tiistai 27. lokakuuta 2020

Tietomurron uhrin asema on huono

Vastaamon tietomurron uhrit kärvistelevät helvetissä, jota he eivät ole itse aiheuttaneet eivätkä todellakaan ansainneet. Viranomaiset julkaisevat ohjesivuja ja avaavat tukipuhelimia, mutta niiden apu on rajallista. Tukipuhelimet kuuntelevat ja jakavat soittajan tuskaa, ohjesivuilla on aina samat neuvot: suojaa tietosi, tee luottokielto, tarkkaile postiasi ja laskujasi. Luottokiellolta ei kuitenkaan kannata odottaa liikoja. Klarna on sentään luvannut nyt parantaa toimintaansa. Tilauspetosten selvittäminen, jos niitä tulee, työllistää uhria joka tapauksessa.

Todellista helpotusta on luvassa vasta, jos poliisi saa tekijän kiinni. Miten todennäköistä se on? Suuressa tietovuotojen sarjassa marraskuussa 2011 levitettiin mm. 16 000 ihmisen henkilötiedot nettiin. Poliisi pääsi lopulta tekijän jäljille, mutta todisteet eivät riittäneet syytteen nostoon saati tuomioon. 

Palvelunestohyökkäyksessä valtion palvelimille elokuussa 2018 tekijä saatiin melkein kiinni, mutta hän ei enää ollut maallisen oikeuden tavoitettavissa.

Huhtikuussa 2018 tietomurrossa Liiketoimintasuunnitelma.com -palveluun varastettiin 130 000 käyttäjätunnusta ja salasanaa. Siitä ei ole kuulunut mitään. Ilmeisesti tutkinta on kaikessa hiljaisuudessa lopetettu, eikä poliisi tiedota mitään.

Myöskään Lahden kesäkuun 2019 "kyberhyökkäyksestä" ei ole kuulunut mitään. Ilmeisesti tekijät tulivat ulkomailta eikä heitä ole mahdollista tavoittaa. Poliisi ei ole kertonut tästäkään mitään julkisuuteen.

OP:n pankkipalveluun hyökkäyksen 2015 tehneet kaksi nuorta miestä saatiin kiinni ja tuomittiin, koska he alkoivat itse leveillä netissä teoillaan. 

Vastaamon hyökkääjä on luultavasti yksin toimiva suomalainen nuori mies. Jos hän pystyy hiljaa eikä tee virheitä, häntä on erittäin vaikea tavoittaa. Tässä suhteessa lunnasrahojen osittainen maksu jopa helpottaisi poliisin työtä, sillä "follow the money" -periaate toimii myös nettirikollisten suhteen. Rahaa on vaikea piilottaa ja etenkin käyttää, vaikka se olisi Bitcoineina. Ehkä poliisi on kaikessa hiljaisuudessa tehnytkin pari maksua uhrien puolesta, jotta niitä voidaan seurata? Virallinen viesti julkisuuteen on tietenkin jyrkkä ei maksamiselle.

Vielä senkään jälkeen, kun tekijä on kiinni ja tuomittu, uhrit eivät voi olla täysin levollisin mielin. Jonkin verran tietoja on jo ehtinyt levitä nettiin ja ne voivat kummitella vuosien ajan. Vaikka niin mediat kuin käyttäjätkin lupaavat #enlue ja #enjaa, uteliaita ja epärehellisiä löytyy aina. Tor-verkon sivuilla tiedostoja on jo kyselty.

Rikoksen uhrien asema on aina heikko. Siksi tuntuu julmalta, että viranomaiset velvoittavat kaikkia jättämään samansisältöisen rikosilmoituksen teosta, jota poliisi jo tutkii kaikin mahdollisin keinoin. Ilmoituksella on merkitystä lähinnä vasta sitten, jos tekijä saadaan kiinni ja häneltä voidaan vaatia korvauksia. Ilmoitus on edellytys korvausten hakemiselle. Todennäköisesti henkilöltä ei pystytä perimään kuin murusia, joten tämäkään ei paljon lohduta.

Se vähän lohduttaisi, jos Vastaamon vakuutusyhtiö maksaisi korvauksia yrityksen laiminlyönneistä kärsineille. Niin ikään tulisi avata ryhmäkannemahdollisuus myös muissa kuin kuluttajariita-asioissa. Sen jälkeen uhrit voisivat ajaa asiaansa yhteisellä kanteella, jopa yhteisellä rikosilmoituksella.

Lisäksi pitäisi vaatia, että luotollisessa myynnissä myyjä tarkistaa ostajan tai tilaajan henkilöllisyyden, jos se ei perustu vahvaan tunnistamiseen. Nyt tilaamisesta on haluttu tehdä mahdollisimman helppoa, mikä houkuttelee väärinkäytöksiin ja rankaisee syyttömiä.

Edelleen pitäisi vaatia, että myyjä todella tarkistaa mahdollisen luottokiellon ennen myyntiä, tai muuten laskua ei voida lähteä perimään.

Tässäkin mielessä Vastaamon tapaus antaa paljon mietittävää ja parannettavaa viranomaisille.

33 kommenttia:

Anonyymi kirjoitti...

"Vastaamon hyökkääjä on luultavasti yksin toimiva suomalainen nuori mies. "

Kenkää saanut toimitusjohtaja?

Anonyymi kirjoitti...

