Tietomurrot ja -turvallisuus

[Deleted member 96894]

Ei kai nyt luottokorttitiedot tuonne tallennu?

Ilmeisesti siis saaneet henkilötunnuksen ja nimen ja osoitetedot + noita potilastietoja.

Kait se vakavin skenaario, että pystyis avaamaan pankkitilin, sais pankkitunnukset tehtyä ja sitten jonkun pikavipin otettua. Mutta ei toi nyt ihan helppoa ole, muutenhan noita olis jo tehty satoja tässä välissä. Onko tehty yhtään?

Niin, kuten sanoin, tiedotettiin että luottokorttitietoja EI vaarantunut, kun kortilla maksanet olivat huolissaan.

On noita tehty. Työtehoseuran tietovuodossa 2011 meni 11 000 ihmisen tiedot, ja niillä on tehtailtu identiteettivarkauksia vielä vuosia myöhemmin. Todennäkösesti noi Vastaamonkin tiedot myydään vastaavaan tarkotukseen ja käytetään sitten pölyn laskeuduttua muutamien vuosien päästä, eikä nyt kun kaikki osaa olla skarppina.

Laajassa petossarjassa käytettiin vuonna 2011 tietomurrossa vuodettuja tietoja

www.satakunnankansa.fi

 

[maltsu]

Niin, kuten sanoin, tiedotettiin että luottokorttitietoja EI vaarantunut, kun kortilla maksanet olivat huolissaan.

On noita tehty. Työtehoseuran tietovuodossa 2011 meni 11 000 ihmisen tiedot, ja niillä on tehtailtu identiteettivarkauksia vielä vuosia myöhemmin. Todennäkösesti noi Vastaamonkin tiedot myydään vastaavaan tarkotukseen ja käytetään sitten pölyn laskeuduttua muutamien vuosien päästä, eikä nyt kun kaikki osaa olla skarppina.

Laajassa petossarjassa käytettiin vuonna 2011 tietomurrossa vuodettuja tietoja

www.satakunnankansa.fi

Hups joo luin huolimattomasti.

MIelenkiintoinen yksityiskohta muuten tuosta jutusta: "Yrityksille aiheutui yli 40  000 euron vahinko, poliisi kertoo."
Eli ilmeisesti tällaisen rikoksen uhri ei niinkään ole se jolta tiedot on viety, vaan se yritys jota huijari pääsee noilla väärillä tiedoilla huijaamaan. Tietty varmaankin muuta vaivaa tulee asiasta, mutta omalta taloudelliselta kantilta katsottuna aika pienet riskit että mitään kävisi ylipäätään + jos kävisi, niin todnäk vastuut menisi väärillä tiedoilla huijatulle yritykselle. AIka pieneksi näpertelyksi jäänyt noinkin suuren määrän tietovuodossa, 40 donaa kaikkinensa, muutama satku per identiteetti jota käytetty, ei se ole kyllä yhtään mitään. Nixun pojat kun muutaman päivän tarkastelee, että mitäs tapahtunu ja tukkii tietovuotoa, niin lasku varmaan 40 000.

 

[Randomnoo]

Kyllähän intiimit, erityisen arkaluontoiset tiedot on loistava kiristyksen väline. Erityisesti kun kyse on ihmisistä jotka ovat tarvinneet apua. Ihminen menee paniikkiin, ahdistuu, pelkää, ihan kaikkea mahdollista omien tietojensa vuoksi. Eihän sillä ole loppujen lopuksi rikollisen näkökulmasta väliä, kuka niitä tietoja lukee kunhan ihminen riittävästi panikoi ja maksaa. Taskurahaa tekijälle. Isommat massit sitten muualta.

 

[Deleted member 96894]

Hups joo luin huolimattomasti.

