keskiviikko 28. syyskuuta 2022

Vastaamon tietoturva-asiat olivat täydessä kaaoksessa

Vastaamon toimitusjohtajaa vastaan nostetut syytteet antavat järkyttävän kuvan tavasta, jolla yhtiössä suhtauduttiin tietoturvaan. Hiukset nousevat pystyyn lukiessa sekä Helsingin Sanomien että Iltalehden juttuja tapahtuneesta. 

Muutama esimerkki: virtualisointiohjelma oli piraattiversio, potilasrekisterin root-käyttäjällä ei ollut salasanaa (tämä uutisoitiin jo 2020, mutta sitä ei voinut uskoa todeksi), it-osastolla ei ollut budjettia, tietosuojavastaavalla ei ollut koulutusta asiaan ja niin edelleen. Tietoturvaongelmista ja kiristysviesteistä vaiettiin. Toimitusjohtaja panosti kaiken vain yhtiön laajentamiseen ja sen arvon kasvattamiseen. 

It-asioita hoiti kaksi kaveria, jotka oli palkattu lähinnä koodareiksi kehittämään järjestelmää. Kyberturvallisuuskeskuksen arvion mukaan tietoturvasta huolehtiminen olisi vaatinut 5-6 it-ammattilaisen työpanoksen.

Syyttäjä katsoi, ettei koodareita ole syytä epäillä rikoksesta, sillä he olivat kertoneet ongelmista ja puutteista toimitusjohtajalle. Ilmeisesti myöskään yhtiön hallitusta ei syytetä valvonnan laiminlyömisestä, koska vain perustaja/toimitusjohtaja Ville Tapio on syytteessä.

Tiedot herättävät eräitä ajatuksia.

GDPR on maineestaan huolimatta paperitiikeri. Jättisakot toimivat ulkomaisia nettijättejä vastaan, koska niillä on varaa maksaa, mutta Vastaamon tapauksessa sakoilla ei ollut merkitystä, koska yhtiö oli jo maksukyvytön. Tietosuojalain rikosoikeudellinen vastuu on mitätöntä yli 30 000 uhrille aiheutuneeseen vahinkoon verrattuna. 

Yhtiö voi ilmeisesti nimetä tietosuojavastaavaksi vaikka siivoojan, koska tietosuojavastaava ei nimestään huolimatta vastaa mistään. Tietosuojasta vastaavat toimitusjohtaja ja hallitus. Vastaavan tehtävänä on toimia vain yhteyshenkilönä ja vaikka hänen pitäisi raportoida havaitsemistaan puutteista johdolle tai viranomaisille, tämän laiminlyönnistä ei seuraa mitään.

Yhtiön pitäisi varmistaa, että tietosuojavastaavaksi nimitettävällä on edellytykset tehtävän hoitamiseen. Vastaamossa näin ei selvästikään ollut. Nähtäväksi jää, syytetäänkö tästä Tapiota oikeudessa. Yhtä hyvin hän olisi voinut nimittää vaikka siivoojan. 

Herää myös kysymys, miksi it-henkilö itse hyväksyi nimityksen ja esiintyi Vastaamon sivulla nimen ja valokuvan kera tietosuojavastaavana, jos hän itsekin katsoi, ettei pysty hoitamaan tehtävää. Kuva ja nimi sivulla loivat asiakkaille valheellisen kuvan siitä, että joku oli vastuussa. 

Vastaamon julkinen seloste tietosuojavastaavan tehtävistä.

Rivin katkeamisesta kesken lauseen voi päätellä, ettei koko asiaa otettu vakavasti. 

Näyttää vakuuttavalta, mutta on vain tekstiä bittiavaruudessa.

Oli asema organisaatiossa mikä tahansa, vakavista terveyteen kohdistuvista ongelmista pitäisi olla sekä juridinen että moraalinen ilmoitusvelvollisuus. Lojaliteettivelvoite ei voi estää tekemästä ilmoitus viranomaisille - vaikka sitten nimettömänä - jos johto ei reagoi vaarallisiin käytäntöihin. Se on kansalaisvelvollisuus, vaikka olisi pelkkä asiakas.

