perjantai 23. lokakuuta 2020

Vastaamo on tietosuojan painajainen - kyberturvallisuus on osa potilasturvallisuutta

Vastaamosta vuotaneet 40 000 potilastapausta tietoineen ovat likipitäen pahin tietosuojakatastrofi, jota voimme kuvitella. Seuraukset ovat sen mukaiset. Niistä olemme nähneet vasta jäävuoren huipun.

Oli odotettavissa, että vakava tietovuoto tapahtuu ennen pitkää. Niin paljon potilas- ym. tietoja käsitellään eri järjestelmissä, että inhimilliset mokat ovat väistämättömiä, eikä mikään GDPR-lainsäädäntö pysty täysin niitä estämään.

Vuoto olisi saanut olla pieni herätys koko alalle -- sellainen, jossa olisi vuotanut muutamia luottamuksellisia tietoja. Kokonaisen tietokannan vuotaminen kiristäjälle ja tietojen osittainen julkistus on kuin suoraan painajaisesta. Tällaista ei kukaan kaivannut.

Tapaus on niin merkittävä, että siitä irtoaa loputtomasti näkökulmia ja ajatuksia. Tässä muutamia.

Kuukausi sitten uutisoitiin saksalaiseen sairaalaan iskeneestä kiristysohjelmasta, joka johti epäsuorasti potilaan kuolemaan kun hänet jouduttiin siirtämään toiseen sairaalaan. Tapahtumaa pidettiin merkittävänä, koska ensi kertaa kyberturvallisuuden pettäminen oli johtanut ihmisen kuolemaan. On luultavaa, että psykiatrisen hoidon potilaiden tietojen vuotaminen tai uutisesta seuraava ahdistus, vaikka tiedot eivät koskaan tulisi julkisuuteen, voi tuottaa saman johtopäätöksen. 

Ahdistusta ei voi vähätellä. Kun AIDS tuli Suomeen, uutisissa kerrottiin suomalaisten tehneen itsemurhia, koska he pelkäsivät saaneensa kohtalokkaan taudin. Ruumiinavauksissa keneltäkään ei löydetty virusta.

Valvira valvoo terveydenhuoltoa ja alan ammattilaisten pätevyyttä. Tietojärjestelmät ovat asiakastietolain nojalla mukana tarkastuksissa, mutta työ on yksittäisen henkilön vastuulla. Nyt pitäisi olla selvää, että kyberturvallisuus on osa potilasturvallisuutta, joka pitää tarkistaa siinä missä työntekijöiden määrän riittävyys tai todistusten aitous.

Ennen GDPR:n voimaantuloa peloteltiin tietosuojaviranomaisilla, jotka tulevat tekemään yllätystarkastuksia yrityksiin. Onko näin tapahtunut? En ole kuullut yhdestäkään isosta tarkastuksesta. Resurssit ovat pienet, mutta turha pelottelu tarkastuksilla ei myöskään toimi. Oliko kukaan koskaan tarkastanut Vastaamon tietojärjestelmiä? Kenelle tarkastus olisi kuulunut?

Julkisten tietojen perusteella kyseessä on alkeellinen moka. Ei mitään ovelaa hakkeria, ei aiemmin tuntematonta tietoturva-aukkoa -- ei mitään muuta kuin alkeellinen, mahdollisesti nettiin avoimeksi jäänyt tietokanta, jollaisia lapsikin pystyy hakemaan vaikka Shodan-hakukoneella. Koska tiedot ovat vanhoja, kyse saattaa olla edellisestä tietojärjestelmästä tai testi/kehityskannasta, joka oli vain "unohtunut" linjalle. Salasana root ja käyttäjätunnus root kertovat täydellisestä huolimattomuudesta.

Jos kanta löytyy näin helposti, kuka muu sen on mahdollisesti löytänyt? Muut hakkerit tai valtiolliset tiedustelupalvelut, jotka etsivät tällaista aineistoa työkseen?

Kuinka arvokasta heille olisikaan päättäjien tai avainhenkilöiden sairaskertomukset, niin kiristyksen kuin mielenterveyden manipuloinnin kannalta. Onko tällaista mahdollisesti jo tapahtunut?

Kaikille muille tapaus jättää syvän epäluulon: uskallanko kertoa ongelmistani lääkäreille tai terapeuteille, jos on vaara, että tiedot päätyvät julkisuuteen?

Nyt vaakalaudalla on koko terveydenhuollon uskottavuus ja terapian tulevaisuus.

Ja kaikki tämä vain auki jääneen tietokannan vuoksi. 

32 kommenttia:

Anonyymi kirjoitti...

"Kuinka arvokasta heille olisikaan päättäjien tai avainhenkilöiden sairaskertomukset, niin kiristyksen kuin mielenterveyden manipuloinnin kannalta. Onko tällaista mahdollisesti jo tapahtunut?"

Näkeehän sen jo maallikkokin, että osalla ko. porukaa on häikkää mentaalipuolella.

Bush on Trump: 'The guy needs therapy'
-- CNN February 6, 2016

J. Jörgensen kirjoitti...

Hakemattahan se tulee mieleen, Axel Oxenstiernan huomautus pojalleen (hiukka muunnettuna): "Etpä poikaseni tiedä, miten vähällä järjellä IT hankkeita hallitaan." Eipä ole Vastaamon taholtakaan otettu kantaa siihen, onko tämä heidän mokansa, vai järjestelmän pystyttäjien. Salasana ja käyttäjätunnus 'root' viittaavat kyllä jälkimmäiseen. Varsinkin Linuxin/Unixin käyttäjät ymmärtävät, minkä tason möhlimisestä on kyse. Jos nämä sankarit ovat toimittaneet järjestelmiä myös muille tahoille, jotka keräävät ja tallentavat tietoja ihmisistä, niin nyt olisi korkea aika tarkistaa systeemit.