"Espoolaisteini piinasi FBI:n agentin sukulaisia ja sai hävittäjät ilmaan USA:ssa"

https://www.iltalehti.fi/kotimaa/a/585533d6-b7b7-44f0-bb33-3af27c8469c7

Kundi sai vuoden ehdonalaista, joten se siitä rangaistuksesta. Jos nykyinen piinaaja tuomitaan, niin varmaankin selviää kahden vuoden ehdonalaisella.

Markus kirjoitti...

Ei se pelkkä uhri ole "uhri".

Myös poliisi on uhri.

Tässä asiassahan on yksinkeraisuudessaan kyse siitä, että firmat tekevät bisnestä vain rahankiilto silmissään. Jokaikinen asia mikä "haittaa bisnestä" on silloin pois suljettu. Oli se kuinka järkevä tahansa.

Nyt useat firmat käyttävät alkeellista metodia "kirjoita henkilötunnus ruutuun ja thäts it!" suoranaisen velkasopimuksen tekemiseen! Siis velkasopimuksen!

Miten hitsissä kukaan voi tällaista hyväksyä ja vielä lisäksi, tätä pelleilyä on nyt katsottu jo vuosikymmeniä.

Samoin bisneksen tekoon kuuluu mahdollisten ongelmien sälyttäminen kahdellekin täysin viattomalle taholle. Se sivullinen uhri, kenen tietoja käytetään. Sekä poliisille ja oikeuslaitokselle eli siis veronmaksajille. Niilläkin varmasti olisi muitakin töitä kuin katsoa paksua pinkkaa rikosilmoituksia ilmiselvän välinpitämättömyyden vuoksi.

Analogiana tämähän tarkoittaisi, että pankit saisivat pitää ovensa yöt päivät auki ja jättää sinne pankin keskelle vielä asiakaspäätteen, jossa voi siirrellä kuka tahansa kenen tahansa rahoja minne huvittaa. Asiakas joutuisi selvittelemään asiaa ja poliisi joutuu selvittelemään asiaa. Eihän siinä ole mitään järkeä!

Jos pankki pitää ovensa kelle tahansa auki niin kyllä poliisinkin pitää pystyä sanomaan että voivoi. Niinhän vakuutusyhtiötkin tekee. Täytyy se minimi järkevä suojaus kaikessa liiketoiminnassa olla. Mutta tämä bisnestaktiikka "luoton myöntäminen pelkkää netissä kirjoitettua hetua vastaan" on juuri hyvä esimerkki täydestä villistä lännestä, joka just ja nyt pitää saada loppumaan.

Asiaan kuitenkin on se "ovi minkä voi lukita" eli se vahva tunnistauminen aina luottosopimuksia tehdessä. Siten poliisi säästää hirveän määrän työaikaa ja samoin uhrit ihan kaikilta niiltä lieveilmiöiltä joita tulee.

Silloin ei myöskään ole enää mitään merkitystä jos se hetu googlella löytyykin.

Ei enää nykymaailmassa voi tietoa salata (niin ja se hetuhan ei ole koskaan ollutkaan salainen, se on julkinen yksilöintitieto). Ainoa järkevä kikka on olettaa, että tieto leviää ja tehdä siitä leviävästä tiedosta "hyödytöntä". Epäollenaista.

Anonyymi kirjoitti...

Siis miksi luotonantajan tarvii kovin tarkaan tutkia luotonhakijan tietoja koska luottotappiot voi kirjata kirjanpidossa kuluiksi eli toisin sanoen tulee vähemmän veroja maksettavaksi.

Systeemissä olisi parantamista

Anonyymi kirjoitti...

Toivoisin voivani ilmoittaa tälle yhteiskunnalle, että minut saa tunnistaa vain käyttäen ns. vahvaa menetelmää. En haluaisi selvitellä sitä sotkua, kun joku tunnistautuu minuksi vain tietämällä henkilötunnukseni, ja näin minulle tulee todistustaakka siitä, että kyseessä en ollut minä.

Markus kirjoitti...

Nimetön. Tämä on myös yksi osa ongelmaa.

Itse olen tuohtunut tästä asiasta suuresti myös sen vuoksi, että olen henkilökohtaisesti joutunut hoitamaan tällaista sotkua erään läheisen ihmisen kanssa, joka siis on joutunut identiteettivarkaus-helvettiä hoitamaan.

Lehdissä tällä hetkellä annetaan hyvin glorifoitu kuva asian tilasta ja hoidosta.

Todellisuudessa ongelma on juuri todistelu-ongelma. Kun tilanne tulee, ja sinä et ole sitä ostosta ja luottosopimusta tehnyt, ei se toimi vain soittamalla sinne lisämaksulliseen ruuhkaiseen asiakaspalvelunumeroon (sinun kustannuksellasi). Tästä alkaa asetelma jossa tämä luotottanut yhtiö alkaa epäillä SINUN tarinaasi. Olettaen että koitat vain luistella maksusta. Eli siis sinusta tulee todistamisvelvollinen heille (luottoyhtiölle) päin, jotta he suostuisivat katkaisemaan sen perinnän. Vähimmäisvelvoite sinulle on se, että teet asiasta rikosilmoituksen. Eli tavallaan sinä kutsut poliisin sinun todistajaksesi eräänlaisena mekanismina. Kun olet tehnyt rikosilmoituksen - tällä tavalla olet todistanut asiasi.