Myös viranomaiset voivat katsoa peiliin. Valvirassa järjestelmiä valvoo yksi henkilö, mutta omatekoisia tietojärjestelmiä käyttävän Vastaamon olisi pitänyt olla listan kärjessä. Yksikin auditointi tai tarkastuskäynti olisi viestinyt toimitusjohtajalle, että tietoturvaan on panostettava. Ennen GDPR:n voimaantuloa peloteltiin, että tietosuojavaltuutetun toimisto tulee tekemään tarkastuksia yrityksiin. Vastaamon olisi pitänyt tietojen laajuuden ja arkaluonteisuuden vuoksi olla myös heidän listansa kärjessä.

Viranomaiset kiertävät kyllä valvomassa anniskelulupia, työoloja ja verojen maksua, mutta tietoturvaa ei edelleenkään oteta vakavasti.

It-ammattilainen: tunne vastuusi! Jos näet, että organisaation järjestelmät ovat niin pahasti retuperällä, että ne aiheuttavat vaaraa ihmisten terveydelle, tee nimetön ilmoitus viranomaiselle tai vihjaa vaikka medialle. Vastaamo ei saa toistua.

21 kommenttia:

Anonyymi kirjoitti...

"Viranomaiset kiertävät kyllä valvomassa anniskelulupia, työoloja ja verojen maksua, mutta tietoturvaa ei edelleenkään oteta vakavasti."

Jokunen vuosi sitten verottaja teki työpaikassani tarkistuksen. Meillä oli noin 10 työntekijää, liikevaihto pari miljoonaa. Silti kahdella verotarkastajalla meni hommaan viikko kun kävivät läpi 10 vuoden tilinpäätökset. Viranomaisilla on resursseja vain pistokokeisiin.

Olen itse kysynyt verottajalta selvennyksiä muutamaan asiaan, enkä saanut yksiselitteisiä vastauksia. En suostu uskomaan, että viranomaisiin voisi luottaa tietoturvan säätelyssä tai valvonnassa. Sitovat tulkinnat tehdään vasta sitten kun pöly on laskeutunut.

Tietoturva-asioiden tilanne pk-yrityksissä riippuu täysin toimitusjohtajan mielenkiinnosta ja yrityskulttuurista. Vastaamo, kuten luultavasti suurin osa muistakin yrityksistä, yritti täyttää vain lain kirjaimen ilman että tietoturva-asioita oikeasti olisi mietitty.

MarcusB kirjoitti...

Ilmianna nyt sitten, kun laki tästä on vasta tekeillä. Ja jos/kun se valmistuu niin koskee vain yrityksiä joissa on 250 henkilöä tai enemmän. Pienemmillä firmoilla nämä tietoturva-asiat ovat usein enemmän retuperällä juurikin resurssipuutteen takia, joten hyöty jäänee nähtäväksi.

Whistleblower-laki rantautuu Suomeen
https://www.hs.fi/talous/art-2000009085181.html

(Saattaa olla maksumuurin takana)

Anonyymi kirjoitti...

Yksityisiä sotepalvelujen tuottajien järjestelmiä pitäisi valvoa paremmin. Viime aikoina olen joutunut asioimaan yksityisellä hammaslääkäriasemalla ja siellä ajanvaraat nimellä ja hetulla ja jos haluat muuttaa aikaa niin nuo kaksi ovat kirjatumistiedot eli hetu on salasana mikä sen ei pidä missään nimessä olla. Järjestelmä on MAXX:n. En ymmärrä mihin pelkkää ajas varatessa hetua tarvitaan esim. yksit. labravarauksissa ei kysytä kuin nimi ja puhelinnumero varausvahvistusta varten. Sopii toivoa ettei kukaan älyä alkaa kaivella noita järjestelmiä. 😓

KohtoKohto kirjoitti...

Vastaamossa asiat ovat olleet pahemman kerran sekaisin. Sinänsä tämä ei itseäni reilun 20 vuoden IT-veteraania hirveästi yllätä. Ala on vieläkin nuori ja ns. kovista osaajista on huutava pula. Tosin sen "huutava pula" selittyy osittain sillä, että palkkataso näillä "huippuosaajilla" on kuitenkin usein vain noin tuollaista sairaanhoitajan luokkaa. Ei sillä rahalla ammattilaisia löydy ja jos löytyykin vaihtuvuus on erittäin suurta.

