Vastaamo vs THL tietoturvaloukkaukset
Jälleen kerran on käynnissä oikeudenkäynti, jossa media välittää todistajien saataville ajantasaisesti tietoa siitä, mitä oikeussalissa puhutaan, jolloin todistajilla on mahdollisuus seurata salin ulkopuolella tapahtumia kännyköistään ja mukauttaa omaa kertomustaan sen mukaisesti mitä salissa puhutaan.
Yleisimmin median ajantasainen vuotaminen oikeussalin tapahtumista on ollut käytössä sellaisissa oikeudenkäynneissä, joihin liittyy vakava järjestäytynyt rikollisuus.
Jo pelkkä mahdollisuus todistajien kertomuksiin vaikuttamiseen, heikentää todistusten aitoutta ja luotettavuutta ja siten myös loukkaa syytettyjen oikeusturvaa.
Vastaamon tapauksessa syytetään Vastaamon toimitusjohtajaa ja hakkeroinnista varsin nuorta poikaa, jotka on molemmat kiistäneet syyllisyytensä.
Vuonna 2017 myös THL:ssä tapahtui tietovuoto, jossa yli 6000 henkilön henkilötietoja levisi kaikkien saataville. THL:n vastuuhenkilöt pääsivät tyypilliseen tapaan, kuin koirat veräjästä. Tässä tapauksessa, koska rikokset ehti vanhentua.
Onko lainsäädännössä, viranomaisrakenteissa vai prosesseissa jotakin isosti pielessä?
IS kirjoittaa 10.3.2023 klo 10:26:
”MM laati Vastaamolle THL:n määritysten mukaisen tietojärjestelmien omavalvontasuunnitelman, Tapio kertoo. IT-työntekijöiden toimenkuva oli hänen mielestään hyvin selkeä.”
Psykoterapeutteja on pyritty pitkään painostamaan liittymään OmaKantaan. THL:llä on pääsy salassapidon estämättä kansalaisten OmaKanta tietoihin.
Toisiolain nojalla THL:n yhteydessä Findata saa salassapidon estämättä jokaisen kansalaisen intiimeimmät sosiaali- ja terveystiedot ja voi jakaa niitä myös innovaatiokäyttöön eteenpäin.
Myös THL saa salassapidon estämättä kansalaisten intiimeimmät sosiaali- ja terveystiedot.
Kansalaisten intiimeimmät sosiaali- ja terveystiedot kiinnostavat niin vieraan valtion tiedusteluita, kuin vakavan järjestäytyneen rikollisuuden toimijoita.
Nämä intiimeimmät tiedot keskitettynä yhteen viranomaisorganisaatioon, muodostaa kokonaisuutena korkeimman mahdollisen tietoturvariskin, joka voi pahimmillaan kohdistua jopa ylimpään valtiojohtoon.
THL:n eturistiriidat (erityisesti huumesektorilla) yhdessä tämän kaltaisen tietojoukon keskittäjäjänä, luo työyhdistelmiä, joissa on vaarana, että intiimeimpiä tietoja vuotaa alamaailmaan tai käytetään väärin.
Myös järjestäytynyt rikollisuus harjoittaa tiedolla johtamista, kuten kiristyskirjeistä voi päätellä.
Kuinka luotettavaa THL:n oma tietoturvakäyttäytyminen on? Ottaen huomioon että kyseessä on kansalaisten intiimeimmät sosiaali- ja terveystiedot, joita jaetaan myös Findatasta kolmansille osapuolille innovaatiokäyttöön.
THL Tilinpäätös 1.1.–31.12.2022
”Vuonna 2022 THL:ssä tuli ilmi kaksi EU:n yleisen tietosuoja-asetuksen mukaisia tietoturvaloukkausta ja yksi loukkausepäily.
Näistä loukkauksista tehtiin ilmoitus tietosuojavaltuutetulle ja rikosilmoitus poliisille kahdessa tapauksessa.
Rekisteröidyille ei tehty ilmoitusta yhdessäkään tapauksessa, koska riskiarvion perusteella ilmoituskynnys ilmoitusten tekemiseksi rekisteröidyille ei ylittynyt.”
