Tapaus Vastaamo
Keskustelua tietoturvasta ja varmuuskopioinnista Mac-, iPhone- ja iPad -käyttäjien näkökulmasta
Re: Tapaus Vastaamo
Vielä noista pilvipalveluista: office 365 tarjoaa sellaista tiedostoille (en luota) mutta Box.com esittää luotettavaa ja käyttää kaksivaiheista tunnistusta. Käyttäisittekö sitä luottamuksellisten tietojen tallentamiseen (esim. asiakasrekisterin varmuuskopio tms.)?
Kiitän etukäteen.
Kiitän etukäteen.
Re: Tapaus Vastaamo
Viesti Kirjoittaja homenamsi »
Jos pystyt varmistumaan siitä, että tieto pilvessä säilytetään salattuna niin vääriin käsiin joutunut tieto ei ole käytännössä hyödynnettävissä. Tai hoidat salauksen tai purkamisen itse. macOS:n FileVault tekee tämän jos palvelun laittaa päälle.
Tietoliikenteenkin on varminta sujua salaavalla protokollalla.
Yleisesti ottaen pilvipalveluiden tietosuoja on oleellisesti paremmalla tolalla kuin omassa hallinnassa olevien koneiden.
Tietoliikenteenkin on varminta sujua salaavalla protokollalla.
Yleisesti ottaen pilvipalveluiden tietosuoja on oleellisesti paremmalla tolalla kuin omassa hallinnassa olevien koneiden.
Viimeksi muokannut homenamsi, 28.10.2020 klo 10.28. Yhteensä muokattu 1 kertaa.
Re: Tapaus Vastaamo
Microsoft ottaa tietoturvan (etenkin pilvessä) todella vakavasti, luottaisin kyllä siihen paljon enemmän kuin johonkin no-name box.comiin josta en ole ikinä edes kuullutkaan ennen tätä päivää.
Kaikki pilvipalvelut ovat kuitenkin ihan samalla tavalla murrettavissa, mutta vainoharhaiseksi ei kannata ryhtyä oman autotallifirman muistiinpanojen vuoksi, noita samoja palveluita kun käyttää ihan kansainväliset miljardiluokan yrityksetkin joiden tieto lienee "pikkaisen" arvokkaampaa rikollisten keskuudessa
Kaikki pilvipalvelut ovat kuitenkin ihan samalla tavalla murrettavissa, mutta vainoharhaiseksi ei kannata ryhtyä oman autotallifirman muistiinpanojen vuoksi, noita samoja palveluita kun käyttää ihan kansainväliset miljardiluokan yrityksetkin joiden tieto lienee "pikkaisen" arvokkaampaa rikollisten keskuudessa
Viimeksi muokannut Jultsu, 28.10.2020 klo 10.55. Yhteensä muokattu 1 kertaa.
Re: Tapaus Vastaamo
Viesti Kirjoittaja homenamsi »
Jos kyseessä on sellaisten henkilötietojen tallennus, joita koskee EU:n yleinen tietosuoja-asetus GDPR niin yksi vaatimus on se, että tietojen fyysinen säilytys tapahtuu EU:n alueella.
Tähän ovat ainakin Amazon ja Google sitoutuneet, ts. heidän EU-asiakkaittensa tiedot säilytettäisiin EU:n alueen datakeskuksissa. Todennäköisesti muutkin isot toimijat.
Kannattaa ainakin tarkistaa tämä jos on kyse yrityskäytöstä.
Tähän ovat ainakin Amazon ja Google sitoutuneet, ts. heidän EU-asiakkaittensa tiedot säilytettäisiin EU:n alueen datakeskuksissa. Todennäköisesti muutkin isot toimijat.
Kannattaa ainakin tarkistaa tämä jos on kyse yrityskäytöstä.
Re: Tapaus Vastaamo
Hyvä pointti.
Jos "autotallifirmoilla" tarkoitetaan tässä yhteydessä muutakin kuin konkreettisesti autotallissa toimivaa yritystä jossa korjataan esim. kulkuneuvoja tai kodinkoneita niin yrityksen rekistereissä ja kirjauksissa voi olla tuhansien ihmisten henkilökohtaisia tietoja: muitakin kuin nimä ja hetuja.
Luulen että moni yksityinen lääkäriasema ja psykoterapeutti pähkäilee juuri nyt näiden asioiden kanssa. Vastaamokaan ei ollut miljardiluokan yritys mutta mitä ilmeisemmin sen tietoturva oli hoidettu erittäin huonosti eli siksi huono kohtalo.