Vastaamonkin tapauksessa IT-ammattilaiset olivat nollatuntisopimuksella hommissa, eli tekivät töitä vain tarpeen mukaan. Veikkaan heidän olleen opiskelijapoikia, jotka opiskelujen lomassa kehittivät ja ylläpitivät Vastaamon potilastietojärjestelmää.

It-asioita hoiti kaksi kaveria, jotka oli palkattu lähinnä koodareiksi kehittämään järjestelmää. Kyberturvallisuuskeskuksen arvion mukaan tietoturvasta huolehtiminen olisi vaatinut 5-6 it-ammattilaisen työpanoksen.

Tässähän se syy tietoturvan pettämiseen on. Vastaamo on jotenkin pärjännyt kahdella osa-aikaisella IT-kaverilla, eikä ole haluttu panostaa kunnolla. Tästä myös näkee sen, mitä tietoturva oikeasti maksaa. Houkutus on erittäin suuri luistaa asioiden kunnollisesta hoidosta. Vastaamonkin tapauksessa olisi pitänyt palkata noin neljä ihmistä lisää hoitamaan asioita.

Tietoturva-asioiden tilanne pk-yrityksissä riippuu täysin toimitusjohtajan mielenkiinnosta ja yrityskulttuurista. Vastaamo, kuten luultavasti suurin osa muistakin yrityksistä, yritti täyttää vain lain kirjaimen ilman että tietoturva-asioita oikeasti olisi mietitty.

Näin homma on. Eikä viranomaisilla ole resursseja tai osaamista valvoa näitä asioita mitenkään. Tiedän myös itse oman työni kautta hyvin vakavia tietoturvapoikkeamia, joista on selvitty lähinnä tuurilla.

Zarr kirjoitti...

Vastaamo on jotenkin pärjännyt kahdella osa-aikaisella IT-kaverilla, eikä ole haluttu panostaa kunnolla. Tästä myös näkee sen, mitä tietoturva oikeasti maksaa.

Tässä on myös yksi koukku miksi pilvipalvelut (siis SaaS-vetoiset, ei IaaS) ovat niin houkutteleva ajatus. Jos saat pilvitarjoajalta valmiiksi kovetetut tietokannat, weppisivustot ja muut kilkkeet ja tietoturvasta huolehtii Microsoft tai AWS, ei tätä ongelmaa ole.

Pientä ongelmaa tulee näistä tapauksista joissa tietoa ei saisi lähteä Suomen rajojen ulkopuolelle, mutta ETA-alueella pysyessä pärjää varsin monessa asiassa.

KohtoKohto kirjoitti...

Yksityisiä sotepalvelujen tuottajien järjestelmiä pitäisi valvoa paremmin. Viime aikoina olen joutunut asioimaan yksityisellä hammaslääkäriasemalla ja siellä ajanvaraat nimellä ja hetulla ja jos haluat muuttaa aikaa niin nuo kaksi ovat kirjatumistiedot eli hetu on salasana mikä sen ei pidä missään nimessä olla. Järjestelmä on MAXX:n. En ymmärrä mihin pelkkää ajas varatessa hetua tarvitaan esim. yksit. labravarauksissa ei kysytä kuin nimi ja puhelinnumero varausvahvistusta varten. Sopii toivoa ettei kukaan älyä alkaa kaivella noita järjestelmiä.

Hetu on ihmisten yksilöimiseen tehty tunnistusväline ja sitä on alunperin tarkoitettu käytettävän julkisesti. Oman hetun vuotamista ei voi täysin estää. Mikään järjestelmä ei siis saisi toimia niin, että pelkän hetun tietämällä pääsee käsiksi jonkun tietoihin tai tekemään niihin muutoksia.

Minusta tästä hetu-hössötyksestä pitäisi kuitenkin vähitellen päästä eroon. Me käytämme valtavasti turhaan energiaa varjellaksemme epätoivoisesti omaa hetuamme, vaikka sen täysimittainen varjelu on toivotonta. Järjestelmät pitää muuttaa ei lähteä mukaan epätoivoiseen hetu-jumppaan.