MIelenkiintoinen yksityiskohta muuten tuosta jutusta: "Yrityksille aiheutui yli 40  000 euron vahinko, poliisi kertoo."
Eli ilmeisesti tällaisen rikoksen uhri ei niinkään ole se jolta tiedot on viety, vaan se yritys jota huijari pääsee noilla väärillä tiedoilla huijaamaan. Tietty varmaankin muuta vaivaa tulee asiasta, mutta omalta taloudelliselta kantilta katsottuna aika pienet riskit että mitään kävisi ylipäätään + jos kävisi, niin todnäk vastuut menisi väärillä tiedoilla huijatulle yritykselle. AIka pieneksi näpertelyksi jäänyt noinkin suuren määrän tietovuodossa, 40 donaa kaikkinensa, muutama satku per identiteetti jota käytetty, ei se ole kyllä yhtään mitään. Nixun pojat kun muutaman päivän tarkastelee, että mitäs tapahtunu ja tukkii tietovuotoa, niin lasku varmaan 40 000.

Mua jotenkin hämmentää, miksi sä haluat painottaa ettei identiteettivarkaudesta voi yksilölle olla juuri mitään haittaa ja suotta olla huolissaan? Ja jos yrityksille tehtiin noiden veijareiden toimesta 40 000 vahingot, millä logiikalla se tarkottaa että vastuu menisi yrityksille eikä uhrille tuu vahinkoa?

Äkkiseltään mua ehkä hiukan harmittais jos mun tiedoilla ois tilattu 500 euron edestä roinaa jostain, vaikka se ois vaan "muutama satku".

 

[Destry]

Ei kai nyt luottokorttitiedot tuonne tallennu?

Ilmeisesti siis saaneet henkilötunnuksen ja nimen ja osoitetedot + noita potilastietoja.

Kait se vakavin skenaario, että pystyis avaamaan pankkitilin, sais pankkitunnukset tehtyä ja sitten jonkun pikavipin otettua. Mutta ei toi nyt ihan helppoa ole, muutenhan noita olis jo tehty satoja tässä välissä. Onko tehty yhtään?

No pankkitiliä ei pysty avaamaan, koska sitä vastaan tarvitaan kyllä vahvempi tunnistautuminen kuin pelkkä sotu. Onneksi.

Eikös henkilötunnuksella pysty tilaamaan monesta verkkokaupasta laskulla tavaraa ? Onko siinä mitään tarkempaa tarkistusta ?

Kyllä pystyy. Lisäksi esim. pikkutoimija Klarna käyttää vain omaa rekisteriään sen sijaan, että tarkistaisi luottotietoja bisnodelta tai asiakastiedolta, eli vaikka on luottokielto, niin Klarna menee läpi - ellei huomaa erikseen tehdä kieltoa sinne.

Lisäksi sotulla pystyy lisäämään henkilön vastuulliseen asemaan yritykseen tai ylipäätään perustamaan yrityksen tämän nimissä, jolloin voi sen avulla tehtailla petoksia. Sotulla ihmisen voi paperisen muuttoilmoituksen avulla muuttaa johonkin valitsemaansa osoitteeseen, jotta pystyy tekemään muita petoksia. Sotun avulla voi alkaa harrastaa turhaa ajanvarailua, josta ei toki hyötyä saa itselleen, mutta kykenee tehtailemaan peruuttamattoman ajan maksuja toisen puolesta. Että sillain. Vippailutkin taitaa onneksi nykyään vaatia vahtaa tunnistautumista verkkopankkitunnuksien avulla.

Ei se nyt todellakaan ja harmi vaan ole pelkästään sitä, että voisiko joku käydä tyhjentämässä pankkitilin.

 

[maltsu]

Mua jotenkin hämmentää, miksi sä haluat painottaa ettei identiteettivarkaudesta voi yksilölle olla juuri mitään haittaa ja suotta olla huolissaan? Ja jos yrityksille tehtiin noiden veijareiden toimesta 40 000 vahingot, millä logiikalla se tarkottaa että vastuu menisi yrityksille eikä uhrille tuu vahinkoa?