Toinen ongelma on juuri se poliisi. Se on läpikypsä tähän touhuun. Se tietää tasan tarkkaan olevansa pelkän pellen asemassa mutta kehen poliisi purkaa asian. Tähän uhriin. Siis siihen henkilöön, kenen ei pitäisi mitään edes joutua hoitamaan. Poliisin asenne on "viittitkö sä nyt oikeasti eksä vois hoitaa tätä jotenkin muutenkin kun tää on katos kun meillä on muitakin töitä". Eli joudut lähes rukoilemaan poliisia tekemään asialle jotain. Eihän sinua kiinnosta suoranaisesti se, että saako sitä rikollista kiinni. Sinua kiinnostaa saada se lasku pois päiväjärjestestyksestä ja perintäprosessista kun et kerran ole osallinen koko asiassa.

Lehdissä kuitenkin nyt kirjoitellaan kuin tämä kaikki olisi "no eihän sulla ole mitään velvoitteita kun sehän on ihan helppoa". Ei se ole helppoa. Se on pirun vaikeaa. Mistään ei saa tietoa miten asiassa pitää edetä. Viranomaisilla on asennevamma koko asiaa kohtaan (paitsi ehkä juuri nyt kun kyseessä on näin iso hässäkkä). Niitä firmoja ei piruakaan kiinnosta. Ne hypyttää osatonta ihmistä "löyhässä hirressä", kuin sillä olisi oikeasti jotain velvoitteita hoitaa asiaa.

Ongelma on, että meillä on täällä rekisteri joka pitää hyvin kattavasti kirjaa ihmisten tiedoista. Meillä on täällä täysautomaattinen perintäjärjstelmä, joka käyttää tuota rekisteriä hyväkseen. Eli se tie ulosottoon on hyvin nopea ja tehokas. Ongelmana on juuri tämän järjestelmän tehokkuus toisaalla ja uskomaton tehottomuus sillä puolella kun sattuu jokin virhe. Varsinkin kun "virhe" tässä asiassa on täysin taktikoitu, bisneksen vuoksi tehty, tahallinen asia. Eli kaikki osapuolet tietää koko kuvion kyllä mutta sille ei mitään tehdä. Hyvin nopeasti se viaton uhri huomaa olevansa pelkkä pelinappula tällaisessa sairaassa pelissä, sairaassa ympäristössä. Eikä sitä yhtään lohduta se, miten lehdissä nyt selitellään "kuinka helppoa se on hoitaa ittensä pois sotkusta".

Vielä pahempi on jos joutuu oikeuteen asiasta. Suomessa kun näissä asioissa on vähän taipumus, että saattaa joutua jopa tuomituksi vaikka edelleenkin on se viaton uhri. Eli siis oikeudenkäyntiin joutuminenkin on arpapeliä. Sen nämä firmat myös tietää. Saa olla aikamoiset balssit jos aloittaa uhrina taktiikalla "no nähdään käräjillä sitten". Ei sekään ole niin yksinkertaista.

Petteri Järvinen kirjoitti...

Lehdissä tällä hetkellä annetaan hyvin glorifoitu kuva asian tilasta ja hoidosta.

Tässä olet valitettavasti oikeassa. Media ei halua masentaa uhreja lisää vaan pyrkii antamaan positiivisen kuvan suojautumismahdollisuuksista. Niitä on, mutta rikoksen uhri on tässäkin tapauksessa valitettavan suojaton ja joutuu puolustamaan itseään uusilta rikoksilta.

Toivottavasti näin vakava tapaus herättää eduskunnan muuttamaan pikimmiten lakeja, jotta tietojen väärinkäytöltä suojautuminen helpottuu.

Markus kirjoitti...

Olen ihan samaa mieltä sun kanssa Petteri.

Kuitenkin pahaa pelkään, että tässä käy "klassiset". Nyt pari viikkoa lehdet kirjoittelee isoin otsikoin. Ministerit järjestää parit näytös-kokoukset. Presidenttikin jo pitkästä aikaa avasi sen sanaisen arkkunsa. Ja sitten se unohtuu. Sitä ne varmaan kaikki odottaakin. Ihan ensimmäisenä sielä "klarnojen" johtoportaassa. Uhrit haahuilee siitä eteenpäin ongelmineen yksin, miten parhaiten taitaa.

Onhan näistä nyt jo vuosikausia puhuttu ja täytyy myöntää että pientä muutostakin on tullut. Enää ainakaan puhelinliittymiä voi tuosta vain toisten nimillä avata.

Ongelma kuitenkaan ei rajoitu vain luottosopimuksiin. Omissa läheisen kokemuksissa myös erinäiset ajanvaraukset. Tilaukset. Se voi olla pizza oven taakse tai lääkärinaika terveyskeskukseen, josta tulee sitten peruutusmaksu kun uhri ei edes tiennyt koko ajasta. Tämä on todella pitkä lista, jossa "asiakaspalvelu" on ulkoistettu puhelimen tai nettisivun pätkän päähän eikä mitään verifiointia asioijasta ole.

Näen kuitenkin, että tämä ongelma on aika paljon suurempi. Tämä on vain yksi pieni palanen sitä isoa asiaa, joka täällä suomessa velloo. Se on se yleinen uhrien asema, varsinkin suhteessa rikollisten asemaan. Ihan joka asiassa täällä suomessa on ongelmana uhrien asema. Oli se sitten raiskauksen uhri, työpaikkakiusaamisen uhri, koulukiusaamisen uhri (niin se asia muuten mistä aikaisemmin hössötettiin taas se pari viikkoa) tai nyt sitten identiteettivarkauden uhri. Joka ikisessä asiassa jossa on "kiusaaja" ja "uhri" toistuu tismalleen sama kaava. Koko valtion mekanismit kaikkineen jättää uhrin susille yksin hoitamaan toivotonta savottaa. Pahimmillaan ne mekanismit jopa vielä lisää kiusaa sitä uhria. Sekä rikollisten/kiusaavien tahojen päätä silitellään kaiken maailman hössöttäjien voimin.