Anonyymi kirjoitti...

”virtualisointiohjelma oli piraattiversio”
Tämähän ei periaatteessa ole mikään ongelma tietoturvan kannalta. Kun voi olla vain syötetty laiton lisenssiavain. Varsinkin pienemmissä yrityksissä käytetään piraattiversioita tai muuten lisenssiä väärin. Ohjelma saattaa olla kotikäyttöön ilmanen, yritysten pitäisi maksaa…

Anonyymi kirjoitti...

"Hetu on ihmisten yksilöimiseen tehty tunnistusväline ja sitä on alunperin tarkoitettu käytettävän julkisesti."

Se toimii suhteellisen hyvin salasanana koska sitä ei voi itse valita ja se on suhteellisen satunnainen. Kukaan ei pääse valitsemaan itselleen tunnusta 999999-9999.

"Mikään järjestelmä ei siis saisi toimia niin, että pelkän hetun tietämällä pääsee käsiksi jonkun tietoihin tai tekemään niihin muutoksia."

Yleensä vaaditaan hetu + osoite. Estämällä oman osoitteen näkyminen julkisissa rekistereissä on helppo tapa parantaa omaa tietoturvaa, eikä se edes vaadi tietoteknistä osaamista.

"Järjestelmät pitää muuttaa ei lähteä mukaan epätoivoiseen hetu-jumppaan."

Jos tietokannoissa olisi vain hetu (tai muu koodi) eikä mitään nimiä niiden vuotaminen ei olisi yhtä haitallista kuin nyt.

Anonyymi kirjoitti...

Juuri näin. En ymmärrä miten tämä asia voi olla päättäjille niin vaikea ymmärtää. Taidettu perustella helppoudella ja sitten kun alkaa vuotaa niin se on menoa. Kun olisi julkiset hetut niin loppuisi varjelut ja "hetu-salasanat" joita ei nykyisellään voi täysin vältellä kuten edellä kuvattiin.

KohtoKohto kirjoitti...

Se toimii suhteellisen hyvin salasanana koska sitä ei voi itse valita ja se on suhteellisen satunnainen. Kukaan ei pääse valitsemaan itselleen tunnusta 999999-9999.

"Mikään järjestelmä ei siis saisi toimia niin, että pelkän hetun tietämällä pääsee käsiksi jonkun tietoihin tai tekemään niihin muutoksia."

Yleensä vaaditaan hetu + osoite. Estämällä oman osoitteen näkyminen julkisissa rekistereissä on helppo tapa parantaa omaa tietoturvaa, eikä se edes vaadi tietoteknistä osaamista.


Jännä homma, kuinka hetuun edelleen takerrutaan. Hetu on tarkoitettu julkiseksi tiedoksi, jolla ihmiset erotellaan toisistaan. Hetu on täysin julkisesti näkyvillä esimerkiksi ajokortissa, passissa tai henkilökortissa. Nämä välineet on pakko näyttää monissa tilanteissa, kuten vaikkapa pankissa tunnistauduttaessa tai matkustettaessa ulkomaille. Tällöin hetua ei pysty täysin suojaamaan. Ei vaikka mitä tekisi.

Hetun käyttäminen "salasanana" sen takia, että se on suhteellisen satunnainen, on hölmöä. Salasana voidaan aivan hyvin ohjelmallisesti tarkastaa (esimerkiksi 99999 tai 123456 ei käy) ja pakottaa käyttäjä käyttämään vahvoja salasanoja.

Oman osoitteen voi tietenkin suojata, mutta monta kertaa osoitekin on pakko ilmoittaa eri paikkoihin. Aika hankala on esimerkiksi tilata vaikkapa sähkömies käymään kotiin, jos et omaa osoitettasi voi hänelle antaa.

Hetun käytöstä tunnistautumiseen pitäisi kerta kaikkiaan päästä eroon.

KohtoKohto kirjoitti...

