maanantai 26. lokakuuta 2020

Vastaamon tapaus ei ole kunniaksi Suomelle, mutta useimmat yritykset tekevät parhaansa

Case Vastaamo antaisi loputtomasti aiheita blogikirjoituksiin. Valitsen tänään yhden: Suomen maine ja yritysten vastuu.

Suomea on pidetty tietosuojan mallimaana. Meillä on parhaat viranomaisrekisterit ja otimme GDPR-sääntelyn pilkuntarkasti, liki saksalaiseen tapaan (toisin kuin esim. Ruotsi). Ennen GDPR-siirtymäkauden loppua järjestettiin varmaan tuhansia tilaisuuksia, joissa it-ammattilaisia muistutettiin tietosuojan olemuksesta ja lain ankarista sanktioista. Oli ilmaisia ja maksullisia seminaareja, monen päivän koulutusohjelmia, nettisivuja... Lopulta GDPR tuntui pursuavan jo korvista ulos ja kun odotettu 25.5. viimein koitti, kaikki olivat varmaan helpottuneita siitä, että asia siirtyi jos ei nyt hoidettujen pinoon niin ainakin taustalle. 

Jo monta vuotta olemme olleet huolissamme Googlen ja Facebookin tiedonurkinnasta. Ne loukkaavat yksityisyyttä ja urkkivat tietojamme. Samaan aikaan yritykset ovat käyttäneet miljoonia euroja erilaisiin GDPR-tietosuojalausekkeisiin ja evästekyselyihin, jotka lähinnä häiritsevät käyttäjiä ja pikemmin vähentävät kuin lisäävät kiinnostusta omaan tietosuojaan.

Riitelimme lillukanvarsista, kuten mikä on GDRP:n ja tulevan ePrivacyn mukainen riittävä suostumus evästeiden käyttämisestä -- pitääkö olla nimenomainen suostumus joka kerta, vai riittävätkö selaimen evästeasetukset.

Vastaamon järkyttävän tietovuodon jälkeen kaikki tämä tuntuu akateemiselta puuhastelulta. Miljoonat eurot olisi kannattanut käyttää todellisen tietosuojan parantamiseen. Olemme pelänneet nettijättejä, vaikka todellinen mörkö on ollut ihan lähellä. Liian lähellä.

Niin lähellä, että emme osanneet edes pelätä sitä. Pidimme itsestäänselvänä, ettei henkilö- ja mielenterveystietoja voi vuotaa nettiin. Ei yksinkertaisesti voi, koska GDPR. Korkeintaan pelkäsimme vihamielisen tahon hyökkäystä, jossa salaa muutettaisiin sairaalan veriryhmätietoja tai jotain vastaavaa.

Keskustelu evästeistä ja nettiyhtiöiden urkinnasta on saattanut johtaa huomiota harhaan. Surffaus- tai ostotietojemme vakoilu on pientä terveyteemme verrattuna. Kriittistä ei ole se, mitä Google tai Facebook tekevät vaan se, miten minun koodaamani softa toimii tai miten minun koneellani oleva data on suojattu.

Kauhistuimme, kun Saksassa kiristysohjelma johti epäsuorasti potilaan kuolemaan. Nyt saatamme kokea saman Suomessa.

En silti halua uskoa, että Vastaamon kaltaisia pommeja olisi useita. Uskon, että viimeistään parin vuoden takainen GDPR-show sai yritysten hallitukset ja toimivan johdon ymmärtämään, miten tärkeästä asiasta on kyse ja miten suuri taloudellinen riski siihen liittyy. Aihe on otettu vakavasti ennen Vastaamoakin.

Minulta on usein kysytty, voiko yritys mennä konkurssiin tietoturvan pettämisen vuoksi. Tähän asti esimerkkinä on ollut hollantilainen varmenteiden myöntäjä, jonka varmennebisneksen onnistunut hakkeri-isku tuhosi. Nyt meillä on toinenkin kauhuesimerkki tietoturvan ja -suojan vakavista seurauksista.