Anonyymi kirjoitti...

Saako jo vaatia yrityksiltä vastuuta? Tähän sopii se elokuvafraasi "someone has to go to prison", ja jos se ei ole kiristäjä niin sitten sen on oltava joku Vastaamon johtoportaasta. Sakot ovat yhtä tyhjän kanssa, tieto siitä mokia ei voi kuitata rahalla vaan joku joutuisi aina puoleksi vuodeksi ehdottomaan vankeuteen motivoisi varmasti kestävään päätöksentekoon.

Markus kirjoitti...

Tässä nyt on kärkisyy ainakin henkilötunnusten uusimishankkeeseen.

Tietoahan voi olla jaossa vaikka kuinka, mutta jos ei ole suoranaisesti yhdistävää tiedonpalasta, tieto voi olla hyödytöntä.

Henkilötunnus nimenomaan on tiedonpalanen, josta voi täysin suoraan päätellä ihmisen syntymäajan. Kun se kerran on tietoon liittyen vuotanut, pelkkä syntymäajan ja nimen tietäminen siitä eteenpäin kertoo kaikessa muussakin henkilön todennäköisemmin olevan se ja yksi.

Jos henkilötunnus edes olisi random-numerokirjain-sarja ruotsin tyyliin, henkilötunnuksella ei oikeastaan pysty yhdistämään ainakaan tietämällä ikää ja sukupuolta.

Näin riski tietojen leviämiseen ei tietysti poistu, mutta ainakin vähenee huomattavasti.

Tämän lisäksi pitäisi jo viimeinkin saada järjestelmä, jossa henkilötunnusta ei saa käyttää kaupankäyntiin. Maailmassa on toistasataa maata, jossa ole niin henkilötunnuksia kuin väestörekisteriäkään ja silti kaupankäynti toimii. Ei se voi olla suomessa mitään muuta kuin pelkkää laiskuutta ja välinpitämättömyyttä. Ehkä sitten säästöä. Sehän täällä osataan joka asiassa. Tämä "vastaamo" episodi todistaa ratakiskon voimakkuudella, kuinka ainakaan vastuuta ei missään tapauksessa voi jättää yksityisille firmoille. Tottakai he uikuttavat kuinka on kallista jos järjestelmää ronkitaan. Mutta tässä on nyt vuosikymmen odotettu, että sitä henkilötunnusta ei käytetä kaupankäynnin verifiointiin. Mitään ei ole tapahtunut. Se muutos nyt vain on pakko tehdä, ja kun firmat ei hyvällä oppinut, maksakoot nyt sitten. Mitä sitten koskaan maksaakaan.

Suomessa ei yksinkertaisesti enää voi luottaa yhtään mihinkään. Ei ainakaan, jos kyseessä on yksityissektorin yritys joka on pienempi kuin pankki (jotka nekin on järjestäen ulkomaalaisia).

Identiteettivarkauden tekeminen on liian helppoa. Poliisi on täysin kädetön. Kaikki ongelmat on sälytetty vain ja ainoastaan uhreille ja sitten nämä vastaamon tapaiset firmat vain uikuttaa, että sori siitä. Tälleen nyt kävi. Kaiken maailman virkahevosia valvojia on maa täynnä ja silti homma leviää käsiin. Mistä niille maksetaan?

Kaiken maailman höpöttäjiä riittää, että ainoa rosvo on se tietomurtaja kiristäjä, eikä kukaan muu. Höpöhöpö. Kyllä olisi kuumat paikat Vastaamolla jos olisi vaikka yhdysvalloissa. Joutuisi korvaamaan ihan kaikki vahingot niin välilliset kuin välittömät asiakkailleen. Kaikkein hersyvimmän oudointa tässä koko sairaassa kuviossa on, että he toimivat potilaiden terapeutteina ja nyt aiheuttavat potilailleen sellaisen painajaisen, ettei mikään terapia enää auta? Romuttivat välinpitämättömyyttään omien töidensäkin tulokset viisnolla. Mutta ei mitään. Suomessa vain levitellään käsiä ja kehtaavat vielä selitellä että "tulkaa vain potilaaksi, kyllä meihin voi luottaa". No ei voi luottaa! Miten kehtaavat!

Anonyymi kirjoitti...

Tuli vain mieleen että millainen oikeus asiakkaalla on saada poistettua omat itse antamansa henkilökohtaiset tiedot eri rekistereistä?

Anonyymi kirjoitti...

Yritysten suurin vika on että säästetään IT-kuluissa eikä makseta IT-väelle kunnolla jolloin osaavat tyypit menee muualle töihin. Tietoturvasta puhutaan mutta satsataanko siihen oikeasti? Jos raha-asiosta päättä henkilö joka ei tiedä tietotekniikasta mitään niin näinhän siinä sitten saattaa käydä. Montakohan tietovuotoa on jäänyt pimentoon?

Yritys joka etsii töihin henkilöä joka osaa Unixit, windowsit, verkot, tietokannat sekä ohjelmoida sadalla eri kielellä sekä hallitsee kaikki API:t on todella pihalla tietotekniikka alasta.

Anonyymi kirjoitti...

Ahdistusta ei tosiaan kannata vähätellä. Itsekin olen ahdistuksen takia ollut ihan sairaalahoidossa.

Kun ahdistus on tarpeeksi kova, ainoa tie ulos voi tuntua olevan itsemurha. Itsekin olen ahdistuneena sitä harkinnut vakavissani.

Anonyymi kirjoitti...

Kyseisen puulaakin toimitusjohtajan tulisi päätyä vankilaan törkeästä huolimattomuudesta.

Jos murtautumiskeino on tosiaan ollut porttiskanni johon on päässyt root/rootilla sisään niin tuo olisi löytynyt vaikka parikymmentä vuotta vanhalla verkkoskannerituotteella (Nessus ja vastaavat), joita perustietoturvaan kuuluu. Mistään huippuluokan nollapäivähyökkäyksestä ei ole ollut kyse.

Petteri Järvinen kirjoitti...

Niin, sehän on saattanut löytyäkin? Jos esim. ulkomaan tiedustelupalvelu on löytänyt tietokannan, se on pysynyt siitä hipihiljaa ja hyödyntänyt tietoja itse.

Markus kirjoitti...

Suomen suurin ongelma on se yksi ja sama vuosikymmeniä jo jatkunu. Säästetään ihan kaikessa koko ajan luimitaan sieltä missä aita on matalin.

Näin tietotekniikan kärkivaltiosta on tullut pohjoismaiden ja pikkuhiljaa baltian maidenkin surkein laahustaja.

Jopa niin pahasti, että suomen kansalaisuus on jo vaarallinen kansalaisilleen.

Mitä tässä oikeasti tapahtui?

Se on yksinkertaista. On myyty roskajärjestelmä halvalla jollekkin startup viritykselle. Kun tällainen järjestelmä muhii potilastietojärjestelmänä valtiossa, jonka lainsäädäntö on kaikuja 60-luvulta ja sovitettu sen ajan maailmaan.

Näin meillä on suomessa kelvoton henkilötunnus, joka paljastaa käyttäjistään liikaa. Samoin kyseistä tunnusta käytetään systemaattisesti järjestelmällisesti väärin joka paikassa. Sitä käytetään identifiointiin vaikkei sitä koskaan ole moiseen suunniteltu. Sen pitäisi olla vain "kaksi matti virtasta toisistaan erotteleva numerosarja".

Suomessa ongelmana on myös lainsäädäntö, jossa pitää saada asioita hoitaa paperilla postitse väenvängällä maailmassa, jossa sillä voidaan tehdä jo uskomaton määrä pahaa. Näin tulee mahdolliseksi kaiken maailman rikollisuus, joka mahdollistaa firman hallituksen vaihdon tuosta vain tai jonkin henkilön osoitteen voi nips ja naps muuttaa. Mutta kun on laki joka sanoo että se aina pitää saada hoitaa paperilla niin ainoa mitä suomi tekee on ---- ei yhtään mitään. Kulkee laput silmillä huutaen "lallaalaaalaa" vaikka koko maailma hajoaa ympärille.

Viereiset ja alapuolellakin olevat entiset neuvostotasavallatkin on saanu hoidettua nämä asiat kuntoon. Ei ole mitään lippulappuja jossain postissa jossa voidaan tehdä kiusaa kellekään. Sielä on käytössä jo vuosikymmeniä sitten keksitys sirukortit asioiden hoitoon.

Mutta kun suomessa ehdotellaan samaa, aina joku firma älähtää "se on kallistää wäääwwwäää mee kyllä hoidetaan vastuullisesti asia" joka on sama kuin uskoisi ruosteista autojobbaria lupauksissa. Mihin hitsiin me täällä mitään valtionhallintoa edes tarvitaan jos kerta firmat kaiken hoitaa? Ei se niin mene. Kun se vain nyt on nykyaikaistettava ihan koko paska. Ei se voi olla niin kuin se nykyisin on, että poliisi hoitaa hikipäissään sadantuhannen keissin vuorta asioita jotka voitaisiin ihan helposti välttää korjaamalla tämä systeemivirhe. Samoin meillä on kansanedustuslaitos joka järjestelmällisesti ummistaa selkeiltä epäkohdilta silmänsä. Mihin hittoon me tarvitaan kansanedustuslaitosta jolla joka päätöksen tekeminen kestää kaksikymmentä vuotta? Tämä tilanne on uhrille täysin mahdoton tilanne.

Anonyymi kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Markus kirjoitti...

Kaikkinainen paperihössötys nyt 2020-luvulla ohi. Kansalaisille sähköiset pakolliset tunnistaumisvälineet. Uudet henkilötunnukset nyt ja heti. Sama vaikka maksaisi kahdesansataa miljardia helskutin firmoille. Niin ja sitten se asia, että firmat eivät saa enää käyttää mitään muita tapoja kuin niitä nykyaikaisia. Ne nykyaikaiset pitää myös päivittää aikojen mukaan.

Kun kerran valtio on ottanut jo vuosikymmeniä sitten lähestymistavaksi pitää keskitettyä väestötietojärjestelmää jossa siis on uhkansakin. Silloin valtion velvollisuus on pitää huolta, että kyseinen järjestelmä on aina aikansa peili. AINA. Nyt se on jämähtänyt näin, että järjestelmä on kuin 60-luvulta mutta eletään 2020-luvun maailmassa missä kaiken maailman konnat käyttää huonosti suunniteltua ja huonosti aikaa kestänyttä järjestelmää hyväksi. Se on se uhka miksi suomen kansalaisuus on nykyisin jo kansalaiselleen pikkuhiljaa tällaisessa maailmassa ehkä jopa tappavan vaarallinen asia. Ei sen ylläpitoa ja tarkoitusta millekään höpöhöpö vastaamo-firmoille pidä antaa missään tilanteessa. Sitä pitää käyttää vastuullisesti. Siinä pitää olla aikaa vastaavia suojamekanismeja.