”virtualisointiohjelma oli piraattiversio”
Tämähän ei periaatteessa ole mikään ongelma tietoturvan kannalta. Kun voi olla vain syötetty laiton lisenssiavain. Varsinkin pienemmissä yrityksissä käytetään piraattiversioita tai muuten lisenssiä väärin. Ohjelma saattaa olla kotikäyttöön ilmanen, yritysten pitäisi maksaa…


Usein saattaa olla, että ns. piraattiversiona on saatavilla täysin sama softa kuin aitokin. Tällöin mitään tietoturvaongelmaa ei teknisesti olekaan. Mutta tämä on osa sitä kummallista "tehdään vähän sinne päin" ja "mahdollisimman nopeasti ja halvalla" ajatusmallia, joka IT-alalla monissa asioissa vaivaa. Eikä tästä nyt mitään palkkaa tarvitse maksaa, tästä saatte firman t-paidat ja tuossa on parikymppiä, niin saatte kaljaa tuosta lähikaupasta.

On täysin selvää, että näin ei saada sitoutuneita vastuunsa kantavia työntekijöitä mihinkään alalle. Miettikääpä nyt vaikkapa poliisia tai vartiointiliikkeitä. Tässä teille konstaapelit tämä "piraatti pistooli", kyllä se on ihan yhtä hyvä kuin aitokin, eikä tässä mitään, kai te nyt voitte jäädä vähän ylitöihin ilmaiseksi, saatte tästä jääkiekkoliput palkaksi.

Anonyymi kirjoitti...

"Tällöin hetua ei pysty täysin suojaamaan."

Tietoturvaa ei muutenkaan voi saada 100% aukottomaksi. Hetun käyttö voi myös tarvittaessa vahvistaa muita menetelmiä.

"Salasana voidaan aivan hyvin ohjelmallisesti tarkastaa (esimerkiksi 99999 tai 123456 ei käy) ja pakottaa käyttäjä käyttämään vahvoja salasanoja."

Salasanat 99999 ja esim. 723615 ovat yhtä vahvoja jos ne on valittu satunnaisprosessilla.

Käyttäjää ei voi pakottaa käyttämään vahvaa salasanaa muuten kuin poistamalla mahdollisuus valita oma salasana.

Järjestelmä joka antaa käyttäjän valita oman salasanansa on aika heikko. Esim. gmail ja muut ovat siirtymässä 2-factor -tunnistukseen.

Projekti, jossa kaikille kansalaisille toimitettaisiin salasana jonka myös melkein jokainen muistaa, olisi melkein mahdoton.

"Hetun käytöstä tunnistautumiseen pitäisi kerta kaikkiaan päästä eroon."

Se voidaan kieltää tilanteissa joissa sen käytöstä on enemmän haittaa kuin hyötyä, ja niin on kai osittain jo tehty.

Hetun käyttö on välimuoto vahvan tunnistuksen ja ei-minkään välillä. Kun tällainen välimuoto on olemassa en usko että siitä kannattaa luopua. En näe että yhteiskunta jossa tunnistaudutaan vahvasti joka paikassa olisi mitenkään hyvä. Hetusta on hyötyä myös tietyissä kriisitilanteissa. Hotelliin voi kirjautua lain mukaan hetulla, osoitteella ja allekirjoituksella vaikka lompakko ja kännykkä olisi varastettu. Myös valtiollisen kriisitilanteen ollessa päällä voidaan tunnistaa suurin osa ihmisistä.

Suomessa on luultavasti ihmisiä joilla ei ole henkilöllisyystodistusta tai vahvaa tunnistusvälinettä, koska se ei ole lain mukaan pakollista. Luultavasti heille on hyvä antaa mahdollisuus käyttää ainakin julkisia palveluja. Heille voidaan myös myöntää henkilökortti väestörekisteritietoihin perustuvan tunnistuskyselyn perusteella.

charleneizere kirjoitti...

A well versed write up on digital world and the problems you identified ! we really appreciate your contribution keep up the great job ,

regards charleneizere

Anonyymi kirjoitti...

