Vastaamon tietoturva retuperällä: it-budjetti liian pieni, suojaus minimitasolla, virtualisointialusta piraattiversio

Hyvä, ettei it-työntekijät joutuneet syytettyjen penkille tuosta.

Piraattiversio virtualisointialustasta....

Ei hyvää päivää sentään..

Tollaiset firmat pitäisi laittaa johonkin valvontaan.

Vierailija kirjoitti:

Piraattiversio virtualisointialustasta....

Ei hyvää päivää sentään..

Tollaiset firmat pitäisi laittaa johonkin valvontaan.

Aivan. Minä en edes omalle kotikoneelle hankkisi mitään piraattina, hyvä ottaa piraatteja firmaan, joissa tietoturva-asiat on ensiarvoisen tärkeitä asiakkaiden takia.

Tuommoisen lisenssi ois maksanut varmaan promillen kaikesta rahavirrasta jos sitäkään, niin siltikin se on pitänyt piraattiversiolla hoitaa? Kuka siellä on tämmöisestä päättänyt? Aivan järjetöntä touhua. 

Voi näitä on paljon. Olin itse ennen töissä suuressa IT-talossa ja ei uskoisikaan kuinka paljon jopa sellaisen asiakkaille tuotetuissa järjestelmissä käytetään esim. kirjastoja joita ei saisi käyttää maksamatta lisenssimaksuja kaupallisessa softassa, juuri joku Docker alusta aika usein "piraatti" eli käytetään henk. koht. käyttöön tarkoitettua vaikka kyseessä on yrityskäyttö johon pitäisi hankkia ihan erilainen lisenssi jne. 

Kyllähän se on kuitenkin niin että syyllinen tähän kaikkeen on tietomurtautuja, eikä suinkaan puutteellinen suojaus. Ei kaupastakaan saa varastaa vaikka ovi sattuisikin jäämään lukitsematta.

Vierailija kirjoitti:

Tuommoisen lisenssi ois maksanut varmaan promillen kaikesta rahavirrasta jos sitäkään, niin siltikin se on pitänyt piraattiversiolla hoitaa? Kuka siellä on tämmöisestä päättänyt? Aivan järjetöntä touhua. 

Kuulostaa ikävä kyllä liian tutulta toiminnalta.

Tehdä vain kun on pakko = tehdään jotain purkkaviritelmiä, jotka eivät saa maksaa mitään. Korjataan vain se, mikä nyt on rikki. Muita voidaan katsoa sitten joskus.

Säästöjä yritetty hakea aivan väärästä paikasta. Kyllä nyt joku on varmasti hyvin tyytyväinen kuinka nerokkaasti on saanut aikaan säästöjä.

Luin uutisen ja mielestäni tuo kuulostaa ihan oman työnantajan, teknologiateollisuuden suuryhtiön, IT osastolta.

Täysin normaalia tänä päivänä ettei johto ymmärrä resursoida IT puolta ja tavoitellaan jatkuvasti vain lisää säästöjä. Itsekin teen lähinnä töitä eniten eskaloitujen ongelmien parissa, en ole vuosikausiin ehtinyt tehdä mitään ennaltaehkäisevää.

Tuskin Vastaamo on mitenkään erikoistapaus tämän asian osalta, vaan johto kaikkialla ei yleisesti ymmärrä miten vaativaa IT puolen työ on.

Vierailija kirjoitti:

Kyllähän se on kuitenkin niin että syyllinen tähän kaikkeen on tietomurtautuja, eikä suinkaan puutteellinen suojaus. Ei kaupastakaan saa varastaa vaikka ovi sattuisikin jäämään lukitsematta.

Voi kuitenkin olla aika hiljaista vakuutusyhtiön suunnalta jos et ole lukinnut ovia.

Vierailija kirjoitti:

Piraattiversio virtualisointialustasta....

Ei hyvää päivää sentään..

Tollaiset firmat pitäisi laittaa johonkin valvontaan.

Noistahan ei tiedä todenperäisyyttä, sanoo sen miten olettaa olevan.

Vierailija kirjoitti:

Vierailija kirjoitti:

Kyllähän se on kuitenkin niin että syyllinen tähän kaikkeen on tietomurtautuja, eikä suinkaan puutteellinen suojaus. Ei kaupastakaan saa varastaa vaikka ovi sattuisikin jäämään lukitsematta.

Voi kuitenkin olla aika hiljaista vakuutusyhtiön suunnalta jos et ole lukinnut ovia.

Sinänsä totta. On kuitenkin vaikea ymmärtää minkä takia maailmassa on ihmisiä jotka tieten tahtoen yrittävät murtautua tämän kaltaisille sivustoille niin että kokoajan pitää olla kehittämässä järeämpää lukkoa että sitä ei päästäisi läpi.

Noin se vaan menee monessakin paikassa. Ei nähdä mitään syytä miksi pitäisi maksaa tonneja juuri nyt kun kaikkihan on hyvin ja kaikkihan toimii. Ahneus ja piheys.

"Vastaamon IT-työntekijöiden näkemykset vähäisistä resursseista saavat vahvistusta ulkopuolisilta asiantuntijoilta. Esimerkiksi Kyberturvallisuuskeskuksen mukaan Vastaamon tietoturvasta huolehtiminen olisi edellyttänyt ainakin 56 IT-ammattilaisen työpanosta.