Äkkiseltään mua ehkä hiukan harmittais jos mun tiedoilla ois tilattu 500 euron edestä roinaa jostain, vaikka se ois vaan "muutama satku".

Jos vahingon kärsijöinä ovat olleet yritykset, sehän tarkoittaa sitä, että nämä joille identiteetit oikeasti kuuluu, eivät ole näitä ostoksia joutuneet maksamaan, eli ei ole tullut taloudellista haittaa heille, vaan väärällä identiteetillä huijattu yritys on joutunut tappion nielemään.

Esimerkissäsi olleet muutaman sadan huijaukset vertautuu johonkin huutonet/tori huijauksiin. Näistä kun tekee rikosilmoituksen ja tekijäkin saadaan kiinni, niin ohops ei ole oikeusturvaa uhrilla, syytttäjä ei syytä kun tekijä on varaton narkki.

Jos todennäköisyys että joutuu minkäänlaisen huijauksen kohteeksi tällaisen seurauksena on pieni ja vahinkokin menee toiseen osoitteeseen, niin miksi ihmeessä pitäisi ihmisiä saada ahdistumaan turhan päiten, kuinka kauhean kamalasti nyt on käynyt?

Vakavin asiahan tapahtui jo, tämä kyseinen tapaus on nyt sillä tavalla tottakai erilainen, että on kiristetty arkaluontaisilla asioilla ja se on todella vastenmielinen rikos mun mielestä. Toivottavasti tekijä saadaan kiinni ja pistetään ennakkotapauksena lukemaan tiilenpäitä vuosikausiksi.
Samoin saisi hyvän signaalin ja etukäteisvaroituksen jos joku näitä tietoja edelleen pitää hallussaan, ettei tee niillä mitään. Suomen oikeuslaitoksen tuntien kauhistelu vaan loppuu siihen kohtaan ja ehdonalaista ja vapaalle jalalle. Niinkuin monissa todella vakavissa oikeissa rikoksissa, tuoltahan niitä voi lukea "Suomen oikeuden järjettömät päätökset" ketjusta.

 

[Vieraissa]

Lakien kautta on hankala määrittää toteutusta suojaukseen, vaihtoehtoja on paljon samaan lopputulokseen. Tietosuoja-asetus tuon osalta onkin aika ympäripyöreä:

Kyllä kai laissa voitaisiin edellyttää, että henkilötiedot täytyisi tallentaa salakirjoitettuna. Tarkemman teknisen toteutuksen valitseminen voisi jäädä tietoja ylläpitävälle taholle. Huono salakirjoitus ei tee selkokielisestä informaatioesta turvallisempaa, mutta tällä vaatimusella saataisiin varmasti nykyistä parempi lopputulos.

niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä

Vaikuttaa siltä, ettei esim. tämä ole Vastaamon tapauksessa toteutunut, Saako yritys tästä lain/asetuksen nojalla rangaistuksen? Toisaalta mikäli lakia/asetusta rikotaan, on hassua, ettei asiasta ole ilmoitusvelvollisuutta (perustunee itsekriminointisuojaan).

 

[Vieraissa]

Olen kerran varannut ajan Vastaamon kautta...

Melko karu setti.

 

[Vieraissa]

Tällä hetkellä moni uskoo kiristäjän olevan suomalainen tai toimivan yhdessä suomalaisen kanssa. Varmuutta asiasta ei kuitenkaan ole.

Mielestäni olisi aika outoa, ellei tapauksessa olisi mukana suomalaista toimijaa. On kaapattu suomenkielistä dataa ja kiristetään suomalaisia (ymmätääkseni) suomeksi.

 

[Max131]

Toisaalta mikäli lakia/asetusta rikotaan, on hassua, ettei asiasta ole ilmoitusvelvollisuutta (perustunee itsekriminointisuojaan).