Hetun käyttö on välimuoto vahvan tunnistuksen ja ei-minkään välillä. Kun tällainen välimuoto on olemassa en usko että siitä kannattaa luopua. En näe että yhteiskunta jossa tunnistaudutaan vahvasti joka paikassa olisi mitenkään hyvä. Hetusta on hyötyä myös tietyissä kriisitilanteissa. Hotelliin voi kirjautua lain mukaan hetulla, osoitteella ja allekirjoituksella vaikka lompakko ja kännykkä olisi varastettu. Myös valtiollisen kriisitilanteen ollessa päällä voidaan tunnistaa suurin osa ihmisistä.

Hetun käyttöä tunnistautumisessa en voi kannattaa edelleenkään. Voidaan tietenkin puhua, että hetun käyttö salasanana tai tunnuksena on parempi kuin vaikkapa salasana 123456, mutta tämä on teoretisointia. Esimerkiksi tilanne, jossa ihmisen hetun ja nimen tietämällä voi tilata verkkokaupasta tavaraa, on täysin kestämätön. Hetun käyttö näissä yhteyksissä pitäisi lopettaa kokonaan, kuten nyt ollaan tekemässä, ja siirtyä vahvaan tunnistautumiseen.

Hetun käytössä on se pahemmanlaatuinen ongelma, että se on lähtökohtaisesti tarkoitettu ihmisten erotteluun toisistaan. Ei tunnistautumiseen. Ihminen itse ei voi täysin kontrolloida hetun käyttöään. Monissa virastoissa yms. nähdään ihmisten hetuja. On eri asia, jos ihminen huolimattomasti käsittelee vaikkapa pankkitunnuksiaan, mutta hetun suhteen ihminen itse ei voi määräänsä enemmän vaikuttaa siihen, kuka hetun näkee ja kuka ei.

Anonyymi kirjoitti...

Päälle vielä se ongelma, että hetu ei käytännöllisesti katsoen ole vaihdettavissa. Tämänkin sai vastaamo-potilaat todeta. Vaikka kaiken maailman ministerit jotain muuta aluksi hölisi oikein erikoiskohtelusta asiassa , käytäntö taas meni ihan eri tavalla. Ylläri ylläri. Sama koskee korvauksiakin. Yhtä tyhjän kanssa.

- Markus

Anonyymi kirjoitti...

"Esimerkiksi tilanne, jossa ihmisen hetun ja nimen tietämällä voi tilata verkkokaupasta tavaraa, on täysin kestämätön."

Hetun käytön voisi rajata laissa tiettyihin tilanteisiin, esim. jotkut julkiset palvelut ja jotkut välttämättömyyshyödykkeitä tarjoavat yksityiset firmat. Verkkokaupan tapauksessa pitäisi luultavasti olla laitonta kysyä hetua, tässä ollaan menty metsään aika pahasti.

Käyttäjällä pitäisi olla oma-aloitteisesti mahdollisuus estää muu kuin vahva tunnistautuminen. Olen itsekin pyrkinyt tekemään tämän kaikkialla missä se on mahdollista. Saman pitäisi olla mahdollista myös puhelimitse tapahtuvien yhteydenottojen osalta.

Tämä ei muuta sitä, että ketään ei pakoteta hankkimaan vahvaa tunnistusta. Nämä ihmiset ovat hetun varassa, eikä sitä pidä ainakaan rikkoa.

"Voidaan tietenkin puhua, että hetun käyttö salasanana tai tunnuksena on parempi kuin vaikkapa salasana 123456, mutta tämä on teoretisointia."

Hetu on heikko salasana, mutta siinä on ainakin estetty yksi salasanoihin liittyvä ongelma eli se että käyttäjät valitsevat todella huonoja salasanoja. Ylempänä on yksi esimerkki: "potilasrekisterin root-käyttäjällä ei ollut salasanaa".

Esim. selaimella saa tehtyä vahvoja salasanoja, mutta kaikki eivät näitä toimintoja käytä ellei sitä ole jotenkin pakotettu.

"Hetun käytössä on se pahemmanlaatuinen ongelma, että se on lähtökohtaisesti tarkoitettu ihmisten erotteluun toisistaan. Ei tunnistautumiseen."

