Tietoturva on hyvinvointialueiden päättäjien kriittinen huolenaihe: Vastaamon tapaus oli varoittava esimerkki siitä, ettei virheisiin ole varaa. Hyvinvointialueilla tuotetaan ja käsitellään suomalaisten arkaluontoisimpia tietoja.
Hajautetut palvelunestohyökkäykset terveydenhuollon järjestelmiin ovat lisääntyneet viime kuukausien aikana. Niillä hidastetaan järjestelmien toimintaa, mikä on merkittävä ongelma terveydenhuollossa, sillä se voi estää esimerkiksi potilaiden tietojen kirjaamisen tai tarkastelemisen.
Terveystietoja käytetään yhä enemmän myös kiristyksen välineenä, kuten Psykoterapiakeskus Vastaamon tietomurron yhteydessä. Vastaamosta varastettiin asiakkaiden henkilö- ja potilastiedot, joita käytettiin myöhemmin kiristysyrityksissä ja julkaistiin Tor-verkossa.
WithSecuren tutkimusjohtaja Mikko Hyppösen mukaan lisääntyvä terveystiedoilla kiristäminen kertoo hyökkääjien valmiudesta aivan erilaiseen julmuuteen kuin perinteisissä finanssialaan kohdistuvissa hyökkäyksissä:
“Vastaamon tapaus on malliesimerkki siitä, miten häikäilemätön hyökkääjä pystyy kiristämään rahaa terveystiedoilla. Se ei ehkä kaikilta hyökkääjiltä onnistu. Kasvottomien dollari- tai euromäärien vieminen tileiltä on vähän erilainen hyökkäys kuin terveystietojen vieminen ja niiden avulla kiristäminen.”
Inhimillisen kärsimyksen ja suuren mediakiinnostuksen ohella Vastaamon tietomurto loi julkiselle sektorille paineen varmistua palveluiden riittävästä tietoturvasta.
Hyvinvointialueiden tietoturva kuntoon
Hyvinvointialueet ovat kansainvälisesti ainutlaatuisia organisaatioita. Ne on muodostettu parsimalla yhteen kymmeniä aiemmin itsenäisesti toimineita organisaatioita, joilla on kaikilla omat tietojärjestelmänsä, toimintamallinsa ja ostopalvelusopimuksensa. Tietoturvan näkökulmasta riittää haasteita.
“Sote-uudistuksen yhteydessä yhdistetään erilaisia järjestelmiä toisiinsa. Se on poikkeuksellista ja tietoturvan kannalta ongelmallista, koska mitä monimutkaisempia järjestelmämme ovat, sitä vaikeampi niitä on hallita. Tähän kun lisätään vielä julkishallinnon yleisin ongelma eli vanhentuneet järjestelmät, niin meillä on aikamoinen soppa, jossa kyllä riittää töitä .”, Hyppönen pohtii.
Keski-Suomen kolmiloikka tietoturvan hallintaan
Keski-Suomen hyvinvointialueen tietoturvasta vastaava tietohallintojohtaja Ari-Pekka Paananen korostaa, että tietoturvan hallinnassa on tärkeää kartoittaa oman organisaation kyvykkyydet: “Kun asiantuntemus on selvillä, mietitään niitä haasteita ja kyberuhkia, joita eri tehtävissä kohdataan. Onko meillä oikeantyyppistä osaamista riittävästi siellä missä sitä tarvitaan?”
Omana kokonaisuutenaan tulee teknisen tietoturvan selvittäminen: “Täytyy nähdä sekä metsä että jokainen puu, josta se koostuu. Missä meillä on heikkouksia? Mitkä järjestelmät tai laitteet ovat vanhentumassa? Sitä kautta selvitetään, minkälaisia sopimuksia eri palveluista on.”
On myös tärkeää selvittää organisaation toimintamallit ja varmistaa jatkuvuuden hallinta, esimerkiksi tietomurtojen varalta. Jokaisella hyvinvointialueella on monenlaisia toimintamalleja, joiden yhtenäistämisessä riittää tehtävää.
“Valtaosa toimintamalleista yhdistyy ja tehtävä on todella massiivinen! Siitä huolimatta näitä asioita täytyy selvittää eli työhön täytyy nöyrästi ryhtyä. Keskeistä on myös jatkuvuuden hallinta, eli miten toimitaan silloin, jos esimerkiksi joudutaan tietomurron kohteeksi tai jopa uhriksi. Kuinka varmistetaan, että palvelutuotanto eli kriittinen hoito pystytään toteuttamaan myös poikkeustilanteessa?”, Paananen luettelee.
