Lue keskustelun säännöt.
Tervetuloa lukemaan keskusteluja! Kommentointi on avoinna klo 7 - 23.
Alue: Arkisto
Psykoterapiakeskus Vastaamo tietomurron kohteena
21.10.2020 |
Psykoterapiakeskus joutui tietomurron kohteeksi potilastiedot varastettiin
Tietoja on tiettävästi julkaistu myös verkossa.
Psykoterapiakeskus joutui tietomurron kohteeksi.
Psykoterapiakeskus joutui tietomurron kohteeksi.KUVA: MARKKU ULANDER / LEHTIKUVA
Henrik Kärkkäinen
9:26 | Päivitetty 9:37
Psykoterapiakeskus Vastaamo on joutunut tietomurron kohteeksi. Tiedotteessaan keskus kertoo, että sen potilastietoja on varastettu.
Tämän hetken tiedon mukaan mukaan marraskuun 2018 jälkeen kirjatut asiakastiedot eivät ole vaarantuneet. Toistaiseksi tuntematon kiristäjä on yrittänyt vaatia rahaa tiedoista.
Vastaamo sanoo tehneensä asiasta ilmoituksen Kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle.
Kun kiristäjä ei ole saanut maksua, hän on väitetysti julkaissut tietoja verkossa.
Psykoterapiapalveluita tarjoavana yhtiönä asiakastietojen luottamuksellisuus on meille äärettömän tärkeätä ja kaiken toimintamme lähtökohta. Pahoittelemme syvästi murrosta johtuvaa tietovuotoa. Kehitämme jatkuvasti tietoturvaamme sekä tietosuojaamme ja teemme lisätoimenpiteitä omien selvitystemme ja viranomaistutkinnan valmistuessa. Käynnissä olevan poliisitutkinnan takia emme ole aikaisemmin saaneet viestiä aiheesta,sillä tutkintateknisistä syistä asiaa ei ole haluttu julkistaa, Vastaamon hallituksen puheenjohtaja Tuomas Kahri sanoo tiedotteessa.
Vastaamo sanoo olevansa syvästi pahoillamme asiakkaidensa puolesta.
Ilta-Sanomat on nähnyt verkossa julkistettuja väitettyjä potilastietoja. Terapiaistuntojen kertomukset ovat luonteeltaan hyvin henkilökohtaisia, ja niiden yhteydessä on näkynyt muun muassa asiakkaan nimi.
LUE LISÄÄ KIRJOITTAJALTA
Henrik Kärkkäinen
Aivan skandaali! Ihmisten terapiaistuntojen tietoja nimien kanssa netissä!!!
Kommentit (5103)
Sisältö jatkuu mainoksen alla
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Järkyttävää :(
Älä muuta sano. Voin vain kuvitella kuinka painajaismainen tilanne asiakkaille.
Vierailija kirjoitti:
Vierailija kirjoitti:
Miksei kiristäjälle maksettu?
No mietippä sitä.
Asiakas olisi voinut jopa haluta maksaa siitä, ettei tiedot pääty julkisuuteen. Paha tietoturvavirhe kuitenkin, että tietoja on säilytetty verkossa.
Mutuiluksi menee, mutta veikkaisin, että tässä tapauksessa on rikottu Tietosuoja-asetuksen seuraavia artikloja:
24 artikla - Rekisterinpitäjän vastuu:
Rekisterinpitäjä, eli Vastaamo, ei ole toteuttanut tarvittavia tekniset ja organisatoriset toimenpiteitä, joilla varmistutaan siitä, että he noudattavat tietosuoja-asetusta. (Melko todennäköinen)
25 artikla - Sisäänrakennettu ja oletusarvoinen tietosuoja
Käytössä olleet prosessit ja tietojärjestelmät eivät ole suojanneet tietoja tavalla, jolla voitaisiin olettaa, että sisäänrakennettu ja oletusarvoinen tietosuoja toteutuu. (Tämä on mahdollinen)
32 artikla - Käsittelyn turvallisuus
Riskiin vastaavaa turvallisuustason asianmukaisia teknisiä ja organisatorisia toimenpiteitä ei ole toteutettu. (Tämä on ainakin selvä)
33 artikla - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
Ilmoitus on tehty, mutta onko se tehty määritellyssä aikamääressä, eli 72 tuntia tietovuodon havaitsemisesta?
