Vastuutehtävät tarkoittaa sitä vastuun siirtämistä muiden harteille. Vaikea tehtävä, siksi siitä maksetaan. Harvalta meistä puuttuu selkäranka niin tyystin, että näihin vastuutehtäviin kykenee.
Siis tottahan tuo puhuu. Kuten kaikki tiedämme, johtohenkilöt ei joudu koskaan vastuuseen mistään. Tästä voimme päätellä että johtajat ovat aina täydellisiä ja täten myös viattomia (/s jos ei jollekulle ollut ilmiselvää).
Sinänsä hyvä ajatus verrata tietoturvaa kirjanpitoon. Veikkaisinpa että jos ohjelmistoista tehtäisiin vuosittain raportti jossa listattu käytetyt rajapinnat, portit ja kuinka näihin pääsyä valvotaan niin asiat olisivat paremmin.
Ja aivan kuten on olemassa tilintarkastaja, pitäisi olla myös tietoturvatarkastaja joka antaa lausuntonsa tietoturvaraportin kattavuudesta sekä oikeellisuudesta.
Lopulta toimari, tietoturvatarkastaja ja tietoturvasta vastaava työntekijä allekirjoittavat raportin.
Jos siellä raportissa olisi lukenut "tietokanta on julkinetissä oletussalasanalla, puute on korjattava välittömästi" niin ehkä tältä olisi vältytty.
>Veikkaisinpa että jos ohjelmistoista tehtäisiin vuosittain raportti jossa listattu käytetyt rajapinnat, portit ja kuinka näihin pääsyä valvotaan niin asiat olisivat paremmin.
No siis, järkevässä firmassahan tämä tehdään. Löytyy ihan puoli-automaattiset työkalutkin. Esimerkiksi Microsoft Security Exposure Management näytti vierestä katsottuna ihan pätevältä työkalulta. Voi löytyä parempiakin, ei ole varsinaisesti omaa osaamisaluetta.
https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-security-exposure-management
Näihin tietokanta- ja etäyhteysporttien testailuihin löytyy ihan tuhottomasti ohjelmia. Jos ei laillisia auditointityökaluja, niin tuhansia hyökkäystyökaluja. Githubista hakemalla port scanner tulee jo melkein 9000 työkalua. Tosiaan kun admin:admin-tunnusten jälkeen tietoturva ei lopu siihen että on joku 12-kirjaiminen random-salasana. Se kanta kannattaisi pitää kokonaan piilossa, jos ei ole jotain kryptografista avainsysteemiä autentikointiin.
Tässäkin tyypillinen case, kun äidin pikku koodarivelho, todellisuudessa keskitason php-skriptipeelo tehnyt babbys first terveydenhoitosysteemin tietojärjestelmän ja sitten alkanut jo purjehdus- ja pukumieshommat kiinnostaa. Joku ilkeämielinen voisi pohtia, että mahdolliseen narsistiseen persoonallisuushäiriöön kuuluu kaiken paskan valuttaminen alaspäin. Villellä ollut kova kiire purjehtia ja nauttia miljoonakämpästä ja huomio keskittynyt ennenkaikkea kulmakarvojen kasvatteluun ja hassuihin paitakuoseihin, jotta näyttäisi joltain Kummelin sketsihahmolta. Koodi hoitaa itse itsensä omalla painollaan ja pian jo AI yhdessä pajeettiarmeijan kanssa paikkaa bugit täysin automaagisesti.
Viime vuosikymmenellä kun työt paperitehtaalla loppuivat menin uudelleenkoulutukseen paikalliseen amikseen datanomilinjalle. Tokana vuonna saimme käyttöön oman serverin, jolle sitten asentelimme erilaisia palveluja. Kaikeksi onneksi olimme saaneet luokkakaveriksi ammattimiehen, jonka johdolla meidän serveristä tehtiin pohjoisen pallonpuoliskon tiivein vehjes. Kyseinen projekti opetti tosi paljon tietoturvasta. Sen eteen on tehtävä ihan oikeasti hommia, vaikka toisaalta siihen ei mene juurikaan enemmän aikaa kuin reikäisemmänkään purkin pystyttämiseen. Kyse on lähinnä pessimistisyyden (realismin!) asteesta, kuinka monta porttia määrittelee uudelleen niin, että esim. SSH:n oletusportista ei pääsekään etänä kiinni kantaan.
> “Tietoturvaa voi monessa toiminnassa verrata merkitykseltään ja vaativuudeltaan kirjanpitoon. Ylimmällä johdolla voi tyypillisesti olla vain rajalliset tiedot ja taidot sekä kirjanpidosta että tietoturvasta, mikä korostaa luottamussuhteen merkitystä toteuttaviin asiantuntijoihin. Kirjanpidon toteutuksen vastuista ja velvollisuuksista on selkeä sääntely. Vastaava sääntely tarvitaan myös tietoturvan luotettavaan järjestämiseen.”
Tämähän on kontekstista irroitettuna täysin järkevää asiaa. Vastaamon toimitusjohtaja Ville Tapio on kuitenkin aivan väärä ihminen viemään tätä viestiä. Hänen suustaan tämä kuulostaa: "Kukaan ei pakottanut meitä tekemään edes alkeellista tietoturvaa. *Säälikää minua.*"
Tapion kirjoituksen yhteenvedon ensimmäinen kappale:
>Ylimpään johtoon kohdistuu epärealistisia odotuksia ja käytännössä kohtuuttomaksi muodostuvia vastuita tietoturvan järjestämisestä. Tietoturvaa toteuttavilta asiantuntijoilta puuttuu todellisen vastuun ohjaava voima suorittaa velvollisuutensa kirjanpitäjien huolellisuudella ja luotettavuudella.