THL Tilinpäätös 1.1.2021 – 31.12.2021
”Tietosuoja-asetuksen mukaiset tietoturvaloukkaukset vuonna 2021
Vuonna 2021 THL:ssä tuli ilmi EU:n yleisen tietosuoja-asetuksen mukaisia tietoturvaloukkauksia kaksi kappaletta ja 8 loukkausepäilyä.
Näistä loukkauksista tehtiin ilmoitus tietosuojavaltuutetulle yhdessä tapauksessa.
Rekisteröidyille ei tehty ilmoitusta yhdessäkään tapauksessa, koska THL:ssä arvioitiin ettei ilmoituskynnys ilmoitusten tekemiseksi rekisteröidyille
ylittynyt.”
THL Tilinpäätös 1.1. – 31.12.2020
”Vuonna 2020 THL:ssä tuli ilmi EU:n yleisen tietosuoja-asetuksen mukaisia tietoturvaloukkauksia 5 kappaletta ja 1 loukkausepäily.
Näistä loukkauksista tehtiin ilmoitus Tietosuojavaltuutetulle 3 tapauksessa.
Rekisteröidyille ei tehty ilmoitusta yhdessäkään tapauksessa, koska THL:ssä arvioitiin ettei ilmoituskynnykset ilmoitusten tekemiseksi rekisteröidyille ylittyneet.”
THL Tilinpäätös 1.1. – 31.12.2019
”Vuonna 2019 THL:ssä tuli ilmi EU:n yleisen tietosuoja-asetuksen mukaisia tietoturvaloukkauksia neljä kappaletta ja yksi loukkausepäily.
Näistä tapauksista ei ole tehty ilmoitusta Tietosuojavaltuutetulle tai rekisteröidyille, koska THL:ssä arvioitiin, ettei ilmoituskynnykset ilmoitusten tekemiseksi ole ylittyneet.
Lisäksi neljässä tapauksessa henkilötietojen käsittely ei täyttänyt tietosuoja-asetuksen asettamia vaatimuksia erityisesti vaadittavan dokumentaation osalta.
Tietosuojavaltuutetun toimisto käynnisti oma-aloitteisesti selvityksen yhden tapauksen osalta. Selvitystyö on vielä kesken.
THL:n rekisterilupatoiminnan osalta havaittiin kolme lupaehtojen rikkomista ulkopuolisten lupien osalta ja yksi rikkomus THL:n sisäisen luvan osalta. Lisäksi THL
havaitsi yhdessä tapauksessa mahdollisen tietoturvaloukkauksen toisen rekisterinpitäjän osalta.”
THL Tilinpäätös 1.1.-31.12.2018
”Vuonna 2018 THL:ssä tuli ilmi EU:n yleisen tietosuoja-asetuksen mukaisia tietoturvaloukkauksia viisi kappaletta ja kaksi loukkausepäilyä. Näistä tapauksista Tietosuojavaltuutetulle tehtiin ilmoitus neljässä tapauksessa ja rekisteröidyille kerrottiin tapahtuneesta kolmessa tapauksessa.
Yhdessä tapauksessa tietosuojavaltuutettu on ratkaissut
asian ja kolmessa tapauksessa asian käsittely on vielä kesken.
Lisäksi yhden tapauksen seurauksena tehtiin myös rikosilmoitus, jonka johdosta poliisi käynnisti esitutkinnan. Tapauksen tutkinta on vielä kesken.”
”Vuonna 2018 THL:ssä raportoitiin yhteensä 120 tietoturvapoikkeamaa, joista 25 raportoitiin vakavaksi ja 3 kriittiseksi poikkeamaksi.”
THL Toimintakertomus ja tilinpäätöslaskelmat 1.1.-31.12.2017
”Vuoden 2017 aikana havaittiin tietovuoto, jossa noin 6 000 henkilön arkaluontoiset tiedot olivat vuotaneet verkkoon inhimillisen virheen seurauksena.
THL aloitti tämän jälkeen välittömästi tietovuoden kohteena olleiden henkilöiden tietojen suojaamistoimenpiteet.
Tietovuotoa selvitettiin yhdessä tietosuojavaltuutetun ja
keskusrikospoliisin kanssa.
Tietovuodon seurauksena
laitos on tarkastanut toimintatapansa ja aloittanut kehi-
tystoimenpiteet tietoriskien minimoimiseksi.”