Jos "autotallifirmoilla" tarkoitetaan tässä yhteydessä muutakin kuin konkreettisesti autotallissa toimivaa yritystä jossa korjataan esim. kulkuneuvoja tai kodinkoneita niin yrityksen rekistereissä ja kirjauksissa voi olla tuhansien ihmisten henkilökohtaisia tietoja: muitakin kuin nimä ja hetuja.
Luulen että moni yksityinen lääkäriasema ja psykoterapeutti pähkäilee juuri nyt näiden asioiden kanssa. Vastaamokaan ei ollut miljardiluokan yritys mutta mitä ilmeisemmin sen tietoturva oli hoidettu erittäin huonosti eli siksi huono kohtalo.
Re: Tapaus Vastaamo
Viesti Kirjoittaja homenamsi »
Toivottavasti tämän jutun jälkimainingeissa saataisiin Suomeen vihdoin käyttökelpoinen v iranomaisten hallinnoima henkilön sähköinen tunnistus, joka kelpaisi Kelallekin ja pankeille.
Erikoista tämä pelleily pankkipalvelutunnusten kanssa jos haluaa käyttää jotain julkishallinnonkin palvelua.
Mobiilivarmennekin on Telian käsissä.
Vähenisi henkilötunnusten holtiton kysely ja viljely.
[Esimerkiksi tytär ei saanut taannottain tilatuksi pesukoneen asennusta ilman henkilötunnuksen kertomista.]
Erikoista tämä pelleily pankkipalvelutunnusten kanssa jos haluaa käyttää jotain julkishallinnonkin palvelua.
Mobiilivarmennekin on Telian käsissä.
Vähenisi henkilötunnusten holtiton kysely ja viljely.
[Esimerkiksi tytär ei saanut taannottain tilatuksi pesukoneen asennusta ilman henkilötunnuksen kertomista.]
Viimeksi muokannut homenamsi, 29.10.2020 klo 10.21. Yhteensä muokattu 3 kertaa.
Re: Tapaus Vastaamo
"Autotallifirmoilla" tarkoitan nyt suhteellisen pieniä ja tuntemattomia tekijöitä, esim. jokin paikallinen Tohtori Tolosen psykoklinikka voi hyvinkin pyörittää miljoonaluokan liikevaihtoa muutamalla korkean profiilin asiakkaalla, mutta jos asiakkuudet eivät ole julkisessa tiedossa, ei herra Tolosen konetta pystytä yksilöimään rikollisliigojen toimesta mitenkään erityisen tärkeäksi, jolloin se saa saman peruskäsittelyn kuin kaikki muutkin miljardit internetiin kytketyt koneet eli tyypilliset porttiskannaukset ja oletusadmintunnuksilla kirjautumisyritykset.
Re: Tapaus Vastaamo
Pienyritys voi pitää asiakastietoja erillisellä koneella, joka ei ole missään yhteydessä mihinkään muualle. Satasen läppäri ajaa asian täysin. Lisäksi se on helppo jemmata johonkin turvalliseen paikkaan. ja jos se kerran on saatu toimimaan niin sitä ei tarvitse ikinä edes päivittää. Siinäkin voi vielä käyttää erillistä muistitikkua tiedostojen säilyttämiseen. Se tikku sitten jätetään kotimatkalla baaritiskille . . .
Vähän sama kuin mulla on vanha IBM T41 WIN XP kone, jossa tasan yksi ohjelma. kaivetaan esille tarvittaessa. Eikä mennä verkkoihin.
Jos joskus pitää printata sieltä jotain, niin tulostin piuhalla kiinni ja menoksi.
Sopii siis sellaisille, joiden työajasta vain murto-osa menee koneilla ja muuten tehdään jotain muuta.
Vähän sama kuin mulla on vanha IBM T41 WIN XP kone, jossa tasan yksi ohjelma. kaivetaan esille tarvittaessa. Eikä mennä verkkoihin.
Jos joskus pitää printata sieltä jotain, niin tulostin piuhalla kiinni ja menoksi.
Sopii siis sellaisille, joiden työajasta vain murto-osa menee koneilla ja muuten tehdään jotain muuta.
Studer 980 - 169 - ReVox T-26 - C270 - 274 - 278 - 279 - AKG-BX5 - MBHO kaikki mallit - Guild F512 - F50R - F212 - B30 - X-2000 Nightbird - S60D - 2x Songbird - OM-240CE - Gibson3/4 - Schecter Stratocaster - DeArmond M-55
Re: Tapaus Vastaamo
Sähköinen asiakas/potilasjärjestelmähän pitää lain mukaan olla tänä päivänä ymmärtääkseni yhteydessä Kanta-palveluun? Eikös se poissulje tuon Internetistä eristetyn tietokoneen käyttämisen?