Samoin niitä rikollisia voisi alkaa jo pikkuhiljaa rankaisemaankin jotenkin. Tämähän on ihan villilänsi varsinkin ulkomaisille rikollisille. Nyt meillä on tilanne, jossa järjestelmä antaa rikollisille helpot työkalut tehdä rikokset ja uhrit ovat täysin heitteillä eikä vain rikollisten vaan myös valtion armoilla. Ulosottojärjestelmät toimii täysin automaattisesti ja se kyllä sitten hankalaa on että moisista eroon pääsee vaikkei moiseen joutumisen eteen ole tehnyt yhtään mitään väärää. Vaan joku toinen on tehnyt.

Hirveä vaiva ja paine nakitettu tavalliselle tallaajalle vain sen takia koska kaikki muut tahot on laiskoja ja haluaa kaikessa oikasta ja säästää. Niin ne pirun firmat kuin valtiokin.

Ottakoot vaikka virosta mallia miten asiat saa hoidettua. Eikä tarvita kymmentä miljardia euroa kun kymmenen miljoonaakin riittää.

Jokke kirjoitti...

Vastaamon johtoporras on ollut hiljaa, tyypillinen reaktio. Jos yritys olisi palkittu, johto olisi varmaan jukisuudessa?

Kun GDPR tuli, sitä toitotettiin, että ongelmat ratkaeavat. Tilanne oli jo aiemmin ollut lainsäädännöllisesti likipitäen sama, eli tiedoista pitää pitää huolta, eikä henkilötietoja saa joutua vääriin käsiin. Joudun itse työssni käsittelemään henkilötietoja, mutta en kirjaa itse mitää, ellei ole aivan pakko. Itselleni tai omalle koneelleni en jätä mitän. Myöskään blogissani en levitä ihmisten henkilötietoja. Poikkeuksena voi olla edesmenneen kirjailijan henkilötieto, tai nykykirjailijan itse netissä oleva synytymävuosi. Minusta henkilötunnusta ei tarvita identifiomaan asiakasta, vaan tälle olisi pitänyt luoda koodi. En näe myöskään mitään järkevää ta lain pakottamaa syytä, miksi asiakasaineisto on pitänyt olla näin hakkereiden saatavissa.

Viranomaiset ovat olleet hiljaa, en ole kuullut tietosuojavaltuutetun enkä kenenkään muun lausuntoja. Sisäministeri tekee ministeri tapaamisen. Hyvä jos uhrit saavat apua, ja neuvoja.

Kuinka monta muuta nettiaineistoa on jollain vieraalla taholla? Huomasin vuosikymmen sitten googlettaessani omaa nimeäni, että erään järjestön aineisto oli verkossa. Ilmoitin asiasta heti heille, ja se poistui. Siinä oli vain nimi, syntymäpäivä ja osoite, mutta hyvin ongelmallinen silti

Markus kirjoitti...

Niin. Tässähän on vielä sekin näkökulma, että vastaamo - firma jonka nimi on vastaamo mutta ilmeisesti ei halua vastata tekemisistään tai no tekemättä jättämisistään on kuitenkin taas hankala tilanne.

Suomessahan on tunnetusti terapeuttipula. Eli tämä vastaamo edustaa aika ison osan suomen kansalaisten terapiapalveluista.

Jos firma menee nurin, tuhannet, ellei kymmenet tuhannet asiakkaat menettävät terapiapalvelunsa. Ymmärtääkseni suomessa se terapian saantikaan ei ole mitään helppoa vaan hyvän terapeutin löytäminen on hankalaa ja kallista.

Eli siis firma on tarjonnut terapiapalveluita ja samalla aiheuttanut potilailleen eli asiakkailleen näin massiivisen henkisen ongelman. Eli siis firma on tuhonnut tekemänsä ja asiakkaan maksamansa työn tuloksen.

Mutta mikä on asiakkaan eli potilaan asema? Potilas on puun ja kuoren välissä. Potilas yhtäältä näkee, että tämänkaltainen firma on ongelma ja vaarallinen jopa. Mutta toisaalta taas painostaa esimerkiksi kansaneläkelaitos tai sairaanhoitopiiri että tämän firman palveluja nyt vain on käytettävä. Sen käyttämättä jättämisestä saattaisi seurata ikäviä asioita esimerkiksi etuuksien saannissa (se tilapäinen eläke saattaa katketa jos potilas haluaisikin käyttää oikeuttaan lopettaa terapia). Toisekseen potilas tietää, että uudenkaan terapeutin löytyminen on vähintään yhtä hankalaa kuin sen ensimmäisenkin. Mutta kuitenkin potilaan pitäisi luottaa että nyt tällä kertaa asiat on hoidettu vaikka kokemus muuta osoittaakin?

Eli potilaan näkökulmasta pitää käyttää firmaa joka piutpaut välittää potilaasta, mutta potilas ei voi jättää käyttämättäkään koska saattaa menettää sairausraha-etuuksiaan yms.

Eli potilas käyttää palvelua "ase ohimolla".

Tämä asia on niinku todellakin iso ja moniulotteinen.