Kun organisaation lähtökohta on selvitetty, muodostetaan tietoturvan tilannekuva. Johdolle välitetään ymmärrys yksittäisistä haavoittuvuuksista ja tietoturvan kokonaiskuvasta. Lopulta päästään pohtimaan seuraavia vaiheita ja priorisoimaan tehtäviä, Paananen kuvaa tietoturvan hallinnan kaarta: “Kolmannessa vaiheessa päästään vasta siihen hienoimpaan tilanteeseen eli miettimään, mitä halutaan tehdä ja mikä on se seuraava vaihe.”
Hyvinvointialueuudistus haastoi tietoturvan
Keski-Suomessa tietojärjestelmien ja toimintamallien yhtenäistämisen kanssa eletään edelleen muutostilanteessa. Siirtymä on onnistunut hyvin ilman palvelukatkoja.
“Se ei ole mikään vähäinen saavutus! Kehitämme toimintaa ja yhtenäistämme järjestelmiä kovalla tahdilla ja muutosprojekti on vielä vahvasti menossa, mutta aina täytyy pitää mielessä, että meidän pitää kuitenkin hoitaa ihmisiä koko ajan riippumatta siitä, millainen uudistus olisi meneillään.”, Paananen toteaa.
Keski-Suomessa 20 suurinta ostopalvelujen hankintasopimusta kattaa 90% kustannuksista. Paanasen mukaan suurin osa toiminnasta onkin jo saatu nykyaikaisten sopimusten piiriin:
“Pienissäkin sopimuksissa voi kuitenkin olla merkittävästi kosketuspintaa henkilötietojen käsittelyyn. Tietoturvan kanssa pitää aina pitää mielessä, että ketju on niin vahva kuin sen heikoin lenkki, joten työ ei ole valmista ennen kuin kaikki sopimukset on saatu ajan tasalle.”
Lapissa viedään uudistuksia maaliin
Kuntapuolella elettiin lähes 15 vuotta epätietoisuudessa siitä, milloin vastuu toiminnasta siirtyy hyvinvointialueille. Monin paikoin se on tarkoittanut, että uudistuksia on jätetty tekemättä ja toimintamalleja ei ole lähdetty yhtenäistämään.
Lapin hyvinvointialueen tietohallintojohtaja Vesa-Matti Tolonen kertoo, että työtä vyyhdin purkamiseksi on edessä, vaikka Lapissa ollaankin jo pitkällä kehityksessä:
“Meillä on ollut ICT-infraan liittyviä muutoshankkeita jo puolitoista vuotta käynnissä työasemien, tietoliikenteen ja palvelimien osalta. Tätä työtä on tehty ainakin näiden kahden viimeisimmän sote-kierroksen aikana, joista nyt tämä viimeisin ylsi maaliin.
Valmistelutyö on näkynyt myös arkkitehtuurissa eli meillä on selkeä tilannekuva olemassa. Emme lähteneet pakkasen puolelta liikkeelle, vaan ollaan ehkä päästy lähtemään jostakin nollasta. Meillä on tekemisille selkeähkö kuva.”
Tietoturvan tasosta on aiemmin riittänyt vahvistukseksi toimittajan ilmoitus. Tolosen arvion mukaan esimerkiksi Vastaamon tapauksessa toimittajalta puuttui tarvittava osaaminen tietoturvan varmistamiseksi, eikä ostajilla välttämättä ollut täysin ymmärrystä siitä, miten tietoturvaa pitäisi käsitellä hankintojen yhteydessä: “Ei voi olla luottamusta ilman valvontaa, kun kyse on tietoturvasta.”
Nykyään hankinnoissa ollaan viisaampia, ja Tolonen on tyytyväinen, että toimittajien vastuut ja tietohallinnon rooli ymmärretään paremmin:
“Tietohallinto on aina mukana arvioimassa, miten hankinta vaikuttaa hyvinvointialueen tietoturvaan kokonaisuutena ja varmistamassa, että toimittajan tietoturva on vaaditulla tasolla.”
Lisätietoja: Olavi Valkama, toimitusjohtaja, olavi.valkama@diktamen.com