Paperinen potilaskortisto tietysti kävisi varmaan, sehän ei olisi altis kuin fyysiselle murtautumiselle säilytystiloihin...
Paperinen potilaskortisto tietysti kävisi varmaan, sehän ei olisi altis kuin fyysiselle murtautumiselle säilytystiloihin...
Mac Pro x 2, Mac Mini, Macbook Air M1, Macbook Pro, LED Cinema Display x 2
Airport Extreme, Airport Express x 3, AppleTV x 2
iPhone 12 Mini, iPad 1, iPad Mini, Apple Watch (20.11.2020)
Airport Extreme, Airport Express x 3, AppleTV x 2
iPhone 12 Mini, iPad 1, iPad Mini, Apple Watch (20.11.2020)
Re: Tapaus Vastaamo
Viesti Kirjoittaja homenamsi »
En osaa sanoa mikä on vaatimus Kanta-palvelun tietojen ajantasaisuudelle mutta ymmärtääkseni mikään potilastietojärjestelmä ei ole siihen ajantasayhteydessä. Perusjärjestelmät tuottavat siirtotiedostoja, jotka sitten jollain rytmillä lähetetään Kantaan.
Erillinen kone, siirtotiedosto ulkoiselle taltiolle ja kerran viikossa Kantaan muuta kautta saattaa hyvinkin täyttää vaatimukset.
Erillinen kone, siirtotiedosto ulkoiselle taltiolle ja kerran viikossa Kantaan muuta kautta saattaa hyvinkin täyttää vaatimukset.
Re: Tapaus Vastaamo
Riippuu varmaan minkälaisesta hoidosta on kyse. Toisissa riittää, että on kirjattu asioita tarpeellinen määrä - vaan ei liikaa. Ja ne on pystyttävä esittämään tarvittaessa. Mihinkään niitä ei lähetetä koskaan automaattisesti.
VALVIRAn sivuilta löytyy lisää tietoa.
https://www.valvira.fi/-/psykoterapeuti ... amerkinnat
Psykoterapiassahan on huomattava, että kun somaattisella puolella kuka tahansa voi jatkaa murtuneen raajan hoitoa - niin terapeutin vaihtuessa kaikki alkaa alusta. Joten muistiinpanoja ei edes tarvita niin paljon.
VALVIRAn sivuilta löytyy lisää tietoa.
https://www.valvira.fi/-/psykoterapeuti ... amerkinnat
Psykoterapiassahan on huomattava, että kun somaattisella puolella kuka tahansa voi jatkaa murtuneen raajan hoitoa - niin terapeutin vaihtuessa kaikki alkaa alusta. Joten muistiinpanoja ei edes tarvita niin paljon.
Studer 980 - 169 - ReVox T-26 - C270 - 274 - 278 - 279 - AKG-BX5 - MBHO kaikki mallit - Guild F512 - F50R - F212 - B30 - X-2000 Nightbird - S60D - 2x Songbird - OM-240CE - Gibson3/4 - Schecter Stratocaster - DeArmond M-55
Re: Tapaus Vastaamo
Viesti Kirjoittaja Matkamies »
Ehkä tuohon voisi vielä lisätä muutaman riskitekijän.
Ohjelmisto oli perustajan pojan ihan itse tekemä. Pojasta tuli sitten yrityksen toimari. Tämä varmaankin lisää työntekijöiden intoa raportoida puutteista.
Kyse oli kasvuyrityksestä. Tili saatiin myymällä se sopivassa vaiheessa pois. Tämä taas varmaankin lisää toimarin intoa kuunnella raportteja puutteista.
Ohjelmisto oli perustajan pojan ihan itse tekemä. Pojasta tuli sitten yrityksen toimari. Tämä varmaankin lisää työntekijöiden intoa raportoida puutteista.
Kyse oli kasvuyrityksestä. Tili saatiin myymällä se sopivassa vaiheessa pois. Tämä taas varmaankin lisää toimarin intoa kuunnella raportteja puutteista.
