Petri Aukia Profile picture
24 Oct, 52 tweets, 16 min read
1) Vastaamon tapaus on tosiaan sähköisen maailman Exxon Valdez … suuronnettomuus, joka oli täysin ennustettavissa, ja jota ammattilaisporukoissa oli pelätty jo vuosia. Hirvittävä tilanne, voimia kaikille! hs.fi/kotimaa/art-20… (hyvä juttu&metafora, @LauraHuu, kiitos) #vastaamo
Mitä tälle voisi tehdä? 2) Terveystietojen osalta @KelaFpa voisi tarjota yksityiselle sektorille tarvittavat tietokannat potilastietoja varten. Alalla on monenmoista toimijaa ja olisi meidän kaikkien etumme, että nuukimmillakin toimittajilla olisi halpa, turvallinen vaihtoehto.
3) Uutistietojen valossa @vastaamo johdon toiminta oli rikollisen huolimattomalta tuntuvaa. Syyttäjän tehtävä on ymmärtää tämä ja nostaa syytteet laajamittaisesti koko johtoa vastaan. Näin nostetaan kynnystä (Sarbane-Oxley tyyliin) ottaa vastaavaa riskiä jatkossa.
4) Samalla Vastaamo pitää saada nopeasti ottamaan täysi taloudellinen vastuu heidän toimien johdosta seuraavista taloudellisista menetyksistä heidän asiakkailleen ja asiakkaiden perheille. Heti piikki auki ja kaikki käytössä oleva kalusto identiteettivarkauksien osalta käyttöön.
5) Hetujen käyttö maksajan varmistamiseksi pitää tehdä oikeustapausten kautta yrityksen ottamaksi riskiksi. Jos yrityksenä luottaa hetuun, on ottamassa ison riskin tietoisena, että saattaa menettää rahansa. Vahva tunnistus on must = moderni allekirjoitus.
6) Kun hetuihin aiotaan puuttua, pitää uudet tunnukset miettiä todellisten identiteetivarkauksien valossa. Kansalaisella pitäisi olla haluamansa määrä hetuja, joita voi käyttää eri tahoille ja tipauttaa kuin rukkaset, jos siltä tuntuu. Miten tuo oli suunniteltu?
7) Uudet hetut kannattaa muuten tehdä Viron tapaan saman tien kansainvälisiksi. "Digital identity from Finland," jossa valtio varmistaa suomalaisten lisäksi kenen tahansa maksukykyisen puolesta että hän on aikanaan käynyt biometrisen passin kanssa luotetun tahon luona.
8) Identiteetin hallinta on valtion ytimessä. Identiteetin käyttökelpoisuuden rikkominen on luonteva osa sodan ja rauhan välissä olevan harmaan vyöhykkeen toimintaa. Valtion pitää tässä kohtaa ottaa vastuu siitä, että meillä jatkossakin on "luotettavat kirkonkirjat."
9) Kurssien, super-konkreettisten ohjeiden, auditointien ja muiden parhaiden käytäntöjen pitäisi olla jo tekeillä, jotta #vastaamo -casen inhimillinen kauheus ei toistu ja muutu arkipäiväiseksi. Ala selvästi tarvitsee apua, kun luokattomuus hyväksytään.
10) Vastaamoon kannattaisi tässä kohtaa suhtautua kuin taseensa tuhonneeseen pankkiin. Regulaattorin duuni olisi etsiä toiminnalle jatkaja jo tämän viikonlopun aikana ja tällaisella pakkokaupalla varmistaa, että henkilötietojensa menettäneille jää pesään rahaa.
11) Tärkeää on, että vahingonkorvaukset maksetaan pesästä ennen kuin mahdolliset #GDPR myötä tulevat sanktiot. Riskinä on, että savijaloin liikkuvan firman kassa kärsii ja viranomaiset tyhjentävät pesän eikä vahingonkorvauksiin jää rahaa. Tuo "normaali toimintapa" olisi väärin!
12) Tietoturvan& tietosuojan vakavia rikkeitä on aika kallis etsiä yrityksen ulkopuolelta. Tässä kohtaa kunnon #Whistleblower -lainsäädäntö olisi paikallaan, sillä yrityksen sisältä tuon tietävät kaikki ainakin it-osastolla. Tarvitaan taloudellinen insentiivi vaarantaa työpaikka.
13) Tuntuisi lisäksi siltä, että tässä kohtaa regulaattori ei ole ollut ihan riittävän skarppina. Tärkeää olisi varmistaa, että isot toimijat toimivat oikein. Varaamon kokoluokassa ulkopuoliset auditorit ja näiden raportit regulaattorille olisivat paikallaan.