Nykyään voimassa oleva EU:n tietosuoja-asetushan velvoittaa ilmoittamaan tietomurrosta viipymättä. En jaksa nyt ruveta googlaamaan, mitä kaikkea tuo ilmoitusvelvollisuus piti sisällään, mutta löytynee googlella. Aikaisemmassa duunissa piti tehdä pientä selvitystä, että mitä kaikkea pitää jatkossa miettiä, kun alettiin siirtymään tuon piiriin.

Ja kyseinen tietosuoja-asetus mahdollistaa nykyään aika rankat sakot, jos omia velvoitteita ei ole hoidettu. Tää Vastaamon keissi taisi vaan olla vielä sitä aikaa, kun tietosuoja-asetus ei ollut vielä astunut voimaan.

 

[Vieraissa]

Eihän sillä ole loppujen lopuksi rikollisen näkökulmasta väliä, kuka niitä tietoja lukee kunhan ihminen riittävästi panikoi ja maksaa.

Kiristyksessä on ongelmana se, ettei maksaminen välttämättä auta. Vai olisiko kiristäjä niin rehti, että toimisi, kuten lupaa? Vai laittaisiko uuden kiristysviestin edellisen suorituksen vastaanotettuaan?

 

[Vieraissa]

EU:n tietosuoja-asetushan velvoittaa ilmoittamaan tietomurrosta viipymättä. En jaksa nyt ruveta googlaamaan, mitä kaikkea tuo ilmoitusvelvollisuus piti sisällään, mutta löytynee googlella. Aikaisemmassa duunissa piti tehdä pientä selvitystä, että mitä kaikkea pitää jatkossa miettiä, kun alettiin siirtymään tuon piiriin.

Nykyään kun kyseinen tietosuoja-asetus sitoo yrityksiä, niin se mahdollistaa aika rankat sakot, jos omia velvoitteita ei ole hoidettu. Tää Vastaamon keissi taisi vaan olla vielä sitä aikaa, kun tietosuoja-asetus ei ollut vielä astunut voimaan.

Olin tällä kannalla myös, mutta aiemmin tekemälläni pikaisella haulla en tietoa löytänyt. Parempaan suuntaan on menty!

 

[Destry]

Melko karu setti.

En valitettavasti osaa nyt tulkita, että onko kokonaisuus karu (=yksi peruttu varaus aiheuttaa tämän shown) vai jotain kevyttä ttuilua tuosta "kerran varasin"?

Nykyään voimassa oleva EU:n tietosuoja-asetushan velvoittaa ilmoittamaan tietomurrosta viipymättä. En jaksa nyt ruveta googlaamaan, mitä kaikkea tuo ilmoitusvelvollisuus piti sisällään, mutta löytynee googlella. Aikaisemmassa duunissa piti tehdä pientä selvitystä, että mitä kaikkea pitää jatkossa miettiä, kun alettiin siirtymään tuon piiriin.

Ja kyseinen tietosuoja-asetus mahdollistaa nykyään aika rankat sakot, jos omia velvoitteita ei ole hoidettu. Tää Vastaamon keissi taisi vaan olla vielä sitä aikaa, kun tietosuoja-asetus ei ollut vielä astunut voimaan.

GDPR astui voimaan toukokuussa 2018 eli oli voimassa syksyllä 2018, jolloin murto on tapahtunut.

 

[Max131]

GDPR astui voimaan toukokuussa 2018 eli oli voimassa syksyllä 2018, jolloin murto on tapahtunut.

Joo, näin se taitaa olla. Meikäläisen ajantaju hukassa. Kyllä niitä sitten voi odottaa vähän isompikin lasku, ja aika kovalla riskillä on menty, jos ovat olleet tietoisia tietovuodosta, mutta eivät ole asiasta minkään sortin ilmoitusta tehneet.

Ja 2019 vuodelta jossain hallituksen kokouksen pöytäkirjassa vai mikä dokkari se julkisuuteen oli päätynytkään, oli tuumattu, että pitäs varmaan vähän päivittää tuota tietojärjestelmää :D

 

[Destry]

Joo, näin se taitaa olla. Meikäläisen ajantaju hukassa. Kyllä niitä sitten voi odottaa vähän isompikin lasku, ja aika kovalla riskillä on menty, jos ovat olleet tietoisia tietovuodosta, mutta eivät ole asiasta minkään sortin ilmoitusta tehneet.

