Vastaamon tietomurtoa tutkimaan tulee perustaa selvitysryhmä
Nyt nähty tietomurto ja kiristys ovat poikkeuksellinen tapaus jopa maailmanlaajuisella tasolla. Tähän on yhteiskuntamme reagoitava vahvasti ja samalla otettava oppia varautumisen ja kriisinsietokyvyn kehittämiseen. Vaikka kyseessä on kansallinen kriisitilanne, jossa iso joukko suomalaisia tuntee parhaillaan vakavaa turvattomuuden tunnetta, kukaan ei ole vieläkään ehdottanut selvitysryhmän perustamista. Eikö kymmenien tuhansien ihmisten ahdinko ole riittävän suuri kriisi?
Tämän päivän tiedon valossa Vastaamon asiakasrekisteriin on tehty useampi kuin yksi tietomurto. Hyökkääjä ilmoitti varastaneensa asiakasrekisteristä 40 000 Vastaamon terapiapalveluita käyttäneen asiakkaan potilastiedot ja uhkasi julkaista ne, mikäli yhtiö ei maksa yli 400 000 euron lunnasvaatimusta. Myöhemmin terapiakeskuksen asiakkaat saivat sähköposteihinsa henkilökohtaisia kiristyskirjeitä, joissa luvattiin poistaa yksittäisen henkilön tiedot rekisteristä, mikäli tämä maksaa satojen eurojen lunnaat kryptovaluutassa.
Tietomurron laajuus ja kohde olivat ennennäkemättömiä. Hyökkäys kohdistui ihmisiin, joiden elämässä saattoi jo muutenkin olla riittävästi huolenaiheita. Tämä jos mikä on kansallinen kriisi, mutta jostakin syystä siihen ei ole vastattu samalla vakavuudella kuin perinteiseen suuronnettomuuteen.
Suuronnettomuus ei ole mitätön vain siksi, että se kohdistuu mieleen ja bitteihin. Teko on moraaliton ja järkyttävä. Tämä on valitettava esimerkki siitä, kuinka suuria vaikutuksia pahantahtoisilla kybertoimilla voi olla myös digitaalisen maailman ulkopuolella. Poliisin järjestelmät ruuhkautuivat, kun rikosilmoituksia tehtiin muutamassa päivässä tuhansittain. Edessä on mahdollisia identiteettivarkauksia ja luottotietojen väärinkäyttöjä, joiden uhreiksi päätyy ihmisiä, joilla on pahimmassa tapauksessa vaikeuksia suoriutua tavallisesta arjesta. Vahingonkorvausprosessi tulee todennäköisesti kestämään vuosia. Puhumattakaan epävarmuudesta, joka liittyy luottamuksellisten, henkilökohtaisten ja hyvin arkaluontoisten terveystietojen päätymisestä vääriin käsiiin.
Nyt hallitus pohtii ratkaisuiksi muun muassa juuri kaatunutta henkilötunnusuudistusta sekä asiakastietolain muuttamista niin sanottujen b-luokan yritysten tietoturvavaatimusten osalta. On hyvä, että toimia mietitään ja nopeisiinkin ratkaisuihin ollaan valmiita, mutta on syytä kysyä, minkä tiedon varassa juuri nämä valitut keinot olisivat parhaat mahdolliset?
Yleensä, kun jotakin näin vakavaa sattuu, perustetaan kansallinen selvitysryhmä tutkimaan tapausta. Vastaava perustettiin viimeksi tänä vuonna tutkimaan koronakriisin hoitoa, ja sellainen tarvitaan nytkin.
Selvitysryhmän tarkoitus ei ole etsiä syyllisiä, vaan tehdä kattava jälkiarvio. Olennaista on, että tarkastelussa ei keskitytä vain yhden yrityksen tai pelkästään suppeasti rajatun julkishallinnon toimiin, vaan yhteiskunnallista kyberturvallisuutta sekä kriisinsietokykyä arvioidaan. Ja tämä arvio on erittäin tärkeää tehdä nimenomaan kokonaisuutena. Jos emme tee perusteellista selvitystä, hukkaamme mahdollisuuden kerätä tärkeitä oppeja tulevien tietomurtojen ja -vuotojen varalle. Jokaisen kriisin tulisi kehittää varautumistamme tavalla, joka edesauttaa koko yhteiskuntaamme.
On tarpeen selvittää kaikki tietojen urkinta, joka meihin kohdistuu mukaanlukien valtiollinen urkinta ja sen laajuus. Vastaamo on vain pisara tässä urkinnan meressä.
Olemme jo pitkään eläneet Orwellin 1984 aikoja ja syvemmälle upotaan.
Ilmoita asiaton viesti
Urkintaa on joka puolella, ja sitä ei voi välttää.
Viite:
https://suomenkuvalehti.fi/jutut/ulkomaat/miten-urkinta-on-tehty-10-kysymysta-usan-urkintakohusta/
https://fi.wikipedia.org/wiki/Echelon
Ilmoita asiaton viesti
Parhaat mahdolliset voimat, joita Suomessa on, selvittävät parhaillaan Vastaamon vuotoa. Mitään apua ei erillisestä ryhmästä olisi, kustannuksia kylläkin.