Eli siis firma ei oikeastaan saisi kaatua koska potilaat menettää palvelun josta senkin tarjonnasta "suomi tyyliin" on jo vuosikausia säästetty ja siten on palveluntarjoaja pula. Mutta toisaalta potilaan pitäisi luottaa, ettei ne asiat valu ulkoisille silmille nyt tällä kertaa. Sitten potilaan pitäisi vielä hoitaa kaikki se kura mitä tulee niskaan täysin omaa syyttään sen takia kun se firma hoiti asiat päin prinkkalaa. Firmaa ei ilmeisesti millään tavoin kiinnosta ottaa vastuuta tekemisistään. Kaikkialla on taas tämä tyyli että yritetään odotella ja lakaista asia maton alle. Eli tämä suomalainen nykykulttuuriin kuuluva vastuun välttely. Joka taholta. Uhrit on syötetty taas susille ja vielä ilmeisesti oikein "ase ohimolla".

Anonyymi kirjoitti...

Seuraako tietomurrosta, että henkilötunnusuudistusta harkitaan uudestaan? Oppositiota taisi häiritä eniten se, että henkilötunnuksesta olisi tullut sukupuolineutraali. Vieläkö blogin kirjoittaja vastustaa uudistusta?

Jussi kirjoitti...

Eikö kiristäjän työtä hankaloittaisi se, jos vuodettu tieto vuodettaisiin aina monta kertaa uudelleen, mutta potilaan nimi olisi aina eri?

Eli jokaista kiristäjän vuotamaa dokumenttia kohden vuodettaisiin 100 samaa dokumenttia, joissa jokaisessa olisi eri potilaan nimi?

Joku pätevä hakkeri voisi jopa automatisoida tuon prosessin.

Markus kirjoitti...

Ainakin nyt näyttäisi siltä, että ministerit keskittyy kokoushuoneissaan "syyllisen kiinnisaamiseen" unohtaen että tässä on kaksi rikollista tahoa.

Se toinen rikollinen ei välttämättä edes jää kiinni. Saattaa olla maasta, jonka poliisia ei vain kiinnosta. Tietomurrot ei ole rikos. Tai sitten se on jokin kiva itänaapuri.

On tietysti mahdollista että se on sieltä "inkoosta" mutta, aika epätodennäköistä kuitenkin.

Poliitikot kuitenkaan ei näytä ymmärtävän koko asiaa. Että se rikollinen ei välttämättä ole suomessa eikä edes eu-alueella. Poliisin kädet on siinä vaiheessa sidottu ja rikollinen saa jatkaa touhuaan niin pitkään kuin tahtoo.

Kuitenkin on toinen rikollinen ja kolmaskin taho mihin oikeasti pitäisi keskittyä. Toinen rikollinen taho on tämä vastaamo. Sen vastuulla pitäisi olla KAIKKI VAHINGOT mitä tästä tulee. Kuitenkin näyttäisi äkkiseltään siltä, että on alkanut se tyyppillinen siilipuolustus niinkuin hekin olisivat vain viattomia uhreja. Siis niiden oikeiden uhrien, eli potilaiden pitäisi ennemminkin tehdä rikosilmoitus VASTAAMOSTA kuin siitä kräkkeristä. Tästäkään ei paljoa puhuta, että itse asiassa kräkkeri on vastuussa tekosistaan vastaamolle päin. Ja vain vastaamo voi tietomurrosta rikosilmoituksen tehdä. Sekä tästä kiristämisestä. Mutta nyt tietysti asia muuttui kun kräkkeri alkoi kiristää potilaita. Näin potilaat on itse asiassa kahden rikollisen uhrina.

Sitten vielä se kolmas taho. Valtio. Jonka täysin kelvottomat käytännöt on mahdollistanut tämän kaiken. Nyt on suomessa aika herätä ja lopettaa tämä "neuvostoliittomainen" papukaijamainen jäkätys päivittäin siitä miten ollaan maailman parhaimpia kaikessa. Ei olla. Jos oikeasti oltaisiin niin hieno tietoyhteiskunta niinkuin väitetään, tätä asiaa ei olisi tapahtunut. Tämä ei ole hieno tietoyhteiskunta kuin niissä 90-2000 luvun saduiksi päätyineissä tarinoissa. Itse asiassa tämä on niin huono, että ryssi asiansa silloinkin.

Nyt on aika havahtua sieltä kuplasta. Suomi ei ole maailman mittakaavassa enää kuin keskikastia. Unohdettu valtio. Unohdettu entinen pohjolan japani. Ja kun ongelma viimeinkin myönnetään. Voi alkaa se ratkaisu. Ihan ensimmäisenä vaikka uudistamalla ihan oikeasti nuo neuvostoliiton ajoilta olevat "systeemivirheet" eli siis se täysin paska henkilötunnusjärjestelmä sekä sähköisen asioinnin käytänteet nykyaikaan. Paperihölmöilyt kerta kaikkiaan pois. Tai ainakin sitten jonkun pitäisi jotain papereitakin katsoa, että henkilö kuka asioi on se kuka väittääkin. Sitten uudistuksiin tarvitaan myöskin virkamiehistölle se oikea työnteko eikä pelkkä palkanmaksu. Kyllä ne valviran tarkastajat jossain baareissa saa aikansa kulumaan kytätessä teinien kaljanjuontia. Mutta nämä oikeat työt on järjestäen aina tekemättä taas kerran tekosyyllä "ei ole resursseja". Firmoilta pitää ottaa päätösvalta kansalaisiin nähden pois. Ei firmoille voi ulkoistaa valvontavastuuta heidän itsensä asioissa. Pankkisektorilla on hyvin nähtävillä, että kunnollinen valvonta toimii. Finanssivalvonta on hyvä esimerkki "virkamiehistöstä" joka ihan oikeasti tekee työnsä. Sama nyt vähintäänkin tarvitaan myös sairaanhoidon valvontaan. Olisi pitänyt olla jo aikoja sitten!