Niin kauan kun tämä yleiskulttuuri on näin pahasti väärinpäin vinksallaan. Minä en odota yhdenkään ongelman ratkaisua tässä maassa. Kosmeettista näpertämistä kyllä riittää joka puolella mutta ei ne ongelmat sillä ratkea. Ne on vain akuuttien tulipalojen sammutusta.

Täällä pitäisi koko ajattelutapa muuttaa päinvastaiseksi. Ne rikolliset saavat ansionsa mukaan ja kaikki ne mekanismit, jotka nyt rikollisten/kiusaajien päätä silittää voisivat keskittyä vaikka auttamaan niitä uhreja.

Meneeköhän tuossa vielä sata vuotta? Aika sen näyttää. Kokeillaan sitä ennen vaikka sitä "paikallista sopimista", täysin epäbalanssissa olevassa ympäristössä. Siinä se sitten nähdään taas.

Anonyymi kirjoitti...

Pientä juttua tänä vuonna tapahtuneesta identiteettivarkaudesta.

Yhteenvetona että poliisilla homma kestää ja yritykset eivät millään poista perintää vaan saattava velan aina käräjäoikeuden käsittelyyn. Rikoksentekijä myös ilmoitettu poliisille. On naapuri.

Toukokuussa tutkintapyyntö poliisille 12 eri petoksesta. Joku oli saanut pankkitunnukset käsiinsä ja tilannut tavaraa sekä palveluja. Kännyköitä, kannettavia, ottanut luottoja ja tavaraa osin haettu kaupoista. Tavarat tilattu eri osoitteisiin ja annettu eri puhelinnumero.

Kaikille asianosasille ilmoitettu asiassa tehdyn tutkintapyynnön poliisille ja laitettu kopio siitä.

Vastaus poliisilta: "Lowell ja muutkin perintäyhtiöt voivat jatkaa perintätoimia, vaikka asiassa on alkanut rikostutkinta, se ei sido heitä mihinkään ja varsinkin silloin, kun on käytetty henkilökohtaisia verkkopankkitunnuksia lainojen ottoon ja tilausten tekemiseen. Tällöin perintäyhtiöt (eivät kaikki) jatkavat toimiaan aina haastehakemukseen saakka ja silloin asianomistajan pitää olla yhteydessä haastehakemuksesta ilmenevään tahoon (käräjäoikeuden kanslia) ja ilmoittaa että asiassa on vireillä esitutkinta. Tarvittaessa käräjäoikeus pyytää tutkintailmoituksen ja laittaa prosessin jäähylle... mutta lähes aina Telia katsoo, että verkkopankkitunnusten haltija on vastuussa niiden avulla tehdyistä tilauksista eikä Telia esitä juuri koskaan vaatimuksiaan esitutkinnan yhteyteen, vaan jatkaa saatavien perintää verkkopankkitunnusten haltijalta."

Ensimmäinen ja tärkein asia näissä on tehdä omaehtoinen luottokielto heti kun saa tiedon omien tietojensa hyväksikäytöstä.

Eli vaikka poliisille on ilmoitettu rikoksentekijä, ei asiassa ole seitsemään (7) kuukauteen tapahtunut mitään poliisin toimesta vaan rikoksentekijä on saanut jatkaa toimintaansa edelleen.






Petteri Järvinen kirjoitti...

Erikoista, että joku voi saada naapurin pankkitunnukset käsiinsä. Pelkät tunnukset kun eivät riitä ostoihin, lisäksi tarvitaan puhelin tai tunnuslukuja tuottava laite.

Mutta se on yleistä, että poliisin reagointi on kovin hidasta ja jos rosvo on ehtinyt tilata tavaraa monista eri paikoista, oman maineen puhdistamisessa on hillitön työ.

Anonyymi kirjoitti...

Oli ottanut salaa valokuvan löytämästään OP-pankin tunnuslukulistasta kylässä ollessaan.

Petteri Järvinen kirjoitti...

Pelkällä listalla ei pääse OP:hen. Pitää saada myös puhelin, koska vahvistuskoodin numero ilmoitetaan tekstiviestillä.

Anonyymi kirjoitti...

Toisen pankkitunnusten haltuunsa saaminen on tietenkin ihan eri tarina. Luultavasti pankkitunnuksiaan on silloin säilyttänyt käyttöehtojen vastaisesti. Avainlukulistan lisäksi pitää tietää käyttäjätunnus ja ainakin OP:lla on nykyään vielä erillinen salasana, jota ei todellakaan saa säilyttää samassa paikassaa avainlukulistan kanssa. Tässä ei siis ole kyseessä mikään yhteiskunnallinen ongelma, ja luultavasti kokemus opettaa pankkitunnuksiaan huolimattomasti säilyttäneitä.

Anonyymi kirjoitti...

Petterille!

Ei ainakaan minulle ilmoiteta vahvistuskoodia puhelimelle OP:ltä. Juuri kävin Oma tiedossa uusimassa reseptiä. Viime viikolla tilasin Verkkikseltä levyn.

Anonyymi kirjoitti...

Tässähän joutuu ihan puolustuskannalle kun vastasin markuksen kirjoitukseen. OP:n avainlukulista on sellainen ohut pahvinpalanen jossa iso liuta numeroita. Kun on kirjauduttu palveluun kirjoitetaan ensin tunnukset. Tämän jälkeen tulee ruudulle nelinumeroinen luku esim 2908 johon etsitään vastaavuus avainlukulistasta esim 6700 ja tilaus ja tunnistautuminen sillä selvä.