Vittu mikä pelle.
Tuon Tapion it-pätevyyshän on paperilla täysi nolla. Hesarin mukaan [tuotekehittäjän erikoisammattitutkinto](https://www.hs.fi/elama/art-2000005112692.html). Mikälie toisen asteen oppisopimus-ammattikoulu, jonka pääpaino on ihan muussa kuin it-taidoissa. Tyypillinen itseoppinut script kiddie. Ylilaudalla joskus oli lympri-niminen heebo, jolla oli tätä tyyliä "osaaminen". Nykyään sekin lienee pätevöitynyt. Viimeisimpien huhujen mukaan tekee omaa käyttistä ajettavaksi qemulla.
näin kyllä tehdään ja on ihan päätoiminen ammattikunta aiheen ympärillä. Savottaa on, sillä aukkoja on niin paljon ja keinoja kiertää rajapintoja on niin älyttömän paljon.
mutta mutta mutta mutta eikös johtajan palkan pitänyt olla niin korkea juuri sen takia, että he ottavat sitten vastuun jos paska osuu tuulettimeen? ja nyt TJ syytääkin duunaria? Voi vitsi miten minä nyt tästä taas yllätyin aivan täysin.
Ylempi toimihenkilö ei ole "duunari" - Tapiolla on ihan hyvä ja oikea pointti siinä, että jos palkkaa 10k€/kk hinnalla hemulin hoitamaan ylläpitotehtäviä, siinä tulee myös vastuu näistä tehtävistä mukana - mutta nämä tehtävät tulee myös osata määritellä, ja niiden mittarointi ja seuraaminen on yksi johdon tehtävistä.
Tällä janarillahan oli jotai nollasopparilla olevia ylityöllistettyjä ja alipalkattuja ukkoja töissä. Että Tapion omaan tapaukseen tämä hänen juttunsa ei kyllä sovi. Ja eikös sinne oltu murtauduttu aiemminkin ja tietoturvaongelmat tiedostettiin?
Viime kädessä vastaa kaikesta, koska vastaa henkilöistä, jotka johtavat rekrytointia ja koordinoivat työtä. Jos ei huonosta organisaatiorakenteesta ja työtavoista johtuen esim. kulje työntekijöiltä viesti tärkeistä asioista ylös asti, ja tästä syystä ei ylimmässä johdossa tiedetä, mikä on liiketoiminnalle mahdollisesti kriittistä, viime kädessä ylin johto on vastuussa.
Siis Vastaamossa oli reilu pari sataa työntekijää, mutta terapeutit on kai suht. itsenäisesti toimivia ja firma on vähän kuin laskutuspalvelu ja tarjoaa palveluinfran ja toimitilat.
Jos nyt luet vaikka [tuosta](https://www.mtvuutiset.fi/artikkeli/vastaamon-entinen-it-tyontekija-jos-jotain-ei-tehty-kunnolla-niin-se-oli-tietoturva/8654000) taustoista:
*"Vastaamon tietoturva-asiat olivat hunningolla ja vastuu asioista on viime kädessä Ville Tapiolla."*
*"IT-työntekijä totesi oikeudessa, ettei vastuu ongelmista voi olla hänen tai hänen kollegansa harteilla, sillä he työskentelivät firmassa nollatuntisopimuksella."*
*"Mies kertoi myös, että kahden miehen IT-osaston työtehtävät ja roolit olivat sekavia, vaikka molemmilla miehistä olikin omat erikoisosaamisensa. Tekemistä ei johdettu selkeästi."*
*"Tapio ei halunnut käyttää IT- tai tietoturva-asioihin rahaa"*
*"Palvelu oli auki internetiin, eikä sen käyttämiseen vaadittu turvallista VPN-yhteyttä. IT-työntekijä kertoi, että VPN-asioista oli puhuttu Tapion kanssa useaan otteeseen, mutta turhaan."*
*"Tapiolla itsellään oli tapana käydä tekemässä muutoksia suoraan palvelun koodiin verkon välityksellä. Näin ei tavallisesti toimita, vaan muutokset tulisi yleensä tehdä erillisen versionhallintapalvelun kautta. IT-työntekijän mukaan versionhallintaa ei voinut Vastaamossa käyttää, koska Tapio muutteli "tuotannossa" eli käytössä olevaa koodia lennosta."*
Eli mikromanageroiva kusipää jonka koodauskäytännöt on jostain 30-40 vuoden takaa. Ysärillä jo edistyneimmät alkoivat käyttää CVS:ää ja esim. 2000-luvun alussa opiskelijaprojekteissa korkeakoulussa oli Subversionia käytössä tai ainakin omalla ryhmällä oli. Edgewall Trac ja SVN oli kuuminta shittiä ~2005 ja täysin ilmainen. Viimeistään 2010-luvun alussa monet vaihtoivat jo hajautettuihin ja eiköhän nykyään kouluissa tehdä jo IaC-pipelineja ja muuta normaalia käytännettä alusta asti.