Mutta niin. Nyt ministerit keskittyy vain rikollisen kiinnissaamiseen? Ja poliisi ihmettelee kun heidän sutta ja sekundaa oleva rikosilmoitusviritys on kaatunut.

Se siitä pohjolan japanista.

Markus kirjoitti...

Ainakin tiedotustilaisuudesta saa sen kuvan, ettei poliisilla ole mitään haisua tekijästä. Ymmärtääkseni tätä on tutkittu kuukausi pari jo ennen asian julkisuuteen tuloa, joten poliisin julkisesti kertoman mukaan poliisi on jo pyöritellyt peukaloitaan kuukauden pari. Tietysti poliisikin saattaa hämätä.

Mutta varmasti tiedetään, että tietokanta on karkuteillä ties missä ja ties kuinka monin kopioin. Siten on jo nyt oletettava, ettei sen leviämistä voi mitenkään estää.

Eli sillä ei oikeastaan ole merkitystä jääkö konna kiinni vai eikö jää.

Merkitystä on nyt ensisijaisesti tehdä välittömät muutokset yleisjärjestelmään niin, että akuutit vahingot saadaan estettyä sen tietojen käytön osalta. Eli siis sitä identiteettivarkauden tuhoa pitää pienentää. Se tarkoittaa välitöntä lainsäädännön muutosta kaupankäyntiin. Että mikään klarna ei enää ikinä missään tilanteessa anna kellekään kolikonkaan luottoa ilman vahvaa tunnistautumista (esimerkki). Se henkilötunnuksen käyttö arkiasioinnissa vain yksinkertaisesti pitää lopullisesti lopettaa. Onhan maapallolla maita missä moista tunnusta ole ja silti kauppa käy. Esimerkkinä euroopan valtioista vaikka englanti ja saksa? ei nämä mitään kehitysmaita ole, vaikkei niissä mitään henkilötunnuksia olekaan.

Kun firmat ei sitä asiaa suosiolla tee, ne pitää pakottaa. Valtion toimesta.

Tämä pakottaminen on helppo tehdä niin, että kauppa ei ole vahvistettu eikä perimis tai ulosottokelpoinen, jos kaupan osapuolta ei ole varmasti vahvistettu (esimerkiksi sähköinen asiointitunnus kelpaa tähän). Eli perimisessä ja oikeudenkäynnissä "velkomisasiassa" valtio ei anna resurssejaan kauppafirman käyttöön, jos asiakas-osapuolta ei ole vahvasti tunnistettu. Suomeksi: ulosotto ei ole käytettävissä ja siten se suuri pelko identiteettivarkauden uhrilta poistuu. Eli luottotietojen menetys-pelko, sekä ulosottopelko poistuu. Vahvan tunnistamisen kaupoissa toimitaan kuten tähän asti. Näin identiteettivarkauden uhri vain ilmoittaa myyjäfirmalle päin, että teillä tuskin on sielä vahvistettua kaupankäynnin kumppania kun mä en ainakaan teiltä mitään ole ostanut, joten ette te sitä perittyäkään saa. Näin firmat tavallaan aikojen kuluttua pakottuu käyttämään vahvaa tunnistamista, koska muutoin tappiot tulee niin isoksi ettei muu enää kannata.

Ihan eri asia on nämä potilastiedot. Siinä tuo Jussin kirjoittama vinkki on itse asiassa jopa hyvä. Oikean tiedon voi piilottaa kätevästi hukuttamalla se isoon kasaan feikkitietoa.

Eihän enää voi mitenkään olettaa, että se alkuperäinen tietokanta haltuunottamalla asia olisi mitenkään pelastettua. Se on ollut harhateillä jo aivan liian kauan. Vaikka poliisi saisi tekijät kiinni, poliisi ei mitenkään voi tietää kuinka monta kopiota siitä on.

Myöhemmässä maailmassa, jos tämä suomikaan näistä nyt mitään opiksi ottaa, on kätevää juuri että se henkilötunnus nyt ei ainakaan kerro syntymäaikaa. Vaikka "jussi virtasen" nimi olisi näkyvillä siitä tiedä suoraan minkä ikänen tai että se nimenomaan on juuri tuo jussi virtanen. Hankalempaa on jos nimi olisi harvinaisempi.

Tämäkin on ratkaistavissa. Aliaksilla. Jussin nimi vaihdetaan "valtteriksi" sinne tietokantaan. Työntekijät ja potilas tietää oman aliaksensa mutta tietokannan pöllijä ei siitä kostu mitään. Silti kuitenkin asia itsessään toteutuu. Ne muistiinpanot ajaa tarkoituksensa vaikka nimet niissä olisikin aliaksia.

Mutta tämäkään ei auta nyt tähän jo tapahtuneeseen. Tämä vain kertoo, kuinka yksinkertaista se salaaminen loppujenlopuksi on. Ei tarvitse yrittäkään kryptata mitään kun tietokantaan itseensä ei tallennettaisi oikeita henkilötietoja vaan aliaksia. Ainoa kryptattu ja suojattu osuus olisi vain se laskutusosaston tietokanta.