Huolimatonta pankkitunnusten säilyttämistä ei ole sellaista jos avainlukulista on erillään esim lipaston laatikossa papereiden alla. Vieraita 11 kappaletta, osa syömässä ja grillaamassa terassilla ja osa käy vessassa jne. Kukapa silloin kyttäisi jokaisen vieraan tekemisiä asunnossa.

Poliisin mukaan näitä vastaavia on joka vuosi laaja määrä ja kasvussa vuosittain.

Anonyymi kirjoitti...

OP:n sivuilla mainitaan: "Avainlukulistalla asioidessasi käytössäsi on oltava puhelin tai tabletti, johon voit vastaanottaa tekstiviestejä. Viestien vastaanottaminen on sinulle maksutonta. Lähetämme vahvistusviestit aina numerosta +358 40 711 8180 ja viestien allekirjoittajana on OP. Huomioithan, että emme vaadi tekstiviestivahvistusta joka kerta."

Voin kyllä itse vakuuttaa ettei minulle ole 3 vuoden aikana tullut OP:ltä mitään tekstiviestiä avainlukulistaa käyttäessäni

Petteri Järvinen kirjoitti...

Hmm... minulta OP vaatii tekstiviestin jokaisen tilisiirron yhteydessä. Sehän on vuoden voimassa olleen PSD2-maksupalveludirektiivin vaatimus.

Anonyymi kirjoitti...

Kertomassani tapauksessa ei ole tehty tilisiirtoja vaan kirjauduttu OP:n tunnuksilla palveluihin. Itse kokeilin juuri 5 minuuttia sitten, eikä tekstaria.

Markus kirjoitti...

Tämä nimettömän kertoma.

Itse kommentoin tähän myös toisen suomalaisen ongelman. Ensimmäinen oli tuo kiusaaja vs uhri epäbalanssi asioiden hoidossa.

Kiusaamiseen voidaan viitata myös toinen ongelma, kulttuurin mädännäisyys. Sekin on osaltaan ollut aiheuttamassa tätä koko "vastaamo-vyyhtiä".

Se on epärehellinen, moraaliköyhyys.

Suomalaisiin ihmisiin "vauvasta vaariin" on hyvin suurissa määrin pesiytynyt sellainen "sluibaaminen" asioista. Taktikointi. Eli otetaan esimerkiksi veroasia. Kun tulee uusi vero, suomalainen suurissa määrin ei hyväksy veroa vaan yrittää keksiä kikkoja, miten tältä maksulta voisi välttyä. Tämä ilmiö voi olla hyvinkin pientä "haen kahteen kertaan ne kolme kappaletta tarjous-kahvipakettia kaupasta enkä sitä yhtä kertaa, sehän on pikkujuttu". Mutta silti moraalisesti väärin ja rapistunutta. Suomalaisen päässä se vääntyy jotenkin silleen, että kun se on pikkujuttu, se on silloin hyväksyttävää.

Mutta oikeastaan ei ole. Se on pienen pieni petos sekin ja jokainen petos johtaa isompaan sellaiseen. On ihan eri asia puuttuuko siihen kukaan, vai onko toinen taho jopa mukana asiassa. Eli esimerkkinä: poistellaan henkilöautosta takapenkit, jotta veroja välttääkseen se olisi "pakettiauto". Niin katsastuskonttorin ukkeli kuin auton omistajakin hyvin tietää kuvion kulun. Mutta kun oikeasti asiaa miettii, se on henkilöauto ja siitä kuuluu silloin maksaa henkilöauton verot.

Tämähän on jo vuosikymmeniä muhinutta muljailua, josta on tullut jopa jonkin sortin kansallisurheillua. Televisiossa ja lehdistössä ihaillaan "nallea", joka röyhkeästi kertoo lehdissään miten kiskoo kaiken maailman tuet kun "laki sen sallii" ja näin tienataan. Vaikka asia oikeasti on vertautuneena isommassa mittakaavassa tällaisena "kahvipaketti-pakettiauto-asiana". Eli oikeastaan laillisesti mitään väärää ei ole tehty, mutta moraalisesti se on yhtä kuin lain rikkomista. Siitä vain ei tule rangaistusta koska siinä eletään juuri ja juuri siinä lain välimaastossa.

Markus kirjoitti...

Kun tätä asiaa on vuosikymmeniä kestänyt, se alkaa olla nk. "verissä". Se "sääntöjen venytys" alkaa tietysti aina pienistä asioista. Meillä on nykyisin iso määrä "bisnesmiehiä", jotka häikäilemättä sääntöjä parhaiten itsensä eduksi tulkiten tekevät sitä ja hakevat vielä toisten "bisnesmiehien" hyväksynnän. Niitä on poliittinen eliiti jo täynnä samanlaisia. Jo kauan sitten ollaan menty sen rajan yli, missä aina välttämättä edes suoraan noudateta sitä lakia vaan mennään "pienimmän haitan periaattella", ajatellen vaikka suorankin rangaistuksen olevan jo pienempi kuin sen asian arvo miltä koitetaan välttyä. Näin tämän kaltainen vastaamo-vyyhti aiheutti yhden maapallon tuhoisimmista tietomurroista, ja vyyhtiin sotkeutunut jo täysin ulkopuolisia tahoja "klarnoja" tahtomattaan kun mätäpaise puhkeaa se paljastaa vähän jokapuolelta tällaista efektiä. Vastaamo säilyttää asiakkaidensa tietoja säästöjen nimissä jossain omassa virityksessä. Klarna ei millään ilveellä saa aikaiseksi sitä kunnollista tunnistautumista. "Eihän bisnestä saa haitata" - ajattelulla.