Näin tietoturvaviikon alkaessa on ilo todeta, että valtaosa yrityksistä suhtautuu tietoturvaan vakavasti. Silti yksikin softakehittäjä, it-vastaava tai ylläpitäjä voi omalla piittaamattomuudellaan romuttaa kaiken.

Vastuu tietoturvasta kuuluu yritykselle itselleen. Koska kyse on myös asiakkaiden/potilaiden elämästä ja hyvinvoinnista, pelkkään vastuunkantoon ja omavalvontaan ei voi luottaa. Tarvitaan muutakin valvontaa, josta hoivakoteihin tehdyt tarkastukset ovat hyvä esimerkki.

Oli yleisesti tiedossa, että Vastaamo on itse kehittänyt tietojärjestelmänsä. Sen olisi pitänyt herättää viranomaisten huomio ja priorisoida tarkastuksia. Niin ikään yhtiö oli nimennyt tietosuojavastaavaksi softakehittäjän. Senkin olisi pitänyt herättää huomiota Tietosuojavaltuutetun toimistossa, jonne vastaavat rekisteröidään. Web-sivulla kehuttu omavalvonta on pettänyt täysin, sillä yhtiö ei huomannut murto(j)a ja sai tiedon tapahtuneesta vasta, kun kiristäjä otti yhteyttä. Yhtiöllä ei siis ollut valvontaa, joka olisi hälyttänyt vaikka palvelimelta imetään 10 gigatavua dataa ulkopuolelle. Tietoturvakriittisessä terveyspalvelussa tällainen valvontaohjelma olisi pitänyt ehdottomasti olla. Nyt ei voida tietää, ovatko mahdollisesti muutkin varastaneet tietokannan, mutta pysyneet teostaan hiljaa.

Viranomaisilla ei ole hoitakotien kaltaista tietoturvavalvontaa. Kriittisiä nettisovelluksia saa kehittää alaikäinen nörttipoika, mutta kylpyhuoneremontti vaatii tekijältä työnäytteen ja märkätilasertifikaatin. Yrityksen on ostettava palotarkastus, jossa tutkitaan onko käytävän tarrat oikeanlaisia ja oikeissa paikoissa. Ja toki tarkastetaan vaahtosammuttimet.

Palo- ja remonttiturvallisuus on opittu kantapään kautta, tehtyjen kalliiden virheiden seurauksena. Samanlainen kehitys on tapahtumassa tietoturva-alalla, joka on vielä kovin nuorta. 

Luonnollista kehitystä voi kuitenkin nopeuttaa päättäväisillä toimilla. Vastaamon tapaus osoittaa, että niille on tarvetta.

12 kommenttia:

Anonyymi kirjoitti...

Ei ne kaikki tietoturvan tyrijät ole piittamattomia, on siellä osaamattomiakin sekä työnantajaan kypsyneitä työntekijöitä.

Petteri Järvinen kirjoitti...

Viittaatko tahalliseen haitantekoon? Työnantajan huono kohtelu voi johtaa sellaiseenkin.

Anonyymi kirjoitti...

Voitaisiinko lopettaa puhuminen tietomurrosta tämän tapauksen yhteydessä. Eihän se ole "murto", jos mennään käytännössä lukitsemattomasta ovesta/aukosta sisään.

Anonyymi kirjoitti...

Tänään selvisi miksi on kestänyt. Ja saattaahan se toimarikin päätyä vankilaan.

https://www.iltalehti.fi/kotimaa/a/558f61d8-55a3-4f9f-8ac8-980138fcffab

Eli toisin sanoen, toimitusjohtaja on ollut tasan tarkkaan tietoinen vuodosta keväällä 2019. Ikävää vain, että juuri silloin firmaa - jossa on ollut osakkaana - on oltu myymässä, ja vuodosta kertominen olisi satavarmasti perunut yrityskaupan.

Taitaapi vankila kutsua.

Anonyymi kirjoitti...

Kyseinen toimitusjohtaja oli siis äitinsä kanssa pääomistaja yrityksessä ennen yrityskauppaa, toimitusjohtaja on ainakin aikaisemmin ilmoittanut ammatikseen "ohjelmistokehittäjä".

Jari kirjoitti...

Petterin 2.2.2000 julkaisema kirjoitus Tietoturva on psykologiaa sivuaa hämmentävän läheltä näitä teemoja:

"Tietoturvaa pidetään usein teknisenä ongelmana. Silloin kuvitellaan, että insinöörit pystyvät suojaamaan yrityksen parhaiten. Todellisuudessa apua kannattaisi hakea psykologeilta - tietoturva kun on yhä enemmän psykologiaa ja yhä vähemmän tekniikkaa. Tietoturvan heikkona lenkkinä on aina ihminen itse."

Tuskin näihin löytyy mitään lopullista totuutta. 20 vuotta on kulunut, ja Internet on edelleen hyvin nuori keksintö.

Anonyymi kirjoitti...

Näytti tuolla sivuilla olevan myös maininta, että vastaamon tietoturva auditoitu myös, mutta

kuka tuon auditoinnin on tehnyt, ja milloin, Vai onko se vain valetta,että olisi auditoitu.

Anonyymi kirjoitti...

"En silti halua uskoa, että Vastaamon kaltaisia pommeja olisi useita"

Heh, juttele joskus tietoturvatestausta ja -tarkastuksia tekevien tahojen kanssa. Tämä on vasta niin jäävuoren huippu, että tosiasiassa se on vielä kolme metriä merenpinnan alapuolella.

athicus kirjoitti...

Vastaamon toimintahan on HS:n mukaan muutenkin vähän niin ja näin. SOTEn tulon myötä kyllä hirvittää, kuinka paljon vastaavia pommeja siellä pinnan alla vielä piilee. Toivottavasti palveluita ostavat kunnat yms. tahot ymmärtävät tämän jälkeen tarkistuttaa ostopalveluiden tietoturvan tason ulkopuolisilla alan sertifioiduilla osaajilla. Ymmärtäväthän ne?

Oikeastaan koko tapaus alkaa muistuttamaan hyvän tietokirjan tarinaa: ensin kehuttu start up, sitten kyseenalaisia keinoja sekä huhuja ja lopulta katastrofi sekä kyberrikollisen ajojahti. (idean saa vapaasti käyttää).

Petteri Järvinen kirjoitti...

SOTE-bisnes on ollut niin houkuttelevaa ja kasvualana saanut mediassa niin paljon näkyvyyttä, että liiketoiminnan kasvattaminen on mennyt huolellisuuden ja turvallisuuden edelle. Toivottavasti Vastaamo pakottaa koko alan itsetutkisteluun ja oppeja hyödynnetään myös hallituksessa.

Anonyymi kirjoitti...

"Nimetön Nimetön sanoi...
Näytti tuolla sivuilla olevan myös maininta, että vastaamon tietoturva auditoitu myös, mutta

kuka tuon auditoinnin on tehnyt, ja milloin, Vai onko se vain valetta,että olisi auditoitu.

26. lokakuuta 2020 klo 22.35"

varmaan samat kaverit vastanneen onecoinin ja vastaamon auditoinnista. sen verran ammattimaiselta touhulta vaikuttavat molemmat.

Anonyymi kirjoitti...

Valtiolla on kokonaisvastuu siitä, että henkilötietojen suoja toteutuu käytännössä. Esim. tietojen pakollinen säilytysaika on usein pitkä. Valtion vastuu konkretisoituu alan toimintaympäristön määrittämisessä.

Onhan tämä aivan hirveä epäonnistuminen, kun lain tasolla ei vaadita tietojärjestelmiltä oikeastaan muuta kuin tekijän vakuutus siitä, että softa on kunnollinen. Valvontaa juuri ole.

Nyt ollaan hirttämässä varasta ja softan tekijää. Joukon jatkoksi pitäisi lisätä alan sääntelystä vastanneet virkamiehet, etenkin lainvalmistelijat.