Ihmisten tunnistaminen voisi toimia vieläkin huonommin, esim. USA:ssa:

- identiteettivarkauksien suuri määrä
- populaation selvittäminen määräajoin tehtävällä väestönlaskennalla
- mahdollisuus käydä töissä tai koulussa väärällä tai olemattomalla identiteetillä ruokkii laitonta siirtolaisuutta
- yhteiskunnan ulkopuolelle ajautuneet ihmiset, joilla ei ole henkilöllisyystodistusta eikä virallista identiteettiä ja se on vaikea hankkia

"Ihminen itse ei voi täysin kontrolloida hetun käyttöään. Monissa virastoissa yms. nähdään ihmisten hetuja."

Minä antaisin tuomion identiteettivarkaudesta jos joku kerää hetuja.

petrip kirjoitti...

Hetun käyttäminen mihinkään muuhun kuin pelkkänä yksikäsitteisenä"nimenä" on todella väärin. Sen suojelu ei ole mahdollista ja esimerkiksi verkkokaupassa sen kysyminen voi olla perusteltua. Lähinnä jos ostokseen sisältyy luotto.

Se ei ole sen parempi salasana kuin "Salasana4352" tai on jopa hieman heikompi. ihmisen syntymäajan pystyy aina selvittämään ja se "satunnainen" osa on vain kolme numeroinen järjestysnumero. Joista ensimmäinen ei siis voi kuin 0,1,2.

Kyllä tunnistautumisen pitää perustua johonkin aivan muuhun.

Anonyymi kirjoitti...

Juuri näiden verkkokauppojen ja lukuisten "laskuttajien" joista suurin osa vielä on ruotsalaisia firmoja pitäisi panna stoppi lailla. Nythän vaaditaan vahvaa tunnistamista mutta simäys näiden firmojen ehtoihin paljastaa räikeitäkin eroja. Periaate tuntuu onneksi olevan suurimmalla osalla (Klarna/Qliro ainakin) ettei pankkitunnuksilla luotonhakua=laskua vahvisteta ja epävarmaa on luottotietojenkin tarkistus. omaehtoinen luottokielto merkinnän pitäisi stopata yritykset mutta toimialseen se edellyttää että ne l-tiedot AINA tarkistetaan. Lisäksi merkintä maksaa mutta moni hetunsa vuotoa pelkäävä siihen ymmärrettävästi tukeutuu kun ei parempaakaan ole.

Anonyymi kirjoitti...

Korjaus aiempaan: siis tarkoitin että enenemissä määrin pankkitunnuksilla varmennetaan luotot/laskut mikä on ehdottoman hyvä suunta ja tämä pitäisi ulottaa kaikkeen luotottamiseen ja laskuihin. Mutta valitettavasti on näitä suositteluja laskuttajia jotka eivät tätä edelleenkään vaadi. Luottotietoje tarkistus pitäisi olla aina vakio ja OLK merkinnän pitää stopata prosessi siksihän se otetaankin.

Markus kirjoitti...

Nyt on ainakin löytynyt joku epäilty hakkeri

Tietysti taas kerran teini ja tottakai Suomalainen.

Jotenkin vain on pliisu olo koko jutusta. Tietysti sen tiedostaa, että tämä hakkeri on rikollinen (epäilty nyt vielä).

Mutta kyllä jotenkin kuitenkin on vain jotenkin sellainen olo, että tuo Vastaamo se varsinainen oikea rikollinen tässä kuviossa oli.

Teini vain tiputti sen maskin. Koko maa järjestäen yksi "vastaamo". Kaikkialla kaikki retuperällään hoitamatta. Säästetty hengiltä.

Pirkko kirjoitti...

Kiitos perusteellisesta selvityksestä. Tuntuu käsittämättömältä, että tietoturvallisuus oli tällaisessa yrityksessä jätetty näin retuperälle. Onneksi SaaS-ratkaisut ovat nykyään kovenevan kilpailun ansiosta monipuolisia ja pitkälti asiantuntijoiden käsissä. Tietysti yrityksen on ensin tehtävä tämä investointi ammattimaiseen ja turvalliseen Software-palveluun. https://www.skillwell.fi/fi/ratkaisut/skillwell-saas-development-service