34 artikla - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
Tätä on todennäköisesti rikottu. Asetus ei aseta varsinaista aikarajaa, mutta sanoo: "Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä". Tässä on kyseessä ehdottomasti tapaus, jossa osallisten oikeuksille ja vapauksille aiheutuu korkea riski. Ilmoittaminen on ilmeisesti nyt menossa, vaikka asiasta on tiedetty pitkään.
Seuraukset ovat kenties seuraavat:
82 artikla - Vastuu ja oikeus korvauksen saamiseen
Ihmiset, joiden tiedot on vuodettu ovat oikeutettuja korvaukseen.
83 artikla - Hallinnollisten sakkojen määräämisen yleiset edellytykset
Hallinnolliset sanktiot ovat maksimissaan 20 miljoonaa tai 4 % liikevaihdosta, kumpi suurempi.
Tämän lisäksi mainehaitta on sellainen, ettei tuota toimintaa varmaan voi jatkaa. Tai itse uskoisin näin
Sisältö jatkuu mainoksen alla
Minne katosi toinen viestiketju? Ilmeisesti ei saa puhua asiasta.
Vierailija kirjoitti:
Hei numero 158! Ymmärrän että ahdistaa mutta itse asiassa jos pahin ois tapahtunut niin jos ihmistä on käytetty lapsena hyväksi niin se ei ole uhrin häpeä vaan tekijän häpeä. Senhän suurin osa ihmisistä ymmärtää jos vähänkään on järkeä jaettu!!!
Totta. Mulla oli sama syy käydä Vastaamossa. Helisen täällä itsekin, mutta toisaalta ajattelen niin, että jos joku mulle tulee asiasta virnuilemaan niin aion kysyä, että tiedätkö kuinka monia hyväksikäytetään ja että asian selvittäminen terapiassa on vain hyvä asia, ei paha. Ja että MINÄ en ollut rikoksen tekijä, vaan sen uhri.
Juurikin seksuaalirikoksissa asennekurssin täytyy kääntyä siihen, että uhri on vahva, kun hakee apua. Ja että tekijä on ainoa syyllinen, saastainen p aska, halveksittava ja leimattava.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Hei numero 158! Ymmärrän että ahdistaa mutta itse asiassa jos pahin ois tapahtunut niin jos ihmistä on käytetty lapsena hyväksi niin se ei ole uhrin häpeä vaan tekijän häpeä. Senhän suurin osa ihmisistä ymmärtää jos vähänkään on järkeä jaettu!!!
selittäkääs alapeukuttajat?
Vierailija kirjoitti:
Kansanedustajienkin tietoja on vuodettujen tietojen joukossa.
Vaikka se onkin ikävää, niin toivon tämän vaikuttavan siten että Suomessa säädetään tiukemmat lait tietovuotojen ja urkintojen estämiseksi. Tällä hetkellähän terveydenhuoltohenkilöstö voi urkkia Kannasta ihmisten tietoja ihan vain huvikseen, kiinni jääminen on tehty hyvin vaikeaksi, eikä siitä edes kiinni jäätyään saa kummoista rangaistusta. Ystäväni joutui tällaisen kohteeksi ja edessä vuosien oikeusprosessi ennen kuin nilkki saa rangaistuksensa, joka tulee joka tapauksessa olemaan raskaasti alimitoitettu aiheutettuun kärsimykseen nähden.
Jospa edustajamme nyt heräisivät siihen, miltä tuntuu olla tällaisen toiminnan kohteena, ja kuinka rajun kielteisesti se voi elämään vaikuttaa!
Kansanedustajia, miten niin? Heillähän on oma työterveys.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Vierailija kirjoitti:
Hei numero 158! Ymmärrän että ahdistaa mutta itse asiassa jos pahin ois tapahtunut niin jos ihmistä on käytetty lapsena hyväksi niin se ei ole uhrin häpeä vaan tekijän häpeä. Senhän suurin osa ihmisistä ymmärtää jos vähänkään on järkeä jaettu!!!
Totta. Mulla oli sama syy käydä Vastaamossa. Helisen täällä itsekin, mutta toisaalta ajattelen niin, että jos joku mulle tulee asiasta virnuilemaan niin aion kysyä, että tiedätkö kuinka monia hyväksikäytetään ja että asian selvittäminen terapiassa on vain hyvä asia, ei paha. Ja että MINÄ en ollut rikoksen tekijä, vaan sen uhri.