Kalle Aalto kirjoitti...

Vastaavien ennaltaehkäisyyn toimisi taattu bugbountypalkkio, kuten meripelastuspalkkio tai muinaisesineiden lunastusmenettely. Uskoisin, että luomalla taatun elinkeinon aiheen harrastajille hattujenkin väri verkossa vaalenisi.

Petteri Järvinen kirjoitti...

Oppositiota taisi häiritä eniten se, että henkilötunnuksesta olisi tullut sukupuolineutraali. Vieläkö blogin kirjoittaja vastustaa uudistusta?

Miten hetu-uudistus vaikuttaisi Vastaamon vuotoasiaan, vai kysytkö yleisellä tasolla?

VMS kirjoitti...

Terveydenhoitopalveluiden käyttö on laillista, eikä asiakirjoissa pääsääntöisesti ole mitään arvelluttavaa. Yrityksen kiristäminen, perustuu luottamuksen menettämiseen asiakkaiden silmissä. Yksittäisten asiakkaiden kiristämiselle, ei ole perusteita. Kanssaihmisensä toteavat, että kohde voi toki kokea tietojen julkistamisen kiusalliseksi. Kuitenkin, "Kanssaihmiset" samaistuvat kohteeseen, eikä ketään täysjärkistä ihmistä edes kiinnosta tämänkaltaiset tiedot.

Yksilöiden kiristys, on haitallisinta tekijöilleen. Satojen tai tuhansien korvausvaateiden rangaistusseuraus on eri kertaluokkaa, kuin yksittäisen yrityksen kiristysuhkauksesta tuomittava. Muutama tuhat Euroa per kantaja, on henkisestä kärsimyksestä yleisesti tuomittava tariffi.

Anonyymi kirjoitti...

Kuinka tarpellisia nuo terapeuttipalvelut ovat? Itse näen ne syöpänä, joka levittäytyy ympäri Suomea ja johon hyväuskoiset houkutellaan laulamaan omia sisimpiä (oikeita ja kuviteltuja pelkoja yms). Se on raakaa rahan ansaitsemista nykymuodin mukaisella hypehoidolla.

Markus kirjoitti...

Tässä on menty kaikkineen väärinpäin. Potilaita pelotellaan tyyliin, kuin naapuri voisi lukea nyt kaikki tiedot. Ei voi. Eihän niitä tietoja missään googlella julkistella kun ne lähinnä on nähtävillä sielä deep-webissä tor-puolella, johon yleensäkään osaa mennä melkein kymmenentuhatta suomalaista. Kaikki loput on niitä "googlen käyttäjiä" ja siten näiden tietotekniikkataidot ei vain yksinkertaisesti riitä löytämään sitä varsinaista potilasrekisteriä tai näitä julkistettujakaan tietoja.

Taasen jos katsotaan noita kymmenentuhatta suomalaista, suurin osa heistä on niin kaiken nähnyt ja turtunut - ammattilaisia tietotekniikassa, että koko asia ei yksinkertaisesti kiinnosta. Vaikka olisi taito ja työkalut asian tekemiseksi, pelkästään vähäisen mielenkiinnon vuoksi ei edes yritä tehdä mitään. Kuitenkin on jo aika pieni mahdollisuus että sieltä ketään "tuttua" löytyisi.

Onko tätä asiaa kukaan kertonut julkisesti niille hätääntyneille potilaille? No ei tietty ole. Potilaat pelkää ja elää luulossa kuin, että niiden koko potilasrekisteri on ihan koko maailman ja kaikkien tuttujen luettavissa.

Se potilasrekisteri on se pienempi ongelmista. Suurempi ongelma edelleenkin on se varsinainen identiteettivarkaus-asia. Se on se oikea ongelma. Mutta puhutaanko siitä? No ei tietysti kun sille asialle pitäisikin valtion tehdä jotain.

Eihän se kräkkeri ole missään vaiheessa edes väittänyt, että ne itse henkilötiedot olisi turvassa. Sehän uhkaa vain potilaskertomuksien julkaisussa. Tällöin pitää olettaa pahimman kaavan mukaan, että se henkilötieto-osuus on myyty rikollisille jo kauan aikaa sitten.

Täten valtion pitää toimia! Tää systeemi pitää muuttaa nyt ja heti. Ei kymmenen vuoden kuluttua. Tästä on niin paljon ollut jo puhetta tästä suomen ongelmasta.

Ei siltä voi välttyä että tietoa vuotaa ulos. Silloin pitää modernisoida ajattelutapa eikä sinisilmäsesti vain uskoa että kun täällä on jokin laki, niin sitä ympäri maapallon sitten noudatetaan. Tiedon piilotus on nykyaikana täysin älytöntä, koska se on loputon savotta. Siten se "ruotsin malli" on sitä oikeaa nykyaikaa. Tehdään tiedosta merkityksetöntä. Silloin ei ole merkitystä vaikka se löytyisi sillä googlella. Ruotsalaisten henkilötunnuksen ja kaikki tulo-varallisuustiedot saa ihan googlella, ihan vain nimen kirjoittamalla. Mutta minä en voi tehdä klarna-ostoksia sillä ruotsalaisella henkilötunnuksella koska jostain syystä se klarna, mikä suomessa ei mitenkään onnistu olemaan pitämättä henkilötunnusta identifinointivälineenä, onnistuu siinä mainiosti ruotsissa. Tämä on se muutos mitä valtion suomessa pitää nyt ja heti tehdä. Kauppaa ei saa käydä laskulla, jos ei ole tunnistettu henkilöä kunnolla. Henkilötunnus ei saa olla mikään "avainkoodi" jolla pääsee ronkkimaan asiakastietoja. Firmojen päänsäryksi voi sitten keksiä tavat millä tämä hoidetaan (tupas-tunnistus yms).

Mutta ei. Suomessa keskitytään rosvon kiinnisaamiseen, vaikka se on periaatteessa uhrien kannalta täysin epäolennaista. Toissijainen asia. Tuho on jo tapahtunut. Tieto on nykyisin niin helppoa kopioida, ettei voida mitenkään olettaa, että se enää haltuun saataisiin, vaikka rosvo itsessään kiinni saataisiinkin.

Anonyymi kirjoitti...

En ymmärrä keskustelua henkilötunnuksesta. Niitä on saatavilla julkisista lähteistä. Suuri osa suomalaisista ei ole tehnyt edes osoitteenluovutuskieltoja, joten jos tietojen julkisuus olisi suuri ongelma se olisi jo tullut esille.

Yhteiskunnan hyvyyden mittari tuskin on se, että identiteettivarkauksia on mahdoton toteuttaa. En usko, että ne ovat yhtä traumatisoivia kuin terveystietojen julkistaminen kiristämistarkoituksessa.

Minusta parasta olisi, jos Vastaamon tyyppisiä palveluja olisi tarjolla anonyymisti. Epäilen, että on olemassa joku laki joka estää sen. Jos sellainen on olemassa, se pitäisi poistaa.

En tiedä kannattaako KRP:n edes vahvistaa varastettujen tietojen totuudenmukaisuutta. Jos kukaan ei edes voi olla varma ovatko tiedot tosia, niillä on vähemmän arvoa.

Toni Hintikka kirjoitti...

Mistä tuo root, root tieto on peräisin?

Anonyymi kirjoitti...

Nyt olisi hyvä mahdollisus sellaisille terapeuteille jotka pitävät ihan sitä vanhnaikaista pahvikortistoa potilaistaan, viis veisaten mokomasta netistä, potilashan on tärkein.

Anonyymi kirjoitti...

Ihmettelen kovasti tätä suomalaisten hämmästystä kyseisestä tietovuodosta, itse aivan maallikkona asioista kiinnostuneena olen ihmetellyt tätä valtavaa kiirettä saada milloin mitäkin nettiin. Olen niin kiitollinen Petteri Järvisen informaatiosta vuosien varrelta, eivät ole menneet päättäjien korviin hänen tietonsa. Hölmölä on hölmölä ei voi muuta sanoa. Kiitos Petteri Järviselle aivan kaikesta informaatiosta.

Anonyymi kirjoitti...

Olen ymmärtänyt etä Suomi on aivan omaa luokkaansa tässä kaiken siirtämisessä nettiin, onko vanha rukous aivoissa: sun lapsen uskos säilytä, se sul on paras ystävä?? Tämä ihana rukous ei todellakaan päde nettiin, periaate on että aivan kaikki on julkista ja hakkeroitavissa mikä menee nettiin, aivan kaikki.Suomessa on korkeissa viroissa näitä lapsen uskon vallassa olevia henkilöitä, miten tämä voi olla mahdollista, en ymmärrä. Onko olemassa jotakin tietynlaista "maasutusta" eli annetaan taloudellisen hyödyn himossa asioiden mennä ns. toivottuun suuntaan, viis veisaten seurauksista. Voi aikoja, voi tapoja.

Petteri Järvinen kirjoitti...

Root/root -tieto on peräisin tekijän omasta viestistä.

Anonyymi kirjoitti...

Mitäpä Markus höpöttää? Nyt jo osa on kaikkien nähtävillä ja vie ehkäpä vain vähän aikaa kunnes loputkin tiedostot ovat helposti kaikkien saatavilla.

Anonyymi kirjoitti...

Eikö kukaan visioi maailmasta ilman nettiä tai siitä että netti rajoitettaisiin vain tiettyihn asioihin? Minusta pitäisi visioida, pankkipalvelut hoituisi, viranomaispalvelut, keskusteluryhmät, museoiden palvelut. Stoppi pitäisi ehdottomasti tehdä siinä kun on kysymys yksityisyyden suojan asioista, terveysasiat, ostotiedot ym. minusta raja pitäisi vetää johonkin. Ei nettikiusaamista, ei nettipornoa, ei rikoksen suojelua ja rikollisten välistä salattua nettiä ym.Miksi asiasta ei edes haluta keskustella? Mielestäni netin hyödyt häviävät kuus nolla sen haitoille.No, ehkäpä pitää nähdä suuria katastrofeja ennenkuin järki voittaa. Ihmsten mielenterveys ei tule kestämään pitemmän päälle tätä näpyttelykulttuuria, käsillä tekeminen ja ihmistenvälinen kontakti tulevat pitämään ihmiset järjissään, ei koneeella kontaktointi. Kasvoista kasvoihin ja silmiin katsominen ovat ihmisyyden mittareita nyt ja aina.

Petteri Järvinen kirjoitti...

Olen niin kiitollinen Petteri Järvisen informaatiosta vuosien varrelta, eivät ole menneet päättäjien korviin hänen tietonsa. Hölmölä on hölmölä ei voi muuta sanoa. Kiitos Petteri Järviselle aivan kaikesta informaatiosta.

Kiitos palautteesta!