Ja 2019 vuodelta jossain hallituksen kokouksen pöytäkirjassa vai mikä dokkari se julkisuuteen oli päätynytkään, oli tuumattu, että pitäs varmaan vähän päivittää tuota tietojärjestelmää :D

Jossain olin lukevinani, että eivät muka ilmoittaneet, koska poliisitutkinta, mutta siinä on ehkä puurot ja vellit sekaisin. Samaten joku juttu pyöri esille, jossa tietoturvan budjetti olisi ollut 119 euroa joltain vuodelta tms. yhtä naurettavaa. Pakko olla vitsi, pakko.

Mutta jos koko systeemi on TJ:n itse kyhäilemä ja sisään pääsee root\root, niin ei kai siinä sitten...

 

[Vieraissa]

En valitettavasti osaa nyt tulkita, että onko kokonaisuus karu (=yksi peruttu varaus aiheuttaa tämän shown) vai jotain kevyttä ttuilua tuosta "kerran varasin"?

Oli pelkkää asiaa, vailla tarvetta tulkinnoille. Pidän arkielämään kuuluvien käytäntöjen kohtuutonta hankaloitumista karuna.

 

[Vieraissa]

Samaten joku juttu pyöri esille, jossa tietoturvan budjetti olisi ollut 119 euroa joltain vuodelta tms. yhtä naurettavaa. Pakko olla vitsi, pakko.

Olisiko hankittu kaupallinen virustorjuntaohjelmisto?

 

[Randomnoo]

Kiristyksessä on ongelmana se, ettei maksaminen välttämättä auta. Vai olisiko kiristäjä niin rehti, että toimisi, kuten lupaa? Vai laittaisiko uuden kiristysviestin edellisen suorituksen vastaanotettuaan?

Eihän tällä ole mitään merkitystä. Hädässä ja paniikissa oleva ihminen maksaa ”pari sataa siitä ettei vaan mun raiskaustarinat leviä nettiin” ennen kuin ajattelu ehtii puuttua peliin.

 

[Vieraissa]

Eihän tällä ole mitään merkitystä. Hädässä ja paniikissa oleva ihminen maksaa ”pari sataa siitä ettei vaan mun raiskaustarinat leviä nettiin” ennen kuin ajattelu ehtii puuttua peliin.

Rikolliselle ei, uhrille on, koska ongelma ei ratkea maksamalla.

Tietoturvamurrossa yritys on "uhri" ja häpeän kohde, mikäli on toiminut piittaamattomasti, huolimattomasti tms. Tässä keississä tietysti kaapattu data on muille osapuolille arkaluontoista ja he ovat vielä enemmän uhreja.

(OT. Miksi muun rikoksen, vaikkapa perheväkivallan, uhri häpeää? Häpeä kuuluisi sinne rikolliselle osapuolelle.)

 

[RSH]

Kyllä kai laissa voitaisiin edellyttää, että henkilötiedot täytyisi tallentaa salakirjoitettuna. Tarkemman teknisen toteutuksen valitseminen voisi jäädä tietoja ylläpitävälle taholle. Huono salakirjoitus ei tee selkokielisestä informaatioesta turvallisempaa, mutta tällä vaatimusella saataisiin varmasti nykyistä parempi lopputulos.

Tallentaminen on vain osa henkilötietojen käsittelyä. Salakirjoitettu tallennus ei itsessään suojaa vielä mitään jos käsittely ei ole suojattuna läpi pinon. Jollain avaimella se salakirjoituskin avataan. Henkilötunnuksen tai salasanan tiivisteenä tallentaminen ei ole myöskään aivan jokaisessa käyttötapauksessa mahdollista.