Todellisuudessa maailma ja suomi olisi paljon parempi paikka, kun noudatettaisiin oikeasti niitä sääntöjä. Haetaan se kolme kahvipakettia kun siinä lapussa niin lukee. Se on rehellistä. Ei laitonta, eikä moraalitonta. Henkilöauto on henkilöauto ja siitä maksetaan henkilöauton verot. Eikä nalle osaa varmasti edes traktoria käynnistää. Vastaamon kokoisen firman kuuluu järjestää tietoturva kuntoon, kun kerran työkseen sellaista asiaa tekee, jossa asia on tärkeä. Maksoi mitä maksoi. Klarnan kuuluu varmistua luottosopimusta tehdessään hakijan henkilöllisyydestä. Maksoi mitä maksoi.

Sekä kenenkään toisen verkkopankkitunnuksia ei ole jollakulla toisella mitään asiaa käyttää vaikka ne olisi kehystetty taululle seinään. Ne tilillä olevat rahat ei muutu toisen omaisuudeksi sillä millään logiikalla ja ilveellä! Se on vain ja ainostaan varastamista. Kuin veisi suoraan setelit lompakosta. Ei sitä oikeuta yhtään mikään huolimattomuus eikä mikään muukaan.

Täällä pitäisi alkaa ajattelemaan asia siitä "sluibailusta" ja muljailusta siihen miten asiat kuuluu hoitaa. Silloin ne hoituu niin kuin pitääkin.

Kaikkein hersyvimmän huvittavinta tässä on, että suomalaisesta vielä puhutaan jonain suoraselkäisenä rehellisenä sopijana.

Markus kirjoitti...

Eli tällä palstallakin näkyi juuri tuo ylempänä kertomani ilmiö.

Tällä palstalla ihan oikeasti jotkut miettii, mitä se uhri teki väärin. Ihan kuin se sillä olisi ansainnut sen.

Ei. Sitä asiaa ei tarvitse miettiä ollenkaan.

Häneltä vain yksinkertaisesti joku toinen varasti rahaa ja silloin hän on se uhri. Toinen osapuoli on se varas. Uhrille kuuluu palauttaa rahat takaisin ja varkaalle kuuluu niin vahingonkorvausvelvollisuus kuin rangaistus rikoksesta.

Mekanismilla ja uhrin huolimattomuudella ei ole mitään tekemistä asian kanssa.

Oikeastihan tässä mietittiin sitä, oliko pankilla jotain tekoa asian kanssa. No ei oikeastaan. Ei se pankki tässä tapauksessa mitään väärin ole tehnyt. Yhtä hyvin se varas olisi voinut viedä rahat helposti lompakostakin, eikä sekään mitenkään pankin vika ole. Eli tässä yritettiin toista "sluibailu" ajattelua. Koitetaan saada vahingot jonkun kolmannen osapuolen maksettavaksi, ettei itse kokisi uhrina sitä menetystä. Tässä vaiheessa se uhrikin liikuu vähän harmaalla alueella :D

Yksi sluibaaja on se varas, joka tietysti ei herrasmiehenä hoida asiaa niinkuin pitää vaan vetoaa varatomuuteensa ja tuhlasi rahat, sekä jättää uhrille korvauksen maksamatta. Mutta hei - sehän sentään on aito varas.

Mutta tätä hain sillä yleisajattelulla. Miksi väitän, että tällainen moraalikato on todella iso ja huolestuttava hirviö suomessa tällä hetkellä. Vastaamo on nyt sitten niitä vahinkoja joita tällaisesta tulee. Siinä on monta moraalisesti hyvin arveluttavaa tahoa tehnyt aikamoisen keitoksen.

Ainoa mitä voi sanoa, ne uhrit (potilaat) on ihan oikeasti uhreja, eivätkä he ole tässä vyyhdissä tehneet mitään väärää. Heille oikeasti kuuluu ihan kaikki tuki.

Zarr kirjoitti...

OP ei tosiaan pyydä tekstarivahvistusta jos kirjautuu palveluihin (Kela, Veikkaus, Vero, jne). Se pyydetään vain pankkipalveluissa.

Mutta onhan tässä jo tuotteistusta tähähkin: https://www.mysafety.fi/palvelut-ja-vakuutukset/identiteettivakuutus ja vastaavat! Onhan minulla irtaimistovakuutuskin siltä varalta että joku murtautuu kämppääni (tai tulee tulipalo), miksei sitten identiteettivakuutusta?

Tosin tuossa on se oleellinen ero että irtaimiston saat ostettua kaupasta uusiksi vakuutusrahoilla. Identiteetin (hetun) vaihtaminen on tehty naurettavan vaikeaksi.

Ai niin, joku sai aikaan kansalaisaloitteen:

https://www.kansalaisaloite.fi/fi/aloite/7548

Anonyymi kirjoitti...

Kuinkas tuo Viron jo aikaa sitten lanseerama ID-Card olisi Suomessa vastaavana toiminut ellei tuo Ritva Viljanen olisi osaamattomuudellaan aikoinaan sössinyt koko asian?

Itselläni on tuo suomalainen henkilökortti ja laite, mutta käyttö tyssäsi siihen kun asennus ei koneelle koskaan onnistunut.