14) Vastuu tästä rikoksesta on Vastaamon johdolla sekä toki johdon toimintaa rikollisesti hyödyntäneellä rikollisella. Mutta kun tilanne on ohi, on syytä miettiä, miten viranomaisten riskiarviointi ja regulointi oli onnistunut? Oliko alalla helpompi slarvata kuin toimia oikein?
15) Identitettivarkauksiin ei pidä tottua eikä niitä pidä hyväksyä. Olemme kansakuntana tehneet paljon töitä sen eteen, että tiedämme, keillä on hetu ja varmistaneet yksityisen sektorin kanssa, että heidät voi tunnistaa varsin luotettavasti. Suomi pystyy parempaan, nopeastikin!
16) Tämä voi myös olla se case, jossa yrityksen hallituksen vastuu tietoturvasta ja -suojasta mitataan. Pankkikriisin aikaan hallituksen jäsenet laitettiin vastaamaan koko omaisuudellaan. Ollaanko tällä kertaan hövelimpiä ja jos ollaan niin miksi? #tietosuoja #vastaamo
17) Hyvä muistutus siitä, että
maine ≫ luottamuksellinen tieto sinusta ≫ rahallinen menetys. Ovatko terveysalan regulaation vaatimukset edes pankeilta edellytetyn tietoturvatason tasolla?
18) Pankki voi korvata kaikki virheensä maksamalla virheen kohteiden tilille vahingonkorvauksen. Sama ei onnistu terveystietojen osalta.
19) Hyökkäyksen taloudellista hyötyä voisi vähentää antamalla kaikille #vastaamo asiakkaille huomenna uusi #hetu. Ei maksa (juuri) mitään ja olisi toimena kotimaisen kyberrikollisuuden suuntaan lamauttava. Yhdelläkään kerätyllä #hetu lla ei sen jälkeen olisi mitään arvoa.
20) Tilanne on ihan kauhea. Kymmeniä tuhansia ihmisiä ja perheitä, joiden luottamuksellisin viestintä saatetaan tehdä näkyväksi. Jotta tämä ei toistu, tarvitaan empatiaa kohteille ja terävä miekka regulaattorin käsiin. Itseregulointi ei toiminut.
21) Terveystietojen luotettavalle tallentamiselle voisi luoda markkinan nostamalla rimaa regulaattorina. Moni yritys osaa / haluaisi varmasti hoitaa satojen sote-firmojen tiedon luotettavan hallinnan, ei tuon tarvitse @KelaFpa olla, mutta regulaattori luo tässä markkinan.
22) Vastaamo on kiinnostava eurooppalaisessa mittakaavassa #GDPR -tietosuojalainsäädännön valossa. Miten sakot ja muut rangaistukset Suomessa menevät tässä tapauksessa? Esim BA-casessa summat jäivät tosi vaatimattomiksi infosecurity-magazine.com/news/ba-gdpr-f…
23) Pitkävihaisuutta pidetään usein paheena, mutta tässä kohtaa poliisissa kannattaisi resursoida tämän casen tutkiminen kunnolla "Olof Palmen murha"-tyyliin. Jatketaan ihan tavallista poliisityötä, tiimillä. Rikollisilla on taipumus ilmiantaa toisensa, kun jatketaan pitkään.
24) Jos tieto on näin huonosti salattua tärkeää olisi myös tietää, miten se on salattu muilta #vastaamo työntekijöiltä? Onko potilastietojen luvaton urkkiminen ollut aidosti estettyä? Onko lokeja seurattu tämän valvomiseksi? yle.fi/uutiset/3-6309…
25) Tässä kohtaa odottaisin lehdistötilaisuutta, jossa rikolliselle tai rikollisille tehdään selväksi, mikä on mahdollinen maksimituomio varastetun tiedon väärinkäytöstä. Rikollinen tuskin ymmärtää, kuinka pitkä tuomio ja suuri vahingonkorvaus voi olla kyseessä.
26) Masennus on hengenvaarallinen tauti. Toivottavasti tilanteen vakavuus tehdään selväksi rikolliselle, joka ei tätä ymmärrä tai tästä välitä. Voimia kaikille, joilla terapia on kesken. Ja te muut, nyt on tavallista tärkeämpää auttaa niitä, joilla on vaikea vaihe elämässä.
Hyvä haastattelu mm. vahingonkorvauksista.
27) Tietotekniikan tekeminen niin, että se toimii aina oikein on tosi vaikeaa, ehkä jopa mahdotonta. Siksi tärkeissä järjestelmissä tieto on turvattu monin toistaan riippumattomin keinoin (Defense in Depth). Tässä tapauksessa näin ei oltu toimittu.
28) Vastaamon tapaus saa minut ammattilaisena todella vihaiseksi, sillä yritys on rikkonut häpeämättä suurta määrää ihan fuksikurssi-tason tietoturvavaatimuksia siitä huolimatta, että heillä oli ihmisten kaikkein luottamuksellisimmat salaisuudet.