Vastaamossa työskenteli kuitenkin vain kaksi. Esitutkinnan perusteella heidän osaamisensa oli riittämätöntä työn vaatimuksiin nähden. Heidän työsopimuksensa liittyivät ennemmin koodaamiseen ja kehitystyöhön kuin tietoturvaan.

Tietosuojavastaavana toiminut työntekijä ei ollut saanut lainkaan koulutusta työhönsä, eikä hänen tehtäviinsä kuulunut hoitaa teknistä tietoturvaa vaan varmistaa, että yrityksessä noudatetaan tietosuoja-asetusta. Kouluttautuminen oli esitutkinnan perusteella työntekijöiden oman aktiivisuuden varassa.

Yhtiön tietoturvatoimikuntaan kuuluneen henkilön mukaan Tapio piti tietosuojakoulutusta työntekijöiden ajan väärinkäyttönä. Vaikka Tapio hänen mukaansa sinänsä kuuntelikin huolia, hän ei tehnyt niiden paikkaamiseksi mitään konkreettista.

Varsinaista budjettia IT-osastolla ei poliisin tietojen mukaan ollut. Työntekijät tekivät paljon töitä nollatuntisopimuksella, ja niitä teetettiin vain tarpeen tullen. Resurssipula näkyi myös Vastaamon työntekijöiden arjessa kuukausien viiveenä työtehtävien hoitamisessa.

Molemmat epäiltyinä kuullut työntekijät kertoivat tuoneensa ilmi huolensa puutteellisesta tietoturvasta ja tehneensä Tapiolle hankintaehdotuksia sen parantamiseksi. Hyväksytyksi ne eivät kuitenkaan tulleet."

https://www.iltalehti.fi/digiuutiset/a/69314f2e-bb1c-4ea0-8ad6-9a188e06…

Vierailija kirjoitti:

Esimerkiksi Kyberturvallisuuskeskuksen mukaan Vastaamon tietoturvasta huolehtiminen olisi edellyttänyt ainakin 56 IT-ammattilaisen työpanosta.

/quote]

En ymmärrä miksi tuo kopioitui 56:ksi kun alkuperäisessä tekstissä lukee että 5-6.

"Nixu Corporationin tekemässä selvityksessä Vastaamon tietoturvassa havaittiin useita puutteita, jotka vaaransivat potilaiden tietoturvan. Olennaisimmat ja vakavimmat tietoturvapoikkeamat ajoittuivat vuosille 20172019. Vastaamon tietokannan tietoliikenneportti, jonka pitäisi olla suljettu ulkopuolisilta yhteyksiltä, oli avoinna nettiin 26.11.201713.3.2019.

Myös Vastaamon salasanakäytännöt ovat olleet puutteellisia. KRP:n tietoteknisessä tutkinnassa selvisi, että potilasrekisterin käyttäjätunnuksella root ei ollut lainkaan salasanaa."

https://www.iltalehti.fi/digiuutiset/a/69314f2e-bb1c-4ea0-8ad6-9a188e06…

Hyvä kohta säästää rahaa tuo tietoturva. Sen vuoksi jäi nyt Tapiolta miljoonat saamatta yrityskaupoista, paljonkohan sitä ketuttaa.

Ja kärsijöinä muutenkin hankalassa tilanteessa ja huonossa voinnissa olevat ihmiset... Pahimmillaan heille tulee tästä kauaskantoiset seuraukset. Ikävää myös luottamuksen menetys terapiaan, jolloin tarvittavaa apua ei enää uskalleta hakea.

Toivottavasti muut yritykset ottavat tästä opiksi ja terapeutit ym. sote-alan työntekijät kiinnittävät huomiota kirjauksiin sopien niistä asiakkaan kanssa.

Vierailija kirjoitti:

Ja kärsijöinä muutenkin hankalassa tilanteessa ja huonossa voinnissa olevat ihmiset... Pahimmillaan heille tulee tästä kauaskantoiset seuraukset. Ikävää myös luottamuksen menetys terapiaan, jolloin tarvittavaa apua ei enää uskalleta hakea.

Toivottavasti muut yritykset ottavat tästä opiksi ja terapeutit ym. sote-alan työntekijät kiinnittävät huomiota kirjauksiin sopien niistä asiakkaan kanssa.

Joo, kun miettii sitä että kerrot terapeutille henkilökohtaisimmat asiasi, ja kohta ne onkin koko kansan luettavissa... Kiva vielä kun olet avautunut läheisistäsi/muista ihmisistä, ja nekin avautumiset on kaikkien nähtävissä. Kaikki terapeutit ei toki kirjoita todella yksityiskohtaisesti, mutta kyllä ne vähemmän yksityiskohtaiset kirjauksetkin riittävät asiakkaan radaltaan suistamiseen, kun kyseessä on niin henkilökohtaiset asiat.

Pelottaa. Millä tahansa yrityksellä voidaan siis viis veisata tietoturvasta, ja ties kuinka monet keräävät ihmisten arkoja tietoja, millä voi saada paljon tuhoa aikaan. Eikö mikään taho valvo, että yritykset hoitavat velvollisuutensa?