Diktamen-uutiset

Tietoturva ja kyberrikollisuus terveydenhuollossa

18.11.2021

Terveydenhuollon tietoturva on noussut puheenaiheeksi potilastietojen siirryttyä arkistokaappien kortistoista ensin suljettuihin potilastietojärjestelmiin ja lopulta pilvipalveluihin. Vuoden takainen Vastaamon tietomurto, jossa kymmenien tuhansien ihmisten arkaluontoisia potilastietoja vuodettiin internetiin, on poikkeuksellisuudestaan huolimatta osoitus siitä, että terveydenhuollon digitalisoitumista ei ole tehty tietoturva edellä.

"Kyseessä oli kiristyshyökkäys, joka kohdistui puutteellisesti suojattuun potilastietojärjestelmään. Hyökkääjä vaati lunnaita ensin Vastaamolta ja ryhtyi sen jälkeen julkaisemaan potilastietoja verkossa. Lopulta hyökkääjä päätyi kiristämään rahaa yksityisiltä ihmisiltä, jotka olivat joutuneet tietomurron uhreiksi. Tämä on kansainvälisesti poikkeuksellinen rikos. Meillä on tiedossa kaikkiaan vain neljä tapausta, joista tämä on ensimmäinen terapiatietoihin liittyvä.", kommentoi F-securen tutkimusjohtaja Mikko Hyppönen.

Hyppönen kertoo, että tietoturvariskien taustalla on aina tekninen tai ihmisiin liittyvä aukko. Haavoittuvuus ja turvareiät järjestelmissä tarkoittavat, että on tapahtunut ohjelmointivirhe, minkä vuoksi järjestelmää voidaan väärinkäyttää. Tekniset ongelmat ovat usein korjattavissa, haastavampia ovat ihmisen aiheuttamat tietoturva-aukot:

"Ongelmat liittyvät usein siihen, että klikataan sähköpostin jokaista linkkiä, käytetään samaa salasanaa joka paikassa, kompastutaan jokaiseen huijaukseen. Tämä on vaikea ongelma - emme voi vain etsiä bugia ihmisten aivoista ja päivittää softaa. Ainoa keino on koulutus."

Suojautuminen on mahdollista, jos organisaatio on pohtinut, millaiset tahot saattaisivat olla kiinnostuneita hyökkäämään niiden järjestelmään. Ulkoiset palveluntarjoajat ja pilvipalvelut ovat aiheuttaneet sen, että jokaisen yrityksen tulee miettiä suojautumiseen liittyviä kysymyksiä.

ISO27001-sertifikaatti tietoturvan vakuutena

Diktamenissa käsitellään miljoonia saneluja ja potilasdokumentteja vuosittain, joiden tietoturvan vakuutena on yritykselle myönnetty alan tiukin kansainvälisesti tunnustettu ISO27001-sertifikaatti. Se on tietoturvan hallintajärjestelmä, joka ohjaa tietoturvaan liittyviä toimintoja organisaatiossa.

Sertifikaatin ylläpito vaatii jatkuvaa tietoturvan hallintaa ja organisaation johtamista tietoturvastandardin vaatimusten mukaisesti. Käytännössä tämä tarkoittaa dokumentointia, auditointeja, testauksia sekä kouluttautumista, oli kyse tietojärjestelmistä, laitteista tai henkilöistä, jotka asiakkaan tai potilaiden tietoja käsittelevät.

"Tietoturvamme taso haastetaan säännöllisesti auditoinneilla, joissa tietoturvamme auditoidaan ulkopuolisen tahon toimesta. Tällä testataan, vastaako dokumentaatio sitä, miten organisaatiomme toimii", kuvaa Diktamenin toimitusjohtaja Olavi Valkama.

Toimittajien tietoturvan tasoa arvioidaan aina, kun hankintoja tehdään palveluista ja järjestelmistä, joilla potilastietoja käsitellään. Tulevaisuudessa terveydenhuollon tietoturvan tasolta vaaditaan yhä enemmän. Todellisuuteen aletaan nyt heräämään.

"Emme yhteiskuntana ole ymmärtäneet, miten tärkeän asian äärellä ollaan, kun puhutaan potilastiedoista. Niitä pitää suojata ikuisesti. Terapiatiedot eivät museoidu samalla tavalla kuin vanhat sähköpostiviestit. Ne ovat tulenarkoja vuosikymmeniä. Meidän pitää pystyä pitämään tiedot salattuna ja suojattuna samalla kun niiden on oltava saatavilla asianosaisille", arvioi Hyppönen.

"Hankintayksikköjen kannattaa nostaa tietoturvan hallinnan tason vaatimusta, auditointi- ja sertifikaattivaatimuksia hankinnoissa. TIetoturvan hallintajärjestelmän vaatimus auditointeineen ja tietoturvatestauksineen voisi hyvin olla pakollinen soveltuvuusvaatimus, kun hankitaan palveluita tai tietojärjestelmiä, joilla tai joissa tuotetaan tai käsitellään potilastietoja.", pohtii Valkama.

Diktamen järjesti webinaarin, jossa huippuasiantuntijat keskustelevat kyberrikollisuudesta ja terveydenhuollon tietoturvasta. Mukana mm. F-Securen tutkimusjohtaja Mikko Hyppönen.

Tallenne on katsottavissa Youtube-kanavallamme.

Edellinen

Takaisin uutisiin