Sympatiani Vastaamo-casen uhreille

Viime viikolla uutisoitiin ensimmäisen kerran Psykoterapiakeskus Vastaamoon kohdistuneesta tietomurrosta ja tietovuodosta, jossa jopa 40 000 asiakkaan tiedot olisi vuodettu pimeään TOR-verkkoon potilaskertomuksineen ja yksilöivine tietoineen mukaan lukien henkilöturvatunnus, johon siihenkin tosin kannattaa suhtautua, että moni tietää sen digimaailmassa kun eletään, kun se on niin monessa järjestelmässä ja verrattain helppo selvittää. Asian kanssa vain täytyy oppia elämään.

Uutisointia nyt viikon ajan seuranneena ja verkon palstoja lukiessa ja IT-ammattilaisena tietoturvasta jotain tietävänä ja sitä seuraavana, on selvää, olen saanut sen käsityksen, Vastaamo oli ollut huolimaton ja oikeastaan välinpitämätön tietoturva-kysymyksissä.

On totta, että 100% -turvallista tietojärjestelmää, kun se on digitaalinen ja liitetty verkkoon, on mahdotonta saavuttaa tai konfiguroida. Mutta on olemassa useita keinoja, joilla saa turvallisuuden niin hyvälle tasolle, että riippuen siitä, kuinka kriittistä tietoa yritys säilyttää, on mahdollista, että jos joku rikollinen pääsee tietoon käsiksi, se ei ainakaan vuoda kaikki kerralla, tai niihin pääsy olisi tehty vaikeaksi tai jos vieläpä tieto olisi kryptattu jollain tehokkaalla tiedon salaus-algortmillä, sen tiedon luettavaan muotoon saamiseksi kestäisi jopa raalla laskentateholla viedä kauan aikaa, etenkään, kun kvantti-tietokoneet eivät ole vielä kovinkaan arkipäiväisessä käytössä.

Ehkä tämä Vastaamo -case herätteli ainakin kriittismpien järjestelmien ja tietokannat niihin sisältyen, ylläpitäviä organisaatioita ja yrityksiä tajuamaan kyberturvallisuuden merkityksen. Nykyisellään on ollut jo pitkään niin, että se on ollut jokin menoerä vain yrityksen budjetissa, vaikka se on alati tarkasteltavana ja kehityksen alla oleva toiminto kaikilla organisaation tasoilla. Se näkyy kuluina organisaatiossa, mutta jos siitä ei huolehdita, seuraamukset voivat olla katastrofaaliset, niinkuin nyt ovat olleet.

Itselleni ei tullut suurena yllätyksenä tämä tietomurto yleisellä tasolla, koska on pitkään ollut selvää, että olisi ajan kysymys, milloin jokin näin laaja tietomurto nousee julkisuuteen. Tietomurrot ja tietomurtoyritykset ovat yrityksille, joiden tietojärjestelmät ovat liitettynä verkkoon, heille ne on arkipäivää.

Mitä tulee tekniseen puoleen, järjestelmien ollen vanhentuneita ja kun munat on asetettu yhteen koriin kaikki, eikä käytetty esimerkiksi hajautettua ratkaisua tiedon varastoinnin osalta, voi jotain tällaista tapahtua tiedon ollen salaamatonta. Vaikka käyttäisi vanhentunutta palvelinjärjestelmää, pääkäyttäjän salasanan saa murtovarmaksi, joskaan ei järjestelmien muiden käyttäjien.

Vastaamon potkut saanut toimitusjohtaja kertoi, että ei ollut kuullut tietomurrosta mitään, vaikka rikollinen tai rikollisryhmä, kumpi se nyt sitten onkaan, KRP ei ole vielä tiedottanut tutkimustuloksista, olisi päässyt niskan päälle omissa pimeissä ajatuksissaan jo vuonna 2018. Tämä herättää kysymyksen yritysjohdon valveutuneisuudesta tietoturvaa kohtaan, pitäisikö se olla heränneempi? Samaan aikaan Vastaamo teki yrityskaupat, joten voi olla, että toimitusjohtaja todellisuudessa tiesi, mutta salasi tietomurron, jotta yrityskauppa onnistuisi. Nyt onneksi Vastaamon myyneiltä osapuolilta vastaan on rahoitusyhtiö nostanut oikeuskanteen, ja näiltä on takavarikoitu yli 10 miljoonan omaisuus. Mutta tämä on jossittelua, puhutaan faktoista mielummin.

Ikävintä tässä on Korona-pandemian aiheuttaen huolta yhä niiden osalta eniten sympatiani on, jotka ovat tämän tietomurron uhreina. Monet heistä voivat jo entuudestaan kärsiä moni-ongelmaisuudesta, joten tämän kaltainen tietovuoto vain pahentaa ihmisten terveyttä. Itse olen aika pitkälle käsitellyt pääni sisällä opintojeni kuluessa nämä yksityisyyteni ja turvallisuuteen liittyvät kysymykset niin kyber-maailmassa kuin reaalimaailmassakin, että en ole menettänyt yöunia tämän casen takia. En tosin ole uhrina tässä Vastaamo-tietovuodossa, koska en ole koskaan aiemmin kuullutkaan kyseisestä yrityksestä ennen viime viikon ensimmäistä uutista siitä.

P.S. Tässä Uusi Suomi -blogissa ei muuten voi postaukseen asettaa ”Turvallisuus” -kategoriaa postauksen sisällöksi.

JereSumell

Olen punavhreä syntyperäinen turkulainen, joka pitää netissä ja oikeassa reealimaailmassa pysyvistä väreistä ja palaavisra asiakkaista, ja ihmisen vastaanottamisen ihmisenä. Koulutukseltani olen Liiketalouden ja hallinnon Tradenomi Informaatioteknologiassa. Valmistuin Turun Ammattikorkeakoulusta helmikuussa 2017. Kirjoitin ylioppilastutkinnossani 2002 humanistiset aineet reaalissa historian, yhteiskuntaopin ja psykologian. Lukion jälkeen opioskelin kasvatustieteitä Turun Yliopistossa, mutta maailma ajoi toisaalle opettaja-opinnoista. Löysin minulle ja taustaani nähden ehkä luontevan polun lapsena alkaneen PC-harrastuksen siivittämä lopulta valmistua tietojenkäsittelystä.

Ilmoita asiaton viesti

Kiitos!

Ilmoitus asiattomasta sisällöstä on vastaanotettu