Oma vaatimaton mielipiteeni on että olisimme aika turvassa suurimmilta petoksilta ja asiointi olisi helppoa kaikissa virastoissa, asioinneissa jne

Petteri Järvinen kirjoitti...

HST-kortti epäonnistui, koska Suomi oli liikkeellä liian aikaisin ja koska pankkeja ei saatu mukaan. Ne kehittivät mielummin oman TUPAS-järjestelmän. Vain OP:lla oli mahdollisuus myös HST-kirjautumiseen, mutta sekin poistettiin kun käyttö jäi niin vähäksi.

Miksi muuten pitää kaataa kaikki yhden henkilön päälle ("Viljanen sössinyt kaiken")?

Markus kirjoitti...

Kuka sellaisia sirukortteja nyt enää kaipaa? Se oli vanhaa maailmaa ja mennyttä maailmaa.

Eihän suomessa ole ongelmana, etteikö täällä olisi maapallon kehittyneintä tunnistusjärjestelmää sähköiseen asiointiin. Onhan meillä. Täysin moderni nykyaikainen. Kännykällä toimiva. Itse asiassa kaksi kilpailevaakin. (Kolmashan on se hst sirukortti).

Meillä on pankkien ja mobiilioperaattorien ylläpitämä tupas-järjestelmä joka on täysin ajanmukainen ja turvallinen. Molemmat tahot ovat hoitaneet asian todella hyvin. Pysyneet kehityksen ja lainsäädännön, eu-direktiivien yms kelkassa. Pahvikorteista on jo luovuttu. Vaihtoehtoiset nykyaikaiset välineet mobiiliasiointiin on olemassa. Ei sitä sirukorttia voi kännykkäänkään työntää. Mutta minä voin mennä tupas-järjestelmän avulla hoitamaan omavero-asioita kännykällä. Tai tietokoneella.

Miksi valtion pitäisi tässä asiassa keksiä pyörää uudelleen? Pankeille ja mobiilioperaattoreille maksetaan kohtuullinen korvaus järjestelmänä pyörittämisestä niinkuin asiaan kuuluu.

Ongelmahan ei siis ole, etteikö meillä olisi maailmanluokan parasta tunnistusjärjestelmää. Ongelma on kun ne tahot, joiden sitä pitäisi käyttää, eivät käytä. Rahansäästön vuoksi.

Puhutaan siis palveluja ja sopimuksia tarjoavista yrityksistä. Jopa kunnista (esim se terveyskeskusten ajanvaraus). Ensin yritykset rahaa säästääkseen ovat poistaneet asiakaspalvelupisteet "joka kylästä", tai eivät ole sitä koskaan edes perustaneet (uusi toimiala). Siten asiakaspalvelu hoidetaan puhelimitse (tai nykyisin netise). Mutta siinä tulee se ongelma, ettei oikeastaan voi tietää kuka sieltä soittaa.

Tämänkään ratkaisu ei välttämättä tarvitse edes tupas-järeää ratkaisua. Siinä voisi riittää vaikka vain jokin koodisana, jonka vain asiakas ja asiakaspalvelija tietää. Kuinka moni teistä muuten tietää, että tällainen käytäntö on esimerkiksi telialla? No tuskin kukaan. Mutta voin kertoa sen nyt. Sinä voit soittaa asiakaspalveluun ja pyytää, että tästedes mikään minun sopimukseen liittyvä on tunnistaumisvaiheessa (se hetu ja katuosoite), pyydettävä myös seuraava koodisana: "Siili" esimerkiksi. Jos sitä sanaa ei osaa sanoa, silloin asiakaspalvelu prosessi ei etene. Tämän koodisanan voi sopia jo sopimusta ensimmäistä kertaa tehdessä.

Tätä koko vastaamo-vyyhtiä voisi verrata eräänlaiseksi tietotekniikan "mini-chernobyliksi". Tarinan opetus on tismalleen sama. Mikä on valheiden hinta? No tässä sitä nyt pesee. Mutta kuitenkin chernobylin koko opetus oli, ettei se ollut vain sielä voimalassa se vika. Se oli koko ympäristössä. Koko sen aikaisessa valtiossa (tiedä sitten onko se vika sielä koskaan korjaantunutkaan). Tämä jäljittelee samanlaista tapahtumien kulkua. Osallisia on valtava määrä. Niin kuin viattomia uhrejakin. Korjattavaa olisi kymmenissä eri paikoissa ja kokonaisissa ajattelutavoissa.

Anonyymi kirjoitti...

Mitä itse virolaisia tunnen niin aika säälivästi nykyisin katselevat suomalaisten touhuiluja tupaksilla ja vastaavilla. 98% virolaisista hyödyntää korttiaan/siruaan.

https://e-estonia.com/solutions/

Markus kirjoitti...

No mä kommentoin tuohon nyt vielä.

Kyllä minä nyt ehdottomasti mielummin käytän iphonen face-idtä (nordean tunnistus), joka salamnnopeasti skannaa kasvot sen sijaan että räpeltäisin jollain sirukortilla, lukijalla, pin-koodeilla ja ennenkaikkea läppärillä asioita, jotka voi kätevästi hoitaa tien päällä mobiilisti kännykällä ilman sitä läppäriä.

Että virolaiset saa ihan rauhassa leikkiä korttijuttujansa.

Anonyymi kirjoitti...

Kyllä se vaan on helpompaa täällä virossa kun yhdellä ja samalla tunnusluvulla pääsee kännykällä eri pnkkeihin ja asiointeihinkin.

