nyt se on tekeillä. Huvittava yksityiskohta on, että vankilasta on linnuntietä vain 15 kilometriä MGM-studioille (autolla 17,8 kilometriä). Los Angelesin mittakaavassa ne ovat liki naapureita.

Kiinnostavaa nähdä, kenet valitaan esittämään Kari Wahlroosia. Hän on varmasti mukana, sillä hän kävi pitämässä useita värväystilaisuuksia Englannissa ("Miksi minulla on mustat lasit? Koska tulevaisuus näyttää niin valoisalta!").

Toivottavasti myös Tommi Vuorinen pääsee vilahtamaan elokuvaan, vaikkapa pienessä cameo-roolissa.

PS. Onecoinin OneAcademy-koulutusmateriaalit ovat taas vuotaneet verkkoon. Nyt kyse ei ole enää kopioiduista pdf-tiedostoista vaan hyvälaatuisista videokoulutuksista (tiedostot yhteensä vähän yli 10 gigatavua). Luennoijat tuskin ymmärsivät, mihin käyttöön osaamisensa myivät. Ja se, ettei yhtiö pysty pitämään huolta sen paremmin käyttäjätiedoista kuin videoistaan (se arvokkain substanssi, josta jäsenet väitetysti maksoivat), osoittaa ettei tällä jengillä ole alkeellistakaan osaamista -- saati sitten kykyä pyörittää satojen miljardien eurojen kryptovaluuttaa. 

sunnuntai 4. lokakuuta 2020

Top Secret - Pääesikunta on sumennettu Google Mapsin satelliittikuvassa

Helsingin alueella on muutamia lento- ja kuvauskieltokohteita. Esimerkiksi presidentinlinnan ja valtioneuvoston linnan yläpuolella ei saa lentää eikä kohteita ilmeisesti saa kuvata (paitsi reittikoneen ikkunasta, jos sattuu sopivasti näkymään).

Myös Kasarmintorin laidalla sijaitsevan pääesikunnan yllä on lento/kuvauskielto.

Pääesikunta on lento/kuvauskieltoaluetta.

Lentokiellon ymmärtää, mutta hämmästyin lievästi katsoessani kohdetta Google Mapsin satelliittikuvassa:

Pääesikunta on sumennettu satelliittikuvassa.

Olisi kiinnostavaa tietää, onko alueella jotain oikeasti luottamuksellista vai onko kyse vain periaatteesta. Onko kohdassa jotain, mitä esimerkiksi venäläiset eivät näkisi omilla satelliiteillaan? 

Muutama vuosi sitten Helsingin Sanomat kirjoitti oudosta pimennyksestä Tikkakosken päällä (tilaajille, mutta KSML-juttu näkyy). Silloin Puolustusvoimat kiisti, että se olisi vaatinut pimentämistä. Luultavasti kyse oli vain satelliittikuvien laadusta.

Pääesikunnan sumentaminen Google Mapsista tuntuu erikoiselta, koska esimerkiksi Yhdysvaltojen Pentagon näkyy kirkkaasti:

Pentagon näkyy tarkasti.

Ja nykyään myös Tikkakosken alue näkyy satelliittikuvassa terävänä.

Jk. Saamani palautteen mukaan joillakin Pääesikunta näkyy Google Mapsissa normaalisti, samoin 3D-näkymässä. Applen karttaohjelman satelliittikuvassa kohde näkyy terävänä, mutta 3D-näkymässä sumennettuna.