Vastaamo

Kohteesta DigiWiki
Versio hetkellä 17. huhtikuuta 2022 kello 18.26 – tehnyt TUOMALA JUHA 10000350X (keskustelu | muokkaukset) (→‎Salaaminen)
Siirry navigaatioon Siirry hakuun

Vastaamo tarkoittaa tietotekniikka-alan piireissä Psykoterapiakeskus Vastaamo -yritykseen kohdistunutta tietomurtoa jossa varastettiin terapiakeskuksen asiakkaiden henkilökohtaisia tietoja. Yritystä kiristettiin maksamaan 450 000 euroa bitcoineina jotta tietoja ei vuodettaisi julkisuuteen.

Varastetut tiedot ovat sisältäneet ainakin asiakkaiden henkilötunnuksia ja potilaskertomuksia, sekä henkilökunnan tietoja.


Sisällysluettelo

Rikoksen estäminen

Tietomurtojen ja -varkauksien estäminen on hankalaa jos tietoja tallennetaan järjestelmissä joissa voi asioida kellon ympäri läpi vuoden. Verkkosivustoja ja niiden ohjelmistoja kehitetään jatkuvasti käyttäjien sekä palvelun tarjoajien vaatimuksesta ja ne ovat usein räätälöityjä, tapauskohtaisesti ohjelmoituja ympäristöjä joiden rakennuskomponentit ovat yleisesti käytettyjä. Eli ne on tehty rajoitetuilla resursseilla ja osista joiden tietoturvaviat ovat yleisesti tunnettuja sekä uusien etsimiseen on korkea motivaatio.

Tästä voidaan vetää johtopäätös, että verkkopalveluiden tietomurtoa ei voida ikinä sulkea täysin pois kaikista vaihtoehdoista. Siihen on parempi varautua, siitäkin huolimatta että sitä pyritään estämään käytettävissä olevin mahdollisuuksin.

Tietojen tallennuspaikat

Jos varastetuissa tiedoissa oli myös potilaskertomuksia joita ei yleensä anneta potilaille itselleen - siitä voidaan päätellä:

  • joko murto kohdistui sisäisiä tietoja säilyttävään palvelimeen jossa on ollut kaikki tiedot
  • tai tietoja ei oltu tallennettu eri palvelimiin niiden käyttötarkoituksen perusteella.

Psykoterapiaa saavalla potilaalla on oikeus saada omat potilaskertomuksensa erikseen pyydettäessä, mutta käytännössä niiden pyytäminen on harvinaista. Tästä voidaan päätellä, että niitä ei ole ollut verkkoasioinnissa tarjolla muutaman klikkauksen päässä vaan tiedot ovat olleet murretussa palvelimessa, eikä niitä ole tarkoitettu jokaiselle verkossa asioivalle potilaalle.

Jos tallennuspalvelin on ollut yhteydessä Internet-verkkoon palveluita tarjoaviin järjestelmiin, voi todeta ratkaisun olleen alan normien vastainen koska verkkopalveluiden murtaminen altistaisi tiedot tunkeutujalle. Pahin vaihtoehto kaikista, eli sisäisten tietojen tallentaminen Internet-palveluympäristöön, oletussalasanojen käyttö ja palomuurisuojausten puttuminen ovat olleet spekulaatioissa esillä.

Salaaminen

Digiviraston johtava eritysasiantuntija kertoo Ylen haastattelussa, että varastetut tiedot olisi pitänyt salata. Jostain syystä erityisasiantuntija jättää kertomatta, että oma työnantajansa on 22 vuotta tuottanut ratkaisua jolla rikos olisi voitu estää. Tuolissa istuessaan hänellä oli ratkaisu taskussaan, mutta jätti kertomatta siitä.

Jos potilaalle tarjotaan mahdollisuus hoitaa asioitaan (varmaan asiointiaikaa tms) sähköisesti, julkisessa verkossa kuten nykynormi on, jotain arkaluonteisia tietoja hänestä joudutaan käsittelemään myös Internet-palvelua tuottavassa ympäristössä ja sen palvelimissa.

Tällöin ainoaksi suojaustoimeksi jää tietojen salaaminen tallentamisen ja siirron ajaksi, sekä tarjota potilaalle mahdollisuus salauksen purkamiseen ja tietojen käyttöön.

Tietojenkäsittelytiede on tutkinut ja kehittänyt salaustekniikkaa pitkään. Koko väestölle suunnattuna ratkaisuna se vaatii:

  • salausavaimet kaikille
  • varmennehakemiston josta kuka tahansa voi hakea vastaanottajan salausavaimen käyttöönsä.
  • sovittava, miten ja missä muodossa salaus tallennetaan.

Suomessa jokaisella henkilökortilla on tarvittavat salausvaimet olleet olemassa vuoden 2000 alusta ja ne on myös saatavilla Digiviraston varmennehakemistosta. Ainoa puuttuva osa on yhteisen salausmuodon sopiminen.

Virossa vastaavaan käytetään DigiDoc-ohjelmaa jossa on henkilökorteilla toimiva salaustoiminto ja tallennusmuoto. Ohjelma on avointa lähdekoodia, eli sen käyttöönotto ei maksaisi sen osalta mitään.

Katso myös


Aiheesta muualla