Juurikin seksuaalirikoksissa asennekurssin täytyy kääntyä siihen, että uhri on vahva, kun hakee apua. Ja että tekijä on ainoa syyllinen, saastainen p aska, halveksittava ja leimattava.
No pitää olla melkoisen pipi jos tuollaisestaa tullaan virnuilemaan.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Suomeen tehdään tietomurtohyökkäyksiä, koska laki sallii tällaiset. Nimenomaan ulkomailtapäin tulee nämä tietomurrot ja nämä rikolliset tietävät että Suomessa ei tule kummoisia sanktioita. Nyt nopeasti lakiin todella rajua tiukennusta!!! Kuluttajien ja yritysten turvaaminen. Herätkää päättäjät heti!!!
Juurihan on GDPR säädetty ja siinä on hyvin tiukat sanktiot rikkomuksista.
GDPR:n mukaan asia on OK kunhan murrosta on ilmoitettu ajoissa. Toki jos tuo pitää paikkaansa että palvelin on ollut nettiin auki oletussalasanoilla, niin silloin ei kyllä olla tehty "kaikki realistisesti mahdollinen" käyttäjätietojen suojaamiseksi vaan päinvastoin.
Jos on ollut ammattikrakkerit asialla (niin kuin lunnasvaatimuksesta voi päätellä) niin on lähes se ja sama, onko palvelin ollut nettiin auki oletussalasanoilla, vai millä tahansa alle 14 merkin satunnaisella kirjain-merkkijonolla. Ne hakkeroidaan koputtelemalla nykyään suhteellisen nopeasti, eli päävastuu tässä keississä on kyllä ihan niillä kiristäjillä. Helpompi ja nopeampi se tietysti on uusavuttomille "hakkereille" murtaa, jos on ollut oletussalasanat.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Kaippa eri keskusteluryhmissä modet on hereillä ja näitä tietoja ei julkaista. Tosin Dark Webissä kai oli vielä joku aika sitten näitä tietoja.
Joku aika sitten? Siellä ne on edelleen ja ei tuu poistuun kuten ei mikään netistä.
Vierailija kirjoitti:
Vierailija kirjoitti:
Kaippa eri keskusteluryhmissä modet on hereillä ja näitä tietoja ei julkaista. Tosin Dark Webissä kai oli vielä joku aika sitten näitä tietoja.
Joku aika sitten? Siellä ne on edelleen ja ei tuu poistuun kuten ei mikään netistä.
Aivan. Ja varmaan kopioitu miljoonia kertoja ties minne.
Sisältö jatkuu mainoksen alla
Ei mikään taho tai vaitiololupaus ole 100% luotettava (paitsi koira). Jos jakaa asiansa jonkun kanssa tulee varautua siihen että ne tulevat vastaan joskus, jossakin.
Siitä riskistä ei pääse eroon. Ei pidä käydä maksullisilla kuuntelijoilla, jos pelkää että se mitä kerrot ja kirjoitetaan ylös tulee sinua vastaan muuta kautta.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Hei numero 158! Ymmärrän että ahdistaa mutta itse asiassa jos pahin ois tapahtunut niin jos ihmistä on käytetty lapsena hyväksi niin se ei ole uhrin häpeä vaan tekijän häpeä. Senhän suurin osa ihmisistä ymmärtää jos vähänkään on järkeä jaettu!!!
Totta. Mulla oli sama syy käydä Vastaamossa. Helisen täällä itsekin, mutta toisaalta ajattelen niin, että jos joku mulle tulee asiasta virnuilemaan niin aion kysyä, että tiedätkö kuinka monia hyväksikäytetään ja että asian selvittäminen terapiassa on vain hyvä asia, ei paha. Ja että MINÄ en ollut rikoksen tekijä, vaan sen uhri.
Juurikin seksuaalirikoksissa asennekurssin täytyy kääntyä siihen, että uhri on vahva, kun hakee apua. Ja että tekijä on ainoa syyllinen, saastainen p aska, halveksittava ja leimattava.
No pitää olla melkoisen pipi jos tuollaisestaa tullaan virnuilemaan.
Juuri tällä tavalla pipejä on tällä palstalla jo tämän aiheen ketjuissa nähty, ja samahan se on tuolla todellisessakin maailmassa.