Petteri Järvinen kirjoitti...

Mobiilivarmenteella pääsee Suomessakin melkein kaikkialle. Vain pankit pitävät kiinni omista järjestelmistään.

Markus kirjoitti...

Olisi kyllä mielenkiintoinen ihan erillinen keskusteluaihe tästä HST-hankkeesta vrt viron sirukorttitunnistehanke.

Sitähän en kiistä, etteikö viron hanke olisi onnistunut. Se onnistui mainiosti. Mutta siinä ongelmana on nyt jämähtäminen jo pikkuhiljaa poistuvaan teknologiaan. Eli siihen sirukorttiin. Suomi epäonnistui hankkeessa syystä jos toisestakin, mutta tavallaan sitä myös vältettiin miina, eli hirttäytyminen teknologiaan, joka kuitenkin on aikansa lapsi.

Läppäreissä ei enää edes yrityssarjassa tahdo olla kiinteää kortinlukijaa. Tällöin pitää käyttää sitä usb:hen liitettävää muovinpalasta sirulukijana. Kuitenkin usb-standardikin on muuttunut USB-A -> USB-C. USB-Assakin ongelmana oli joissain läppäreissä pystysuorat usb-portit jolloin korttia ei tällaiseen lukijaan saanut millään ilveellä. USB-C:ssä ongelmaksi tulee no onko edes lukijoita? Mutta kuitenkin portin molemminpuolisuus. Eli lukijan saa kummassa asennossa tahansa kiinni mutta silloin pitää olla tarkkana korttia laittaessa.

Kuitenkin nykyaika jo firmoissakin on "tamagotchi" pohjainen autentikaattori. Eli vaihtuva numerogeneraattori. Nykyisin jopa kännykkäappseilla hoituu firmoissakin. Eikä näiksi appseiksi tule lukea vain pankkien appseja vaan myös esim huoltoasemaketjujen tankkausappsit, parkkiappsit. Jopa hesburgerilla on appsi, jolla voi maksaa purilaisensa. Kaikki näistä itse asiassa lisää turvallisuutta, kun itse pääsy kännykkään on kuitenkin tunnisteen takana. Appsit itsessään tarvitsee vahvan tunnistaumisen vain kerran aluksi. Siitä eteenpäin appsi on käytettävissä jollain pehmeämmällä tunnistustavalla tai vähintään sen kännykän oman lukituksen takana. Apple/google/mobilepaylla hoituu maksaminen.

Hyvä puoli appsipohjaisessa turvallisuudessa on juuri kortin katoamisen aiheuttaman ongelman käytännöllisesti katsoen poistuminen. Kun korttia ei tarvitse mukana kantaa, silloin kortin hukkaantuminen muuttuu epätodennäköisemmäksi ja siten rikolliset ei ainakaan sillä tavalla voi saada korttia haltuunsa. Samoin tankatessa appsilla, jää se kortin skimmaamisen mahis pois.

Sirukortit on siis jo turvattomia. Siru itsessään on kestänyt aikaa hyvin, mutta ongelmana on kortissa itsessään lukevat tiedot (kuten henkilötiedot tai debit/credit korteissa kortin numero). Sekä nykyisin maailma on kovasti kännykkäistynyt. Siten on viisaampaa siirtää identifiointikin tämän maailman ajan eniten käytettyyn platformiin kuin pysyä jämähtäneenä edellisen maailman ajan platformissa (se sirukortti).

Anonyymi kirjoitti...

Onko olemassa riski että Vastaamon vuodon kautta on vuotanut potilaiden Kanta-palvelun tietoja?

Eli Vastaamoon on kopioitu Kannasta potilastietoja kun on niitä käyty ensin katsomassa.

Anonyymi kirjoitti...

"kannata odottaa liikoja" -linkki on rikki. Sen osoite on https://www.blogger.com/blog/post/edit/6843976375835852604/6134891817352861800, joka avaa minulla https://www.blogger.com/onboarding ja pyytää kirjoittamaan oman blogin.

Anonyymi kirjoitti...

Tietoturva on mahdollista saada melko tiukaksi erilaisten kontrollien avulla, mutta... Käytöstä tulee "hankalaa" ja toisekseen, se alkaa maksaa rahaa... Monta asiaa on lähdetty tekemään bisnes-kulma edellä ja kun rahaa on alettu tekemään, vasta sitten aletaan miettimään sitä turvapuolta. Sama ongelma tuppaa olemaan yksityisillä ja julkishallinnolla. Muutama vuosi ulkoministeriön massiivisesta tietomurrosta, eikä tekijöitä ole vieläkään saatu kiinni. Viitataan vain "valtiollisen toimikaan". Tiettävästi kukaan vastuutahoista ei joutunut vastuuseen tietoturva-aukoista. Tuskinpa vastaamonkaan tapauksessa kukaan joutuu. GDPR-asetusta lukuunottamatta tietoturvan sääntely on melkoinen viidakko. Toivottavasti selvitetään myös sääntelyn tilanne tai onko sitä. Kun toiminta on turvaa tärkeämpää, keksitään sitten itse kaikenlaisia korvikkeita. Valtion ensimmäisestä tietoturva-auditointi"ohjeesta" ei ottanut Erkkikään selvää. Eikä parempia ole tullut senkään jälkeen. GDPR-asetus sentään sisälsi pari erinomaista uutuutta: 1. Huolellisuus velvoite säilytettävälle datalle ja 2. Ilmoitusvelvollisuus tietoturvaloukkausta epäiltäessä...