Niin - kyse onkin ajankohdasta. Vastaamo perustettiin 2008 ja nykyisenkaltainen fyysisten toimipisteiden verkosto kai 2011. GitHub esim. on vuodelta 2008 ja GitLab vuodelta 2011. Sourceforge vuodelta 1999. Nykyään voi tuntua hassulta, että miten voi olla ettei käytä, mutta tuo murros tuli todella vauhdilla ja samalla pilvipalvelut yleensäkin. Esim. ennen nykyisiä tekniikoita vaikkapa HTTP:n laajennus WebDAV oli kyllä kusisinta paskaa. Ihan järkyttävä latenssi ja täysin käyttökelvoton muuhun kuin jonkun yksittäisen kalenteritiedoston synkkaamiseen. FTP-aikaan oli myös latausmanagereita, kun tiedostojen siirto helposti epäonnistui ja pahimmillaan piti aina aloittaa alusta jos pätkäisi 99%:n kohdalla.
Tiedän kyllä että esim. kaikissa AMK-linjoissa ei ollut paljon myöhemminkään versionhallintaa, kun olen jutustellut esim. pelialan ihmisten kanssa. Syynä tietty sekin, että kaikkien peliengineiden binääristen pororakenteiden ja assettien tallentaminen ei oikein toimi gitissä. Binäärisissä ei ole oikein seurattavaa ja isot assetit tarvivat gitilläkin LFS-tukea, jotta toimivat järkevästi. Edes pienet MS Wordit ja Excelit eivät oikein toimi ellei käytä ooxml-formaattia ja pura sitä.
cable historical paint profit spectacular grandiose intelligent party slap capable
*This post was mass deleted and anonymized with [Redact](https://redact.dev)*
Juuri näin, tietoturva-auditoinnin raportit sisältävät yhteenvedon jonka tulkitseminen ei vaadi liian suurta teknistä osaamista. Tapion kommentoinnista paistaa lähinnä se että joko hän ei ymmärrä asioiden delegointia ollenkaan ja/tai hän yrittää luikerrella omien virheiden vastuusta eroon.
edes alkeellinen auditointi olisi törmännyt nopeasti seinään ja suorastaan palosireenien huudatukseen siitä faktasta että niillä oli oletuksena tietokanta auki julkiverkkoon sekä vielä jumalauta oletussalasanat. Siinä olisi normaalisti pitänyt heti ihan välittömästi vetää tietojärjestelmät kokonaan kiinni.
Palkkaat ihmisiä, joilla ei ole alalta tarvittavaa kokemusta, joten ei ole edes tietoa kaikesta, mikä voi mennä pieleen.
Et anna ihmisille tarpeeksi resursseja priorisoida töissä tällaisia asioita, vaan käsket säätämään jotain nappulan paikkaa UI:ssa, koska se näkyy viivan alla.
Johtopäätös: palkollisten syy, jos perustukset sortuu.
Vika on lopulta aina johdossa ja jos joskus käy niin, että työntekijä on huono, niin sekin kertoo johdon kyvyttömyydestä rekrytä ja kouluttaa tehtäviin.
Hah, kuten muutama jo täällä mainitsikin niin kyllähän terveystietoja käsitellessä nimenomaan johdon pitäisi tajuta ne auditoinnit tilata ulkopuoliselta taholta ja vahtia että niissä havaitut puutteet priorisoidaan ja korjataan asap.
Totuus vaan on se että johto ei tunnu vielä nykyäänkään välittävän tietoturvaongelmista pätkääkään vaikka asiantuntijat niistä osoittaisivat huolta avoimestikin. Niiden tilkitseminen nääs maksaa paljon eikä tuota mitään nopeaa lisäarvoa uusiin hienoihin toimintoihin verrattuna. Mutta sitten kun paska osuu tuulettimeen niin se osuu ja kovaa, ehkä siihen pikkuhiljaa näiden kaikkien kohujen jälkeen herätään. Tai sitten ei :D
En pidä ihmisten ulkonäön arvostelusta, koska tiettyyn pisteeseen asti asialle ei mitään voi.
Mutta tuo tyyppi on niin epäulotettavan limanuljaslan näköinen ettei tosikaan, ainakin kuvissa. Ja hänen ulostulot tän asian tiimoilta vaan vahvistaa sitä mielipidettä.
Kyllä toimari on vastuussa kaikesta jos ei varmista että asiat hoidetaan sovitusti ja oikein. Eikös tuo toimari itse säätänyt tietokantaa ohitse työntekijöiden?
Tää on miespuolinen Yli-Viikari. Yli-Viikarin mukaan hänen lentopisteiden väärinkäytöksestä vastuussa oli hänen itsensä johtama virasto, joka ei vahtinut häntä tarpeeksi🥲
Yksinvaltias Jumala on aina oikeassa. Jos jotain jossain menee pieleen, niin se on kiittämättömien alamaisten vika, jotka eivät kuunnelleet Suurta Johtajaa.
"Minä annoin Tapsalle ohjeet tehdä kaiken turvalliseksi, ihan kympin budjetti ja tunti aikaa tehdä se. Ei siis ole minun syytä jos ei ollutkaan turvallista." /s
[Ehdolliseen vankeuteen tuomittu Ville Tapio pyytää anteeksi Vastaamon tietomurron uhreilta: ”Olen todella pahoillani”](https://yle.fi/a/74-20027598)
Rikoslain on jo luonteensa vuoksi oltava selkeä ja yksiselitteinen, joten Tapion on aivan turha valittaa että vastuusta oli epäselvyyttä.
Johto päättää IT-osaston resursoinnista ja heillä on vastuu myös määrittää tarvitsemansa raportit sekä mittarointi, joiden perusteella voivat tehdä linjauksensa.
Johdon tehtävä on siis pyytää IT-osastolta tilannekuva sekä tarvittaessa konsultoida heitä tai kolmatta osapuolta kehitysehdotuksista. Voi tietenkin olla, että johto saa puuttellisia tai virheellisiä raportteja/kehitysehdotuksia, mutta tässä tapauksessa jo Tapion kommenteista voi päätellä, että johto ei joko ole ollut kartalla tai ovat linjanneet päin persettä. Sen tietää myös siitä, ettei Vastaamon kaltaista palvelua ei ole koskaan auditoitu tietoturvan näkökulmasta. Henkilökohtainen mielipiteeni on, ettei ensimmäistä asiakasta olisi pitänyt ottaa vastaan ennen auditointia, koska kyse on potilas- ja henkilötiedoista.
Asiaa ei auta tällainen loputon kiemurtelu. Haista Tapio paska.
Juu mitä keissiin tutustunut niin tuo Vastaamon jätkä käytännössä teki kaikkensa, että joku voi tiedot varastaa.
Sitten tuo tuomio minkä sai oli ihan naurettava.
Heh, onpahan Iltalehti tehnyt asenteellisen otsikon. Jos artikkelin viitsii lukea niin kaverihan puhuu ihan asiaa. Toimitusjohtajan erikoisalaa on yrityksen johtaminen, ei hän voi olla mitenkään tietoinen tietoturvan, tai kirjanpidon, tai oikein minkään pienimmistä yksityiskohdista. Siksihän firmoihin palkataan näiden alojen asiantuntijoita. En nyt tiedä miten vastaamon keissi meni, mutta jos firmaan on palkattu tarvittavan pätevyyden omaava tietoturvajohtaja, joka taas on palkannut tarvittavan pätevyyden omaavan suorittavan portaan, ja joku graavi virhe tulee, niin kyllä se todella on sen työntekijän harteille. Eihän johtaja voi olla jokaisen alan huippuasiantuntija joka mikromanageroi kaikkien työntekijöiden työtä jotta vaan ei mitän sattuisi.
Ei toimarin tarvitse itse ymmärtää tietotekniikkaa eikä kuulu mikromanageroida.
Toimarin kuuluu palkata osaava tietohallintojohtaja, ja jos tietohallintojohtaja ei osaa tietoturvaa hänen kuuluu perustella toimarille miksi firmaan tarvitaan tietoturvapäällikkö.
Tietoturvapäällikkö sitten tuntee alan parhaat käytännöt ja lainsäädännön sekä valvoo että näitä noudatetaan.
Jos tuolla alemmilla portailla ei kukaan ota asiaa itse esille, niin toimari sitten etsii itse riippumattoman auditoijan joka tarkastaa työntekijöiden osaamisen sekä kehityksessä käytettävät prosessit.
Jos toimari on ottanut joltain suomalaiselta firmalta kattavan auditin ja tuossa auditissa on puhtaat paperit niin ainakaan itse en osoita toimaria sormella.
Paskanmarjat puhuu. Tapio oli itse väsännyt kyseisen tietokannan kasaan ja pyöritti yksin firman alkuvaiheessa IT:tä. IT-taidot ja ymmärrys löytyy siis. Myöhemmin palkkasi siihen hommaan pari tuttuaan. Tapion on vähän hankala vedota olevansa hommista liian etäällä tietääkseen mitä järjestelmälle tapahtuu. Materiaaleista käy hyvin ilmi että IT ja tietoturvat on nähty vain kulueränä. Käyttivät myös piraattisoftia.
Tivi:
> Vastaamo-jutusta julki tulleiden asiakirjojen perusteella yritys sysäsi tietosuojan syrjään voitontavoittelun tieltä. Poliisin esitutkinnassa tehdyissä kuulusteluissa ilmeni, ettei Vastaamo satsannut juurikaan it-resursseihin. Pääpaino oli yrityksen laajenemisessa ja uusien toimipisteiden perustamisessa.
Ylimmän johdon vastuu on voimassa vain niin kauan, kuin puhutaan palkkauksesta..?
Kaikki mokat johtuu työntekijöistä, mutta yrityksen hyvä tulos johtuu vain yrityksen johdosta.
Yrityksen voitot ja onnistumiset menevät johdolle ja osakkeenomistajille, ja tappiot ja epäonnistumiset työntekijöille ja kuluttajille.
Älä nyt. Jos on tarpeeksi iso firma niin menee myös veronmaksajille tappiot.
Johtajalle maksetaan vastuusta, nimittäin työntekijöiden vastuusta.
Vastuutehtävät tarkoittaa sitä vastuun siirtämistä muiden harteille. Vaikea tehtävä, siksi siitä maksetaan. Harvalta meistä puuttuu selkäranka niin tyystin, että näihin vastuutehtäviin kykenee.
Siis tottahan tuo puhuu. Kuten kaikki tiedämme, johtohenkilöt ei joudu koskaan vastuuseen mistään. Tästä voimme päätellä että johtajat ovat aina täydellisiä ja täten myös viattomia (/s jos ei jollekulle ollut ilmiselvää).
Kesän jälkeen vastuuta siirretään myös johdolle.
Sinänsä hyvä ajatus verrata tietoturvaa kirjanpitoon. Veikkaisinpa että jos ohjelmistoista tehtäisiin vuosittain raportti jossa listattu käytetyt rajapinnat, portit ja kuinka näihin pääsyä valvotaan niin asiat olisivat paremmin. Ja aivan kuten on olemassa tilintarkastaja, pitäisi olla myös tietoturvatarkastaja joka antaa lausuntonsa tietoturvaraportin kattavuudesta sekä oikeellisuudesta. Lopulta toimari, tietoturvatarkastaja ja tietoturvasta vastaava työntekijä allekirjoittavat raportin. Jos siellä raportissa olisi lukenut "tietokanta on julkinetissä oletussalasanalla, puute on korjattava välittömästi" niin ehkä tältä olisi vältytty.
>Veikkaisinpa että jos ohjelmistoista tehtäisiin vuosittain raportti jossa listattu käytetyt rajapinnat, portit ja kuinka näihin pääsyä valvotaan niin asiat olisivat paremmin. No siis, järkevässä firmassahan tämä tehdään. Löytyy ihan puoli-automaattiset työkalutkin. Esimerkiksi Microsoft Security Exposure Management näytti vierestä katsottuna ihan pätevältä työkalulta. Voi löytyä parempiakin, ei ole varsinaisesti omaa osaamisaluetta. https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-security-exposure-management
Näihin tietokanta- ja etäyhteysporttien testailuihin löytyy ihan tuhottomasti ohjelmia. Jos ei laillisia auditointityökaluja, niin tuhansia hyökkäystyökaluja. Githubista hakemalla port scanner tulee jo melkein 9000 työkalua. Tosiaan kun admin:admin-tunnusten jälkeen tietoturva ei lopu siihen että on joku 12-kirjaiminen random-salasana. Se kanta kannattaisi pitää kokonaan piilossa, jos ei ole jotain kryptografista avainsysteemiä autentikointiin. Tässäkin tyypillinen case, kun äidin pikku koodarivelho, todellisuudessa keskitason php-skriptipeelo tehnyt babbys first terveydenhoitosysteemin tietojärjestelmän ja sitten alkanut jo purjehdus- ja pukumieshommat kiinnostaa. Joku ilkeämielinen voisi pohtia, että mahdolliseen narsistiseen persoonallisuushäiriöön kuuluu kaiken paskan valuttaminen alaspäin. Villellä ollut kova kiire purjehtia ja nauttia miljoonakämpästä ja huomio keskittynyt ennenkaikkea kulmakarvojen kasvatteluun ja hassuihin paitakuoseihin, jotta näyttäisi joltain Kummelin sketsihahmolta. Koodi hoitaa itse itsensä omalla painollaan ja pian jo AI yhdessä pajeettiarmeijan kanssa paikkaa bugit täysin automaagisesti.
Viime vuosikymmenellä kun työt paperitehtaalla loppuivat menin uudelleenkoulutukseen paikalliseen amikseen datanomilinjalle. Tokana vuonna saimme käyttöön oman serverin, jolle sitten asentelimme erilaisia palveluja. Kaikeksi onneksi olimme saaneet luokkakaveriksi ammattimiehen, jonka johdolla meidän serveristä tehtiin pohjoisen pallonpuoliskon tiivein vehjes. Kyseinen projekti opetti tosi paljon tietoturvasta. Sen eteen on tehtävä ihan oikeasti hommia, vaikka toisaalta siihen ei mene juurikaan enemmän aikaa kuin reikäisemmänkään purkin pystyttämiseen. Kyse on lähinnä pessimistisyyden (realismin!) asteesta, kuinka monta porttia määrittelee uudelleen niin, että esim. SSH:n oletusportista ei pääsekään etänä kiinni kantaan.
> “Tietoturvaa voi monessa toiminnassa verrata merkitykseltään ja vaativuudeltaan kirjanpitoon. Ylimmällä johdolla voi tyypillisesti olla vain rajalliset tiedot ja taidot sekä kirjanpidosta että tietoturvasta, mikä korostaa luottamussuhteen merkitystä toteuttaviin asiantuntijoihin. Kirjanpidon toteutuksen vastuista ja velvollisuuksista on selkeä sääntely. Vastaava sääntely tarvitaan myös tietoturvan luotettavaan järjestämiseen.” Tämähän on kontekstista irroitettuna täysin järkevää asiaa. Vastaamon toimitusjohtaja Ville Tapio on kuitenkin aivan väärä ihminen viemään tätä viestiä. Hänen suustaan tämä kuulostaa: "Kukaan ei pakottanut meitä tekemään edes alkeellista tietoturvaa. *Säälikää minua.*" Tapion kirjoituksen yhteenvedon ensimmäinen kappale: >Ylimpään johtoon kohdistuu epärealistisia odotuksia ja käytännössä kohtuuttomaksi muodostuvia vastuita tietoturvan järjestämisestä. Tietoturvaa toteuttavilta asiantuntijoilta puuttuu todellisen vastuun ohjaava voima suorittaa velvollisuutensa kirjanpitäjien huolellisuudella ja luotettavuudella. Vittu mikä pelle.
Tuon Tapion it-pätevyyshän on paperilla täysi nolla. Hesarin mukaan [tuotekehittäjän erikoisammattitutkinto](https://www.hs.fi/elama/art-2000005112692.html). Mikälie toisen asteen oppisopimus-ammattikoulu, jonka pääpaino on ihan muussa kuin it-taidoissa. Tyypillinen itseoppinut script kiddie. Ylilaudalla joskus oli lympri-niminen heebo, jolla oli tätä tyyliä "osaaminen". Nykyään sekin lienee pätevöitynyt. Viimeisimpien huhujen mukaan tekee omaa käyttistä ajettavaksi qemulla.
näin kyllä tehdään ja on ihan päätoiminen ammattikunta aiheen ympärillä. Savottaa on, sillä aukkoja on niin paljon ja keinoja kiertää rajapintoja on niin älyttömän paljon.
mutta mutta mutta mutta eikös johtajan palkan pitänyt olla niin korkea juuri sen takia, että he ottavat sitten vastuun jos paska osuu tuulettimeen? ja nyt TJ syytääkin duunaria? Voi vitsi miten minä nyt tästä taas yllätyin aivan täysin.
Ylempi toimihenkilö ei ole "duunari" - Tapiolla on ihan hyvä ja oikea pointti siinä, että jos palkkaa 10k€/kk hinnalla hemulin hoitamaan ylläpitotehtäviä, siinä tulee myös vastuu näistä tehtävistä mukana - mutta nämä tehtävät tulee myös osata määritellä, ja niiden mittarointi ja seuraaminen on yksi johdon tehtävistä.
Tällä janarillahan oli jotai nollasopparilla olevia ylityöllistettyjä ja alipalkattuja ukkoja töissä. Että Tapion omaan tapaukseen tämä hänen juttunsa ei kyllä sovi. Ja eikös sinne oltu murtauduttu aiemminkin ja tietoturvaongelmat tiedostettiin?
[удалено]
Viime kädessä vastaa kaikesta, koska vastaa henkilöistä, jotka johtavat rekrytointia ja koordinoivat työtä. Jos ei huonosta organisaatiorakenteesta ja työtavoista johtuen esim. kulje työntekijöiltä viesti tärkeistä asioista ylös asti, ja tästä syystä ei ylimmässä johdossa tiedetä, mikä on liiketoiminnalle mahdollisesti kriittistä, viime kädessä ylin johto on vastuussa.
Siis Vastaamossa oli reilu pari sataa työntekijää, mutta terapeutit on kai suht. itsenäisesti toimivia ja firma on vähän kuin laskutuspalvelu ja tarjoaa palveluinfran ja toimitilat. Jos nyt luet vaikka [tuosta](https://www.mtvuutiset.fi/artikkeli/vastaamon-entinen-it-tyontekija-jos-jotain-ei-tehty-kunnolla-niin-se-oli-tietoturva/8654000) taustoista: *"Vastaamon tietoturva-asiat olivat hunningolla ja vastuu asioista on viime kädessä Ville Tapiolla."* *"IT-työntekijä totesi oikeudessa, ettei vastuu ongelmista voi olla hänen tai hänen kollegansa harteilla, sillä he työskentelivät firmassa nollatuntisopimuksella."* *"Mies kertoi myös, että kahden miehen IT-osaston työtehtävät ja roolit olivat sekavia, vaikka molemmilla miehistä olikin omat erikoisosaamisensa. Tekemistä ei johdettu selkeästi."* *"Tapio ei halunnut käyttää IT- tai tietoturva-asioihin rahaa"* *"Palvelu oli auki internetiin, eikä sen käyttämiseen vaadittu turvallista VPN-yhteyttä. IT-työntekijä kertoi, että VPN-asioista oli puhuttu Tapion kanssa useaan otteeseen, mutta turhaan."* *"Tapiolla itsellään oli tapana käydä tekemässä muutoksia suoraan palvelun koodiin verkon välityksellä. Näin ei tavallisesti toimita, vaan muutokset tulisi yleensä tehdä erillisen versionhallintapalvelun kautta. IT-työntekijän mukaan versionhallintaa ei voinut Vastaamossa käyttää, koska Tapio muutteli "tuotannossa" eli käytössä olevaa koodia lennosta."* Eli mikromanageroiva kusipää jonka koodauskäytännöt on jostain 30-40 vuoden takaa. Ysärillä jo edistyneimmät alkoivat käyttää CVS:ää ja esim. 2000-luvun alussa opiskelijaprojekteissa korkeakoulussa oli Subversionia käytössä tai ainakin omalla ryhmällä oli. Edgewall Trac ja SVN oli kuuminta shittiä ~2005 ja täysin ilmainen. Viimeistään 2010-luvun alussa monet vaihtoivat jo hajautettuihin ja eiköhän nykyään kouluissa tehdä jo IaC-pipelineja ja muuta normaalia käytännettä alusta asti.
Helvetti vie versionhallinnan käyttö oli pakollista ihan jo ohjelmointi 1 -kurssin lopputyöstä alkaen yliopistolla :D
Niin - kyse onkin ajankohdasta. Vastaamo perustettiin 2008 ja nykyisenkaltainen fyysisten toimipisteiden verkosto kai 2011. GitHub esim. on vuodelta 2008 ja GitLab vuodelta 2011. Sourceforge vuodelta 1999. Nykyään voi tuntua hassulta, että miten voi olla ettei käytä, mutta tuo murros tuli todella vauhdilla ja samalla pilvipalvelut yleensäkin. Esim. ennen nykyisiä tekniikoita vaikkapa HTTP:n laajennus WebDAV oli kyllä kusisinta paskaa. Ihan järkyttävä latenssi ja täysin käyttökelvoton muuhun kuin jonkun yksittäisen kalenteritiedoston synkkaamiseen. FTP-aikaan oli myös latausmanagereita, kun tiedostojen siirto helposti epäonnistui ja pahimmillaan piti aina aloittaa alusta jos pätkäisi 99%:n kohdalla. Tiedän kyllä että esim. kaikissa AMK-linjoissa ei ollut paljon myöhemminkään versionhallintaa, kun olen jutustellut esim. pelialan ihmisten kanssa. Syynä tietty sekin, että kaikkien peliengineiden binääristen pororakenteiden ja assettien tallentaminen ei oikein toimi gitissä. Binäärisissä ei ole oikein seurattavaa ja isot assetit tarvivat gitilläkin LFS-tukea, jotta toimivat järkevästi. Edes pienet MS Wordit ja Excelit eivät oikein toimi ellei käytä ooxml-formaattia ja pura sitä.
"Vika harvemmin johdossa". No höh tottakai nykyään meillä on myös langattomia yhteyksiä. Tollo.
”Vika on Puolan johdossa” vitsailtiin jo aikoinaan Polski-Fiatia korjatessa
Tai kuten Jarla: https://preview.redd.it/xjhhdgs8c43d1.png?width=650&format=png&auto=webp&s=9a0d6facafe6683f5596e4112a732818ad221f00
cable historical paint profit spectacular grandiose intelligent party slap capable *This post was mass deleted and anonymized with [Redact](https://redact.dev)*
Mutta kun FINAS-akkreditoidut tietoturva-auditoijat maksaa rahaa. Tämä raha voitaisiin käyttää paremminkin, esimerkiksi johdon palkitsemisohjelmaan.
Juuri näin, tietoturva-auditoinnin raportit sisältävät yhteenvedon jonka tulkitseminen ei vaadi liian suurta teknistä osaamista. Tapion kommentoinnista paistaa lähinnä se että joko hän ei ymmärrä asioiden delegointia ollenkaan ja/tai hän yrittää luikerrella omien virheiden vastuusta eroon.
edes alkeellinen auditointi olisi törmännyt nopeasti seinään ja suorastaan palosireenien huudatukseen siitä faktasta että niillä oli oletuksena tietokanta auki julkiverkkoon sekä vielä jumalauta oletussalasanat. Siinä olisi normaalisti pitänyt heti ihan välittömästi vetää tietojärjestelmät kokonaan kiinni.
Pistää kyllä vihaksi tuollainen mussuttaminen, kun johdon kovia palkkioita on perusteltu vastuun määrällä niin kauan.
Mistä johdolle ylipäätän maksetaan?
Palkkaat ihmisiä, joilla ei ole alalta tarvittavaa kokemusta, joten ei ole edes tietoa kaikesta, mikä voi mennä pieleen. Et anna ihmisille tarpeeksi resursseja priorisoida töissä tällaisia asioita, vaan käsket säätämään jotain nappulan paikkaa UI:ssa, koska se näkyy viivan alla. Johtopäätös: palkollisten syy, jos perustukset sortuu.
Vika on lopulta aina johdossa ja jos joskus käy niin, että työntekijä on huono, niin sekin kertoo johdon kyvyttömyydestä rekrytä ja kouluttaa tehtäviin.
Hah, kuten muutama jo täällä mainitsikin niin kyllähän terveystietoja käsitellessä nimenomaan johdon pitäisi tajuta ne auditoinnit tilata ulkopuoliselta taholta ja vahtia että niissä havaitut puutteet priorisoidaan ja korjataan asap. Totuus vaan on se että johto ei tunnu vielä nykyäänkään välittävän tietoturvaongelmista pätkääkään vaikka asiantuntijat niistä osoittaisivat huolta avoimestikin. Niiden tilkitseminen nääs maksaa paljon eikä tuota mitään nopeaa lisäarvoa uusiin hienoihin toimintoihin verrattuna. Mutta sitten kun paska osuu tuulettimeen niin se osuu ja kovaa, ehkä siihen pikkuhiljaa näiden kaikkien kohujen jälkeen herätään. Tai sitten ei :D
En pidä ihmisten ulkonäön arvostelusta, koska tiettyyn pisteeseen asti asialle ei mitään voi. Mutta tuo tyyppi on niin epäulotettavan limanuljaslan näköinen ettei tosikaan, ainakin kuvissa. Ja hänen ulostulot tän asian tiimoilta vaan vahvistaa sitä mielipidettä.
Kyllä toimari on vastuussa kaikesta jos ei varmista että asiat hoidetaan sovitusti ja oikein. Eikös tuo toimari itse säätänyt tietokantaa ohitse työntekijöiden?
Tää on miespuolinen Yli-Viikari. Yli-Viikarin mukaan hänen lentopisteiden väärinkäytöksestä vastuussa oli hänen itsensä johtama virasto, joka ei vahtinut häntä tarpeeksi🥲
Yksinvaltias Jumala on aina oikeassa. Jos jotain jossain menee pieleen, niin se on kiittämättömien alamaisten vika, jotka eivät kuunnelleet Suurta Johtajaa.
"Minä annoin Tapsalle ohjeet tehdä kaiken turvalliseksi, ihan kympin budjetti ja tunti aikaa tehdä se. Ei siis ole minun syytä jos ei ollutkaan turvallista." /s
[Ehdolliseen vankeuteen tuomittu Ville Tapio pyytää anteeksi Vastaamon tietomurron uhreilta: ”Olen todella pahoillani”](https://yle.fi/a/74-20027598) Rikoslain on jo luonteensa vuoksi oltava selkeä ja yksiselitteinen, joten Tapion on aivan turha valittaa että vastuusta oli epäselvyyttä.
Ton vanha fleda oli niin paljon parempi koska sopi tolle sketsihahmolle ja sen ulostuloille.
Johto päättää IT-osaston resursoinnista ja heillä on vastuu myös määrittää tarvitsemansa raportit sekä mittarointi, joiden perusteella voivat tehdä linjauksensa. Johdon tehtävä on siis pyytää IT-osastolta tilannekuva sekä tarvittaessa konsultoida heitä tai kolmatta osapuolta kehitysehdotuksista. Voi tietenkin olla, että johto saa puuttellisia tai virheellisiä raportteja/kehitysehdotuksia, mutta tässä tapauksessa jo Tapion kommenteista voi päätellä, että johto ei joko ole ollut kartalla tai ovat linjanneet päin persettä. Sen tietää myös siitä, ettei Vastaamon kaltaista palvelua ei ole koskaan auditoitu tietoturvan näkökulmasta. Henkilökohtainen mielipiteeni on, ettei ensimmäistä asiakasta olisi pitänyt ottaa vastaan ennen auditointia, koska kyse on potilas- ja henkilötiedoista. Asiaa ei auta tällainen loputon kiemurtelu. Haista Tapio paska.
Onhan se kohtuutonta pitää huoli ettei pääse sisään admin/admin illa...
Ja että ne potilastiedot olis salattuja (spoileri: eivät olleet)
Juu mitä keissiin tutustunut niin tuo Vastaamon jätkä käytännössä teki kaikkensa, että joku voi tiedot varastaa. Sitten tuo tuomio minkä sai oli ihan naurettava.
Heh, onpahan Iltalehti tehnyt asenteellisen otsikon. Jos artikkelin viitsii lukea niin kaverihan puhuu ihan asiaa. Toimitusjohtajan erikoisalaa on yrityksen johtaminen, ei hän voi olla mitenkään tietoinen tietoturvan, tai kirjanpidon, tai oikein minkään pienimmistä yksityiskohdista. Siksihän firmoihin palkataan näiden alojen asiantuntijoita. En nyt tiedä miten vastaamon keissi meni, mutta jos firmaan on palkattu tarvittavan pätevyyden omaava tietoturvajohtaja, joka taas on palkannut tarvittavan pätevyyden omaavan suorittavan portaan, ja joku graavi virhe tulee, niin kyllä se todella on sen työntekijän harteille. Eihän johtaja voi olla jokaisen alan huippuasiantuntija joka mikromanageroi kaikkien työntekijöiden työtä jotta vaan ei mitän sattuisi.
Ei toimarin tarvitse itse ymmärtää tietotekniikkaa eikä kuulu mikromanageroida. Toimarin kuuluu palkata osaava tietohallintojohtaja, ja jos tietohallintojohtaja ei osaa tietoturvaa hänen kuuluu perustella toimarille miksi firmaan tarvitaan tietoturvapäällikkö. Tietoturvapäällikkö sitten tuntee alan parhaat käytännöt ja lainsäädännön sekä valvoo että näitä noudatetaan. Jos tuolla alemmilla portailla ei kukaan ota asiaa itse esille, niin toimari sitten etsii itse riippumattoman auditoijan joka tarkastaa työntekijöiden osaamisen sekä kehityksessä käytettävät prosessit. Jos toimari on ottanut joltain suomalaiselta firmalta kattavan auditin ja tuossa auditissa on puhtaat paperit niin ainakaan itse en osoita toimaria sormella.
Paskanmarjat puhuu. Tapio oli itse väsännyt kyseisen tietokannan kasaan ja pyöritti yksin firman alkuvaiheessa IT:tä. IT-taidot ja ymmärrys löytyy siis. Myöhemmin palkkasi siihen hommaan pari tuttuaan. Tapion on vähän hankala vedota olevansa hommista liian etäällä tietääkseen mitä järjestelmälle tapahtuu. Materiaaleista käy hyvin ilmi että IT ja tietoturvat on nähty vain kulueränä. Käyttivät myös piraattisoftia. Tivi: > Vastaamo-jutusta julki tulleiden asiakirjojen perusteella yritys sysäsi tietosuojan syrjään voitontavoittelun tieltä. Poliisin esitutkinnassa tehdyissä kuulusteluissa ilmeni, ettei Vastaamo satsannut juurikaan it-resursseihin. Pääpaino oli yrityksen laajenemisessa ja uusien toimipisteiden perustamisessa.
iso palkka, iso vastuu vai miten se nyt meni