{"id":8290,"date":"2020-12-03T09:53:34","date_gmt":"2020-12-03T07:53:34","guid":{"rendered":"https:\/\/atostek.com\/?p=8290"},"modified":"2020-12-03T09:53:34","modified_gmt":"2020-12-03T07:53:34","slug":"3-vinkkia-miten-terveydenhuollon-tietomurto-voidaan-tulevaisuudessa-valttaa","status":"publish","type":"post","link":"https:\/\/atostek.com\/3-vinkkia-miten-terveydenhuollon-tietomurto-voidaan-tulevaisuudessa-valttaa\/","title":{"rendered":"3 vinkki\u00e4, miten terveydenhuollon tietomurto voidaan tulevaisuudessa v\u00e4ltt\u00e4\u00e4"},"content":{"rendered":"

Tietoturva-asiantuntija listaa kolme keinoa, joilla Vastaamon tietomurron kaltaiselta katastrofilta jatkossa v\u00e4ltytt\u00e4isiin: \u201dTietoj\u00e4rjestelm\u00e4t eiv\u00e4t miss\u00e4\u00e4n tilanteessa saisi n\u00e4ytt\u00e4\u00e4 loppuk\u00e4ytt\u00e4jille mit\u00e4\u00e4n potilaan tietoja ilman vahvaa tunnistautumista\u201d<\/strong><\/p>\n

Lokakuun lopussa uutisoitu psykoterapiakeskus Vastaamon tietomurto her\u00e4tti organisaatiot pohtimaan oman tietoturvansa tasoa. Ohjelmistoyritys Atostekin tietoturvap\u00e4\u00e4llikk\u00f6 Jaakko Perki\u00f6ll\u00e4<\/strong> on ratkaisu siihen, miten vastaavilta tilanteilta jatkossa v\u00e4ltytt\u00e4isiin.<\/p>\n

1. Vahvaa tunnistautumista on lis\u00e4tt\u00e4v\u00e4<\/h2>\n

Vahvalla tunnistautumisella tarkoitetaan k\u00e4ytt\u00e4j\u00e4n tunnistamista pelkk\u00e4\u00e4 salasanaa luotettavammilla mekanismeilla. Sellainen on k\u00e4yt\u00f6ss\u00e4 Kelan Kanta-palvelussa, jossa s\u00e4ilytet\u00e4\u00e4n potilastietoja, mutta sit\u00e4 ei v\u00e4ltt\u00e4m\u00e4tt\u00e4 vaadita kirjauduttaessa terveydenhuollon yksik\u00f6n omiin tietoj\u00e4rjestelmiin, jotka puolestaan voivat olla rajapinnan kautta kytkettyin\u00e4 Kantaan.<\/p>\n

Osa terveydenhuollon ammattilaisista p\u00e4\u00e4see siis omissa j\u00e4rjestelmiss\u00e4\u00e4n k\u00e4siksi potilastietoihin ilman vahvaa tunnistautumista. Siksi Perki\u00f6n mielest\u00e4 terveydenhuollon omissa tietoj\u00e4rjestelmiss\u00e4 tulisi ehdottomasti olla k\u00e4yt\u00f6ss\u00e4 vahva tunnistautuminen.<\/p>\n

– Terveydenhuollon tietoj\u00e4rjestelmien tietoturvavaatimuksia tulisi kirist\u00e4\u00e4. Tietoj\u00e4rjestelm\u00e4t eiv\u00e4t miss\u00e4\u00e4n tilanteessa saisi n\u00e4ytt\u00e4\u00e4 loppuk\u00e4ytt\u00e4jille mit\u00e4\u00e4n potilaan tietoja ilman vahvaa tunnistautumista, Perki\u00f6 painottaa.<\/p>\n

Terveydenhuollon omien j\u00e4rjestelmien v\u00e4listen suorien rajapintojen kautta kulkee sote-asiakastietoja j\u00e4rjestelm\u00e4st\u00e4 toiseen. Perki\u00f6n mukaan my\u00f6s t\u00e4ss\u00e4 piilee vakava tietoturvariski, jos tieto kulkee ilman, ett\u00e4 kenenk\u00e4\u00e4n on tunnistauduttava vahvasti v\u00e4liss\u00e4.<\/p>\n

– Kaikesta potilaan tietojen k\u00e4sittelyst\u00e4 tulisi ker\u00e4t\u00e4 tietoja k\u00e4sitelleen ammattilaisen yksil\u00f6iv\u00e4 loki, Perki\u00f6 sanoo. \u2013 Eli j\u00e4rjestelm\u00e4\u00e4n j\u00e4isi j\u00e4lki, kuka on tehnyt ja mit\u00e4.<\/p>\n

2. Tietoturva-auditoinnin tulisi kuulua kaikkiin potilastietoa tallentaviin j\u00e4rjestelmiin<\/h2>\n

Suomessa sosiaali- ja terveydenhuollon tietoj\u00e4rjestelm\u00e4t on jaettu kahteen luokkaan, A:han ja B:hen. Karkeasti jaoteltuna A-luokkaan kuuluvat kaikki Kanta-palveluun kytketyt j\u00e4rjestelm\u00e4t ja loput ovat luokassa B.<\/p>\n