”THL:n 6 000 ihmisen tietojen vuotorikosepäily vanheni – tutkija ja esimies välttyivät syytteiltä”
”Syyte vanhentui, sillä tutkijaa koski virkamiesoikeudellisten säännösten sijaan työsopimuslaki. Virkarikosepäily vanheni näin kahdessa vuodessa.”
”Aluesyyttäjä Juha-Mikko Hämäläinen jätti sikseen myös tutkijan esimiehen rikosepäilyn valvontavelvollisuuden laiminlyönnistä, koska katsoi muun muassa THL:n ohjeiden olleen puutteelliset.”
”THL:n tiedossa ei ole, että kukaan olisi käyttänyt verkosta löydettävissä olleita tietoja väärin.”
Miten on varmistettu, ettei vuodetut tiedot ole peräisin THL:n kohdistuneista tietoturvaloukkauksista?
”VASTAAMOON kohdistui kaksi tietomurtoa, vuonna 2018 ja maaliskuussa 2019. Syyttäjien mukaan epäilynä on, että jo vuonna 2018 tehdyssä murrossa vietiin asiakkaiden potilastiedot, joilla asiakkaita myöhemmin kiristettiin. Tuolloista tietomurtoa Vastaamo ei huomannut itse lainkaan.”
”Tapion mukaan IT-työntekijät olivat konfiguroineet järjestelmää uudelleen loppuvuodesta 2017 ja muun muassa sallineet tuolloin root-pääkäyttäjälle kaikki mahdolliset oikeudet. Järjestelmään pystyi kirjautumaan ulkopuolelta.
– Se vaikuttaa täysin käsittämättömältä se toiminta. Ei ole mitään ymmärrettävää syytä, miksi niin pitäisi toimia missään tilanteessa.”
Kansalaisen ymmärrykseen ei mene se, että viranomainen, jonka hallussa on kaikkein intiimeimmät tiedot kaikista kansalaisista, pääsee rikossyytteistä kuin koira veräjästä, kun samanaikaisesti tapahtunutta yksityiseen yritykseen kohdistuneen tietoturvaloukkauksen vastuita puidaan edelleen ja teatraalisen näyttävästi.
Miten THL onnistuu pääsemään aina kaikesta kuin koira veräjästä? Onko monirooliverkostolla vaikutusta? Vai onko lainsäädäntö puutteellinen sote-tietoihin liittyvissä tietoturvaloukkauksissa?
Herää kysymys, voiko THL:n tietoturvaloukkaukset liittyä jollain tavoin Vastaamon tapaukseen?
Blogistilla mielenkiintoisia ajatuksia pidemmälle työstettyinä kuin meikäläiseläkefaari miettii lööppejä lukiessaan.
THL-asiakirjoissa toistuu ”””Näistä tapauksista ei ole tehty ilmoitusta Tietosuojavaltuutetulle tai rekisteröidyille, koska THL:ssä arvioitiin, ettei ilmoituskynnykset ilmoitusten tekemiseksi ole ylittyneet. ””””
Herää kyllä epäilyksiä kestääkö THL:n touhu päivänvaloa koska tapahtumia on lakaistu maton alle omaehtoisen ”arvioinnin” perusteella.
Tämän ikävän asian selvittäminen nyt kuitenkin etenee kun syylliseksi epäilty on saatu kiinni.
Ilmoita asiaton viesti
Mielenkiinnolla odotan todisteita ja todisteiden näytön arviointia tuomioistuimesta.
Tietoturvaloukkaukset ja syyllisyys tulee näyttää ja osoittaa toteen. Nyt kun selvittämättömiä tietoturvaloukkauksia on ollut myös julkisella tutkimuslaitoksella, jonka yhteydessä toimii viranomainen, joka saa ja jakaa ihan laillisestikin vastaavia tietoja, pitäisi tehdä ulkopuolinen riippumaton selvitys myös viranomaisen järjestelmiin.
Motiivi peukaloinnille voi hyvinkin löytyä siitä, että psykoterapeutteja on painostettu viemään potilaiden intiimeimpiä tietoja OmaKantaan, joita Findata toisiolain nojalla jakaa eteenpäin.
THL:n lonkerot on niin syvällä yhteiskunnan joka sektorilla, että riippumattoman instanssin löytäminen voi olla haastavaa.
Ilmoita asiaton viesti