Vierailija kirjoitti:
Vierailija kirjoitti:
Itse olen alusta asti vähän vältellyt Vastaamoa sen suuruuden vuoksi. En kokisi turvalliseksi mennä terapiaan tuollaiseen megapaikkaan. Itse käyn terapiassa terapeutilla, joka ottaa vastaan yksin eikä tee potilastietoja mihinkään nettisovellukseen.
Vastaamo pitäisi tuomita huolimattomasta potilastietojen säilytyksestä, sillä on ammattilaisen velvollisuus pitää potilastiedot salassa. Pitää varautua tietomurtoihin ja muihinkin turvallisuusuhkiin.
Jokaisella pitäisi olla mahdollisuus kieltää tietojensa tallentaminen sähköisiin järjestelmiin ja pyytää tekemään tarvittavat kirjaukset manuaalisesti.
Kyllä, 100 % omalla kustannuksella 100 % yksityisrahoitteisessa palvelussa.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Hei numero 158! Ymmärrän että ahdistaa mutta itse asiassa jos pahin ois tapahtunut niin jos ihmistä on käytetty lapsena hyväksi niin se ei ole uhrin häpeä vaan tekijän häpeä. Senhän suurin osa ihmisistä ymmärtää jos vähänkään on järkeä jaettu!!!
Totta. Mulla oli sama syy käydä Vastaamossa. Helisen täällä itsekin, mutta toisaalta ajattelen niin, että jos joku mulle tulee asiasta virnuilemaan niin aion kysyä, että tiedätkö kuinka monia hyväksikäytetään ja että asian selvittäminen terapiassa on vain hyvä asia, ei paha. Ja että MINÄ en ollut rikoksen tekijä, vaan sen uhri.
Juurikin seksuaalirikoksissa asennekurssin täytyy kääntyä siihen, että uhri on vahva, kun hakee apua. Ja että tekijä on ainoa syyllinen, saastainen p aska, halveksittava ja leimattava.
No pitää olla melkoisen pipi jos tuollaisestaa tullaan virnuilemaan.
Juuri tällä tavalla pipejä on tällä palstalla jo tämän aiheen ketjuissa nähty, ja samahan se on tuolla todellisessakin maailmassa.
Puhumattakaan dark netin pipipäistä. Tämä palsta on siihen verrattuna kuin seurakunnan päiväkerho.
Vierailija kirjoitti:
Minne katosi toinen viestiketju? Ilmeisesti ei saa puhua asiasta.
No mitä sinä täällä juurikin teet? Ei tietenkään avata yhdestä aiheesta tuhatta ketjua.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Suomeen tehdään tietomurtohyökkäyksiä, koska laki sallii tällaiset. Nimenomaan ulkomailtapäin tulee nämä tietomurrot ja nämä rikolliset tietävät että Suomessa ei tule kummoisia sanktioita. Nyt nopeasti lakiin todella rajua tiukennusta!!! Kuluttajien ja yritysten turvaaminen. Herätkää päättäjät heti!!!
Juurihan on GDPR säädetty ja siinä on hyvin tiukat sanktiot rikkomuksista.
GDPR:n mukaan asia on OK kunhan murrosta on ilmoitettu ajoissa. Toki jos tuo pitää paikkaansa että palvelin on ollut nettiin auki oletussalasanoilla, niin silloin ei kyllä olla tehty "kaikki realistisesti mahdollinen" käyttäjätietojen suojaamiseksi vaan päinvastoin.
Jos on ollut ammattikrakkerit asialla (niin kuin lunnasvaatimuksesta voi päätellä) niin on lähes se ja sama, onko palvelin ollut nettiin auki oletussalasanoilla, vai millä tahansa alle 14 merkin satunnaisella kirjain-merkkijonolla. Ne hakkeroidaan koputtelemalla nykyään suhteellisen nopeasti, eli päävastuu tässä keississä on kyllä ihan niillä kiristäjillä. Helpompi ja nopeampi se tietysti on uusavuttomille "hakkereille" murtaa, jos on ollut oletussalasanat.
No ei kyllä "koputella" kun kolmen koputuksen jälkeen fail2ban laittaa kyseisen IP-osoitteen estolistalle. Kyllä tämä vahvasti haisee siltä että jollain lapsuksella sinne on sisään menty. Toki suomalaisten yritysten IT-osaaminen on keskimäärin aivan hirveetä paskaa, että sinäänsä se ei kyllä yllätä.
Ketju on lukittu.
Alue: Arkisto
Kauranen on kylläkin terapeutti ihan koulutukseltaan.