A-luokan j\u00e4rjestelmilt\u00e4 vaaditaan pakollinen ulkopuolinen tietoturva-auditointi eli tietoturvakartoitus. Sit\u00e4 ei t\u00e4ll\u00e4 hetkell\u00e4 vaadita B-luokan j\u00e4rjestelmilt\u00e4, mutta Perki\u00f6n mukaan tietomurtojen riski pienenisi, jos my\u00f6s B-luokan j\u00e4rjestelm\u00e4t tietoturva-auditoitaisiin.<\/p>\n

– Tietoturva-auditointia olisi perusteltua vaatia kaikilta sellaisilta j\u00e4rjestelmilt\u00e4, jotka s\u00e4ilytt\u00e4v\u00e4t sote-asiakastietoa, Perki\u00f6 sanoo.<\/p>\n

Tietoturva-auditoinnin lis\u00e4ksi A-luokan tietoj\u00e4rjestelmien yhteentoimivuus Kanta-palvelun kanssa varmistetaan niin kutsutulla yhteistestaamisella. Yhteistestauksessa pyrit\u00e4\u00e4n varmistamaan A-luokan tietoj\u00e4rjestelm\u00e4n rajapintojen ja niiss\u00e4 v\u00e4litett\u00e4vien tietosis\u00e4lt\u00f6jen yhteensopivuus Kanta-palveluiden sek\u00e4 muiden Kantaan liitettyjen A-luokan j\u00e4rjestelmien kanssa. Se ei Perki\u00f6n mukaan kuitenkaan paranna tietoturvaa, joten sen piiriin ei kannata tuoda nykyist\u00e4 enemp\u00e4\u00e4 j\u00e4rjestelmi\u00e4.<\/p>\n

3. C-luokituksen perustaminen<\/h2>\n

Hallitus antoi eduskunnalle taannoin esityksen uudesta asiakastietolaista. Julkisuudessa on v\u00e4itetty virheellisesti, ett\u00e4 uusi laki poistaisi kokonaan B-luokituksen ja j\u00e4tt\u00e4isi j\u00e4ljelle pelk\u00e4n A:n. T\u00e4m\u00e4 ei pid\u00e4 paikkaansa, sill\u00e4 uudessakin asiakastietolaissa olisi yh\u00e4 voimassa A- ja B-luokat.<\/p>\n

Perki\u00f6 ehdottaa, ett\u00e4 n\u00e4iden lis\u00e4ksi perustettaisiin kolmas, C-luokka. C-luokkaan kuuluisivat sellaiset j\u00e4rjestelm\u00e4t, jotka eiv\u00e4t s\u00e4ilyt\u00e4 k\u00e4sittelemi\u00e4\u00e4n arkaluotontoisia sote-asiakastietoja itse. T\u00e4llaisen tiedon voisi Perki\u00f6n mielest\u00e4 monissa tapauksissa tallentaa vain Kanta-palveluun oman j\u00e4rjestelm\u00e4n sijaan.<\/p>\n

– T\u00e4llaisten j\u00e4rjestelmien olisi helpompi toteuttaa tietoturvaominaisuudet ja siten l\u00e4p\u00e4ist\u00e4 auditointi, koska niiss\u00e4 s\u00e4ilytet\u00e4\u00e4n v\u00e4hemm\u00e4n riskialtista tietoa, Perki\u00f6 sanoo.<\/p>\n

Vaikka Kanta-palvelu ei Perki\u00f6n mukaan tuekaan aivan kaikkien tietojen tallentamista, potilastiedon ydinosa voitaisiin usein tallentaa vain sinne. T\u00e4ll\u00f6in omaan j\u00e4rjestelm\u00e4\u00e4n j\u00e4isiv\u00e4t vain esimerkiksi ajanvaraukset ja muut hieman v\u00e4hemm\u00e4n arkaluontoiset tiedot.<\/p>\n","protected":false},"excerpt":{"rendered":"

Tietoturva-asiantuntija listaa kolme keinoa, joilla Vastaamon tietomurron kaltaiselta katastrofilta jatkossa v\u00e4ltytt\u00e4isiin: \u201dTietoj\u00e4rjestelm\u00e4t eiv\u00e4t miss\u00e4\u00e4n tilanteessa saisi n\u00e4ytt\u00e4\u00e4 loppuk\u00e4ytt\u00e4jille mit\u00e4\u00e4n potilaan tietoja ilman vahvaa tunnistautumista\u201d Lokakuun lopussa uutisoitu psykoterapiakeskus Vastaamon tietomurto her\u00e4tti organisaatiot pohtimaan oman tietoturvansa tasoa. Ohjelmistoyritys Atostekin tietoturvap\u00e4\u00e4llikk\u00f6 Jaakko Perki\u00f6ll\u00e4 on ratkaisu siihen, miten vastaavilta tilanteilta jatkossa v\u00e4ltytt\u00e4isiin. 1. Vahvaa tunnistautumista on lis\u00e4tt\u00e4v\u00e4 Vahvalla…<\/p>\n","protected":false},"author":4,"featured_media":8291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false},"categories":[30,3],"tags":[13,98,228,227,229,216],"_links":{"self":[{"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/posts\/8290"}],"collection":[{"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/comments?post=8290"}],"version-history":[{"count":0,"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/posts\/8290\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/media\/8291"}],"wp:attachment":[{"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/media?parent=8290"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/categories?post=8290"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atostek.com\/wp-json\/wp\/v2\/tags?post=8290"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}