29) Voiko olla, että yritys on tehnyt räikeän luokatonta työtä ainoastaan tietoteknisellä puolella, vai löytyykö pesästä todennäköisen konkurssin jälkeen muutakin sontaa?
30) @katleena on kirjoittanut aiheesta sekä viranomaisia paremman "toimi näin"-ohjeen että laajempaa pohdintaa blogiinsa. Kiitos. eioototta.fi/vastaamo-kiris…
Aiheesta tulee 3 (!) livelähetystä tämän iltapäivän aikana.
Henkilötunnuksen korvaajan pitäisi olla joustava niin, että kukin hetu on hyödyllinen vain sille, jolle se on luovutettu. Ei yleiskäyttöistä ja helposti väärinkäytettävää yleisavainta vaan nippu avaimia, jotka voi poistaa käytöstä, jos ei vastapuoleen enää luota.
32) Kiinnostava alkava ketju oikeudellisesta puolesta.
33) "Lisäksi rekisteriin tallennetaan potilaskertomukset liitteineen." web.archive.org/web/2020102111…
34) "Käyttöoikeudet on rajattu henkilöittäin vain jokaisen omien potilaiden hoidon kannalta tarpeelliseen tietoon. Tietojen käyttötapahtumat rekisteröidään" … "Asiattomat yritykset päästä potilastietoja sisältäville palvelimille aiheuttavat" … "hälytyksen rekisterinpitäjälle."
35) @Karde hyvä kymmenen pisteen ketju siitä, mitä journalistien pitäisi 75 minuutin kuluttua kysyä niin poliisilta kuin Vastaamon johdolta.
@Matti_Kinnunen nostaa saman teeman esiin. Summa ei ole suuren suuri rikolliseksi hyödyksi ja toiminta on häikäilemätöntä moraalittomuudessan, aivan kuin myisi tietoisesti myrkytettyä suonensisäistä huumetta. Onko hyökkääjä sittenkin valtiollinen?
36) "Se koskee meitä myös niin, että meillä kaikilla on oma sisin, jota haluamme varjella. Nyt sitä on loukattu, Niinistö sanoo Ylen haastattelussa." yle.fi/uutiset/3-1161…
37) @ekoivune nostaa hyvin esiin uhrien roolin tässä kriisinhallinnassa. Niin yrityksellä kuin poliisilla jäi uhrien henkilökohtainen kohtaaminen tekemättä. ”Oliko se sittenkin kaikki turvallisuusteatteria?” kuvaa hyvin epäluuloa Vastaamoa kohtaan.

hs.fi/kotimaa/art-20…
37) Ulkopuolisen on mahdotonta sanoa, oliko kyseessä ulkopuolinen rikollinen, työntekijä vai valtiollinen toimija. Tapahtuman huomio nostaa tämän hyökkäyksen kaikkien tietoisuuteen. Huonosti suojattu järjestelmä, jossa on kriittistä tietoa on aina vaarassa kaikista suunnista.
38) Laki hetun muuttamisesta on aika tiukka totesi @MattiParpala tarkasti. Päätös Vastaamon uhrien hetujen muutosta olisi varmaankin tehtävä Valtioneuvosto-tasolla.
40) Hyviä voimakkaita ja konkreettisia parannusehdotuksia tarjoaa @kaisamirjam
38) Vastaamon ja 259 muun ns b-luokan järjestelmän tietoturvan valvonnasta vastaa Antti Härköinen Valvirassa. Käytännössä kukaan ei siis @ValviraViestii valvo näiden tietosuojaa, jos mitään ongelmia ei ole, hän toteaa. is.fi/digitoday/tiet…
39) Traficom kykenee digitaaliseen viestintään ja reagoimaan uusiin tilanteisiin oikein. Uhreille on juuri avattu tukisivusto. Hyvä @TraficomFinland!
49) @kirsipiha:n hyvän blogipostauksen otsikko olisi voinut olla jopa vielä poleemisempi: "Itsekään yrityksen kannattaisi ajatella muutakin kuin itseään" sillä sisältö kuvasi, miksi vain itseään ajatteleva yritys ei menesty (ainakaan kriisissä.)

ellunkanat.fi/nakemys/artikk…
Vien tämän Mäkin huoltoon, jahka ehdin. Piti toki olla Itsekkään, mutta näppis ei pelaa kuten pitäisi.
50) @Suojelupoliisi antaa @krp_poliisi:lle virka-apua. Aineisto voisi kiinnostaa myös ulkovaltojen tiedustelua.
51) @kirsipiha ja @mikko_kuitunen haluavat muuttaa hyökkäyksen narratiivia: Jos terapiatiedoissa ei ole mitään hävettävää, hyökkääjän arvolasti muuttuu arvottomaksi. mediuutiset.fi/uutiset/nyt-al…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Petri Aukia

Petri Aukia Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!