3 vinkkiä, miten terveydenhuollon tietomurto voidaan tulevaisuudessa välttää
Tietoturva-asiantuntija listaa kolme keinoa, joilla Vastaamon tietomurron kaltaiselta katastrofilta jatkossa vältyttäisiin: ”Tietojärjestelmät eivät missään tilanteessa saisi näyttää loppukäyttäjille mitään potilaan tietoja ilman vahvaa tunnistautumista”
Lokakuun lopussa uutisoitu psykoterapiakeskus Vastaamon tietomurto herätti organisaatiot pohtimaan oman tietoturvansa tasoa. Ohjelmistoyritys Atostekin tietoturvapäällikkö Jaakko Perkiöllä on ratkaisu siihen, miten vastaavilta tilanteilta jatkossa vältyttäisiin.
1. Vahvaa tunnistautumista on lisättävä
Vahvalla tunnistautumisella tarkoitetaan käyttäjän tunnistamista pelkkää salasanaa luotettavammilla mekanismeilla. Sellainen on käytössä Kelan Kanta-palvelussa, jossa säilytetään potilastietoja, mutta sitä ei välttämättä vaadita kirjauduttaessa terveydenhuollon yksikön omiin tietojärjestelmiin, jotka puolestaan voivat olla rajapinnan kautta kytkettyinä Kantaan.
Osa terveydenhuollon ammattilaisista pääsee siis omissa järjestelmissään käsiksi potilastietoihin ilman vahvaa tunnistautumista. Siksi Perkiön mielestä terveydenhuollon omissa tietojärjestelmissä tulisi ehdottomasti olla käytössä vahva tunnistautuminen.
– Terveydenhuollon tietojärjestelmien tietoturvavaatimuksia tulisi kiristää. Tietojärjestelmät eivät missään tilanteessa saisi näyttää loppukäyttäjille mitään potilaan tietoja ilman vahvaa tunnistautumista, Perkiö painottaa.
Terveydenhuollon omien järjestelmien välisten suorien rajapintojen kautta kulkee sote-asiakastietoja järjestelmästä toiseen. Perkiön mukaan myös tässä piilee vakava tietoturvariski, jos tieto kulkee ilman, että kenenkään on tunnistauduttava vahvasti välissä.
– Kaikesta potilaan tietojen käsittelystä tulisi kerätä tietoja käsitelleen ammattilaisen yksilöivä loki, Perkiö sanoo. – Eli järjestelmään jäisi jälki, kuka on tehnyt ja mitä.
2. Tietoturva-auditoinnin tulisi kuulua kaikkiin potilastietoa tallentaviin järjestelmiin
Suomessa sosiaali- ja terveydenhuollon tietojärjestelmät on jaettu kahteen luokkaan, A:han ja B:hen. Karkeasti jaoteltuna A-luokkaan kuuluvat kaikki Kanta-palveluun kytketyt järjestelmät ja loput ovat luokassa B.
A-luokan järjestelmiltä vaaditaan pakollinen ulkopuolinen tietoturva-auditointi eli tietoturvakartoitus. Sitä ei tällä hetkellä vaadita B-luokan järjestelmiltä, mutta Perkiön mukaan tietomurtojen riski pienenisi, jos myös B-luokan järjestelmät tietoturva-auditoitaisiin.
– Tietoturva-auditointia olisi perusteltua vaatia kaikilta sellaisilta järjestelmiltä, jotka säilyttävät sote-asiakastietoa, Perkiö sanoo.
Tietoturva-auditoinnin lisäksi A-luokan tietojärjestelmien yhteentoimivuus Kanta-palvelun kanssa varmistetaan niin kutsutulla yhteistestaamisella. Yhteistestauksessa pyritään varmistamaan A-luokan tietojärjestelmän rajapintojen ja niissä välitettävien tietosisältöjen yhteensopivuus Kanta-palveluiden sekä muiden Kantaan liitettyjen A-luokan järjestelmien kanssa. Se ei Perkiön mukaan kuitenkaan paranna tietoturvaa, joten sen piiriin ei kannata tuoda nykyistä enempää järjestelmiä.
3. C-luokituksen perustaminen
Hallitus antoi eduskunnalle taannoin esityksen uudesta asiakastietolaista. Julkisuudessa on väitetty virheellisesti, että uusi laki poistaisi kokonaan B-luokituksen ja jättäisi jäljelle pelkän A:n. Tämä ei pidä paikkaansa, sillä uudessakin asiakastietolaissa olisi yhä voimassa A- ja B-luokat.
Perkiö ehdottaa, että näiden lisäksi perustettaisiin kolmas, C-luokka. C-luokkaan kuuluisivat sellaiset järjestelmät, jotka eivät säilytä käsittelemiään arkaluotontoisia sote-asiakastietoja itse. Tällaisen tiedon voisi Perkiön mielestä monissa tapauksissa tallentaa vain Kanta-palveluun oman järjestelmän sijaan.
– Tällaisten järjestelmien olisi helpompi toteuttaa tietoturvaominaisuudet ja siten läpäistä auditointi, koska niissä säilytetään vähemmän riskialtista tietoa, Perkiö sanoo.
Vaikka Kanta-palvelu ei Perkiön mukaan tuekaan aivan kaikkien tietojen tallentamista, potilastiedon ydinosa voitaisiin usein tallentaa vain sinne. Tällöin omaan järjestelmään jäisivät vain esimerkiksi ajanvaraukset ja muut hieman vähemmän arkaluontoiset tiedot.