Ilmoita asiaton viesti
Voiko joku mainita yhden (1) asian, joka on oikeasti korjattu komitealla? (”Selvitysryhmä” on kai komitean uuskielinen nimi.)
Kun jotain on mokattu, pitäisi kai selvittää, mikä on mennyt pieleen ja korjata asia. Tässä tapauksessa asia kuuluisi a) kyseiselle yritykselle ja b) viranomaisille, joiden olisi pitänyt valvoa sitä. Viranomaisilla on omat valvojansa valtionhallinnossa.
Se, että jotkut tepastelevat tv-kameroiden eteen selittämään, miten vakavasta asiasta on kyse blaa blaa blaa, on ehkä vielä tylsempää kuin komiteoiden ehdottaminen.
Ilmoita asiaton viesti
Jakakaa eteenpäin! 🙂
Tietosuojavaltuutetun toimisto:
”Neuvoja tietovuodon kohteeksi joutuneille”
https://tietosuoja.fi/-/neuvoja-tietovuodon-kohteeksi-joutuneille
Ilmoita asiaton viesti
Tuo on aivan liian vähän. Valtio on satsannut tietoturvaan liian vähän resursseja, liian vähän rahaa.
Valvirassa b-luokan yrityksien tietoturvajärjestelmissä valvoo hallinnollisella puolella 1 henkilö vaikka Suomessa on yli 260 tietojärjestelmää b-luokassa.
Kun Suomi haluaa olla digitalisaation eturintamassa, nämä tärkeät asiat unohtuvat.
Esimerkki on erään suuren terveystalon tietojärjestelmän tila, johon ei ole reagoitu yli vuoden ajan ennen kuin vakava turvaongelma on korjattu. Siihen ei auttanut edes asiakaspalveluun soitto ja yhteyspyyntö rekisterinpitäjään, koska jälkeenpäin tuli tieto, että kyseinen henkilö on lopettanut työnsä siellä jo pari kuukautta sitten.
Myöhemmin otettiin yhteyttä ja pyydettiin lisätietoja. Asia siirrettiin toiselle henkilölle. Mitään ei kuitenkaan tehty muutamaan kuukauteen, kun ilmeisesti ei se tietoturvaongelma ole niin vakava asia.
Asiasta ilmoitettiin myös tietosuojavaltuutetun toimistolle. Mitään reagointia asiaan ei ole tehty yhtikäs mitään.
Jossain välissä tämä suuri terveystalo teki tietoturvakorjauksia kaikessa hiljaisuudessa.
Valtio katselee vähän liiaksi tuohon tietomurtajaan / kiristäjään, kun itse heidän pitäisi olla vastuussa kansallisesta tietoturvasta, kun valtio niin innokkaasti haluaa edistää digitalisaatiota, niin näistä tärkeistä asioista ei pidä ruveta pihtailemaan, tekemään säästöjä vaan panostettava resursseja ja rahaa, että saadaan kovatasoiset tietoturvan ammattilaiset tekemään töitä ja palauttamaan luottamuksen yhteiskunnallisiin tietojärjestelmiin.
Ilmoita asiaton viesti
Asian vierestä. Missä viipyy neljäs puolustushaara kybervoimat?
Ilmoita asiaton viesti
Armeijalla on sellainen yksikkö ollut jo pitkään.
Ilmoita asiaton viesti
Ja ne muuten ovat perillä siitä, että on tuo tietojärjestelmien korjausvelka aika hurja.
Suomella on ainakin kolme kohdetta missä on hurja korjausvelka, liikenneinfra, kiinteistöt ja tietojärjetelmät.
Näistä tietojärjestelmien korjausvelka on selkeästi suurin. Liikenneinfran korjausvelka pienin.
Ilmoita asiaton viesti
”Puolustusvoimat on moninkertaistamassa kyberyksikkönsä koon”
https://yle.fi/uutiset/3-8906483
Ilmoita asiaton viesti
”Nyt nähty tietomurto ja kiristys ovat poikkeuksellinen tapaus jopa maailmanlaajuisella tasolla.” Mjaa? Ehkä. Tässä vähän tilastoa maailmalta:
https://www.techrepublic.com/article/security-firm-identifies-5-biggest-cybersecurity-risks-for-hospitals-and-healthcare-organizations
Tämän yltiöpäisen digitisaation huumassa ollaan käyttäydytty kuin olisi joka päivä uiskenneltu uima-altaassa, jossa myös uiskentelee muutama hai. Ei se mitään kunhan niitä muistetaan ruokkia. Nyt sitten unohtui, ja nyt ihmetellään kun yksi niistä pisti uimarin jalan poskeensa. Voi voi, sentään.
Ei tästä(kään) tietomurrosta oteta opiksi.
Ilmoita asiaton viesti
Ja suurin osa on teknisestä velasta johtuvaa.
Eli mitä jos vaan laittaisi kaikista palomuureista ylimääräiset portit kiinni, jakaa verkot eristäen ja päivittää kaikki ohjelmistot vuosia tunnetuista turva-aukoista?
Ilmoita asiaton viesti
Jarno on pätevin henkilö tällä alalla maassamme. Hänet pitää nimittää Tietoturvaministeriksi ( puolueeton ) perustettavaan uuteen ministeriöön !
Ilmoita asiaton viesti