Historiaa: Plus, Se, Ci, PB160, Duo230, LC475, Mac mini 2007, MacBook mid-2009 ja pari ei-Apple-macciä, iPhonet 4, 4s, 5, 5s 6s, 7, SE, iPad 3 ja 4, AW0
Re: Tapaus Vastaamo
Tohtori Tolosella (joka muuten oikeasti pyörittää hivenainebisnestä) on tod näk osakeyhtiö jonka miljoonaluokan liikevaihdon kuka tahansa näkee maksutta netistä.Jultsu kirjoitti:"Autotallifirmoilla" tarkoitan nyt suhteellisen pieniä ja tuntemattomia tekijöitä, esim. jokin paikallinen Tohtori Tolosen psykoklinikka voi hyvinkin pyörittää miljoonaluokan liikevaihtoa muutamalla korkean profiilin asiakkaalla, mutta jos asiakkuudet eivät ole julkisessa tiedossa, ei herra Tolosen konetta pystytä yksilöimään rikollisliigojen toimesta mitenkään erityisen tärkeäksi, jolloin se saa saman peruskäsittelyn kuin kaikki muutkin miljardit internetiin kytketyt koneet eli tyypilliset porttiskannaukset ja oletusadmintunnuksilla kirjautumisyritykset.
Sähköisestä tallennuksesta: Vastaamolla oli, kuten hyvin tiedämme, ”sähköinen” potilasarkisto mutta ei ollut Kannassa koska ei ollut pakko olla (ns B-luokka).
Re: Tapaus Vastaamo
Kyllä, mutta netistä et näe mitä ip-osoitetta herra Tolosen kotikone käyttää. Se vaatii manuaalista työtä, jonkinsortin sosiaalista manipulointia tai muuta kohdennettua viestintää, jotta herra Tolonen saadaan esim. klikkaamaan jotain linkkiä sähköpostistaan joka paljastaisi rikollisille hänen koneensa ip-osoitteen, jotta sinne voidaan sitten keskittää ja kohdentaa tietomurtoon käytössä olevat ohjelmistot / henkilöstöt / muut voimavarat.Lseppo1 kirjoitti:Tohtori Tolosella (joka muuten oikeasti pyörittää hivenainebisnestä) on tod näk osakeyhtiö jonka miljoonaluokan liikevaihdon kuka tahansa näkee maksutta netistä.
edit. olettaen siis, että jostain muualta on ensin saatu semiluotettavaa tietoa siitä, että herra Tolonen olisi tarjonnut esim. Sauli Niinistölle / Teemu Selänteelle / Jussi Halla-aholle psykoterapiaa ja hänen arkistoistaan löytyisi täten jotain arkaluontoista materiaalia jolla lähteä kiristämään noita herroja.
Viimeksi muokannut Jultsu, 3.11.2020 klo 11.29. Yhteensä muokattu 1 kertaa.
Re: Tapaus Vastaamo
Vastaamon tapauksessa ei kiristetty merkkihenkiöillä eikä pääasiassa merkkihenkilöitä vaan ensisijaisesti tietomassalla, kymmenien tuhansien ihmisten tiedoilla. Myös pari kertaa käyneet tavikset saivat kiristysviestin henk. koht.
Joku voisi yrittää kiristää muutaman sadan ihmisen tiedoillakin jos tietoturva on huonosti hoidettu. Mutta luultavasti olet oikeassa siinä että jos murtautuminen vaatii kovan työn (ilmeisesti IP-osoitteen selvittäminen vaatii sitä?), ei tuota viitsitä tehdä muutaman tuhannen euron takia.
Joku voisi yrittää kiristää muutaman sadan ihmisen tiedoillakin jos tietoturva on huonosti hoidettu. Mutta luultavasti olet oikeassa siinä että jos murtautuminen vaatii kovan työn (ilmeisesti IP-osoitteen selvittäminen vaatii sitä?), ei tuota viitsitä tehdä muutaman tuhannen euron takia.
Re: Tapaus Vastaamo
Olen tässä yrittänyt tuoda pelkästään sitä faktaa esille, että yksittäisen "satunnaisen" yrittäjän ei tarvitse pelästyä tällaisista tietomurroista, näitä murtoja kun tulee 99.9999% tapauksissa juuri näillä kämmäilyillä että jätetään portteja auki, vakiosalasanoja käyttäjätunnuksille yms yms. eli kyseessä ei ole mitenkään henkilökohtainen / kohdennettu hyökkäys.
Sitten jos oikeasti jollain rikollisliigalla on halu ja tarve murtautua sinne Tohtori Tolosen kirjanpitoon, sinne kyllä sitten mennään vaikka olisi maailman parhaat virustorjuntasovellukset ja palomuurit yms. härpättimet.
Sitten jos oikeasti jollain rikollisliigalla on halu ja tarve murtautua sinne Tohtori Tolosen kirjanpitoon, sinne kyllä sitten mennään vaikka olisi maailman parhaat virustorjuntasovellukset ja palomuurit yms. härpättimet.
Palaa sivulle “Tietoturva ja varmuuskopiointi”
Hyppää
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit