Säkerhetsriskerna med Terveystalos bokningssystem kända sedan hösten — dataombudsmannen missnöjd
Skärmdump. Hackare har kommit åt namn och personbeteckning genom Terveystalos tidsbokningssystem. Foto: Skärmdump
Terveystalos tidsbokningstjänst har utsatts för nätfiske och enskilda personers namn och personbeteckningar har sannolikt läckt ut, meddelar Terveystalo. Patientuppgifter eller andra personuppgifter har inte hamnat i fel händer.
Nätfisket uppdagades då vårdbolaget fick ett utpressningsmeddelande.
Bolaget meddelar att man har varit medveten om möjliga sårbarheter och har varit i kontakt med dataombudsmannen om saken. Terveystalo har också ökat den tekniska övervakningen för att förhindra nätfiske vid tjänsten.
— Dataombudsmannens byrå bedömer att åtgärderna för att skydda tidsbokningssystemet är tillräckliga med tanke på situationen, säger bolagets datachef Juha Juosila i pressmeddelandet.
Dataombudsman Reijo Aarnio är inte helt nöjd med bolagets påstående.
— Terveystalo låter förstå att vi har sagt att deras åtgärder är tillräckliga, men det är lite otydligt. Vi har endast sagt att de direkta åtgärderna för att stoppa nya attacker räcker, säger Aarnio.
I själva verket har sårbarheterna i systemet varit kända sedan hösten. Dataombudsmannen bad om en utredning av Terveystalo i november och Juha Juosila berättar att bolaget svarade i december.
— Men det pågår fortfarande en diskussion om saken med dataombudsmannens byrå, säger Juosila.
Läckan och utpressningsmeddelandet har ändå fått bolaget att snabba på processen att använda stark identifiering också för tidsbokningar. Åtgärderna var inte lika högt prioriterade tidigare, trots att sårbarheten var känd.
— Enligt EU:s dataskyddsförordning klassas personbeteckningar inte som speciellt känslig information och därför har vi uppskattat att riskerna är låga eller medelstora.
Enligt Juosila har färre än tio personer drabbats av läckan.
Bolaget meddelar att man har varit medveten om möjliga sårbarheter och har varit i kontakt med dataombudsmannen om saken. Terveystalo har också ökat den tekniska övervakningen för att förhindra nätfiske vid tjänsten.
— Dataombudsmannens byrå bedömer att åtgärderna för att skydda tidsbokningssystemet är tillräckliga med tanke på situationen, säger bolagets datachef Juha Juosila i pressmeddelandet.
Dataombudsman Reijo Aarnio är inte helt nöjd med bolagets påstående.
— Terveystalo låter förstå att vi har sagt att deras åtgärder är tillräckliga, men det är lite otydligt. Vi har endast sagt att de direkta åtgärderna för att stoppa nya attacker räcker, säger Aarnio.
I själva verket har sårbarheterna i systemet varit kända sedan hösten. Dataombudsmannen bad om en utredning av Terveystalo i november och Juha Juosila berättar att bolaget svarade i december.
— Men det pågår fortfarande en diskussion om saken med dataombudsmannens byrå, säger Juosila.
Läckan och utpressningsmeddelandet har ändå fått bolaget att snabba på processen att använda stark identifiering också för tidsbokningar. Åtgärderna var inte lika högt prioriterade tidigare, trots att sårbarheten var känd.
— Enligt EU:s dataskyddsförordning klassas personbeteckningar inte som speciellt känslig information och därför har vi uppskattat att riskerna är låga eller medelstora.
Enligt Juosila har färre än tio personer drabbats av läckan.
Kommentarer
Alla som kommenterar ÅU:s webbartiklar förväntas göra det sakligt och under sitt eget namn. Vi godkänner inga länkar till externa webbplatser i kommentarerna. Kommentarerna modereras. Fyll i både ditt för- och efternamn, tack.