Tietoturvaosaaja vinkkaa

Tietoturvaosaaja vinkkaa: Näin vältyttäisiin Vastaamon vuodon kaltaisilta katastrofeilta – kolme tapaa

Potilastietojärjestelmiin erikoistuneen Atostekin tietoturvapäällikkö kertoo kolme tapaa, joilla potilaiden tiedot pysyisivät jatkossa paremmin turvassa.

Psykoterapiakeskus Vastaamon tietomurto on herättänyt yritykset ja julkiset organisaatiot pohtimaan tietoturvansa tasoa. Ohjelmistoyritys Atostekin tietoturvapäällikkö Jaakko Perkiö esittää kolme keinoa, joilla vastaavilta tilanteilta jatkossa vältyttäisiin.

1. Vahvaa tunnistautumista on lisättävä

Osa terveydenhuollon ammattilaisista pääsee organisaatioidensa järjestelmissään käsiksi potilastietoihin ilman vahvaa tunnistautumista. Siksi Perkiön mielestä terveydenhuollon omissa tietojärjestelmissä tulisi ehdottomasti olla käytössä vahva tunnistautuminen.

”Terveydenhuollon tietojärjestelmien tietoturvavaatimuksia tulisi kiristää. Tietojärjestelmät eivät missään tilanteessa saisi näyttää loppukäyttäjille mitään potilaan tietoja ilman vahvaa tunnistautumista”, Perkiö painottaa.

Terveydenhuollon omien järjestelmien rajapintojen kautta kulkee sote-asiakastietoja järjestelmästä toiseen. Perkiö varoittaa tässä piilevästä vakava tietoturvariskistä, jos tieto kulkee ilman, että kenenkään on tunnistauduttava vahvasti välissä. Järjestelmissä pitäisi kerätä lokitietoa siitä, kuka tietoa on käsitellyt.

2. Tietoturva-auditoinnin kaikkiin potilastietoa sisältäviin järjestelmiin

Suomessa sosiaali- ja terveydenhuollon tietojärjestelmät on jaettu kahteen luokkaan, A:han ja B:hen. Karkeasti jaoteltuna A-luokkaan kuuluvat kaikki Kanta-palveluun kytketyt järjestelmät. Niille vaaditaan pakollinen ulkopuolisen tekemä tietoturva-auditointi eli tietoturvakartoitus.

Perkiön mukaan tietomurtojen riski pienenisi, jos myös B-luokan järjestelmät tietoturva-auditoitaisiin.

A-luokan tietojärjestelmien yhteentoimivuus Kanta-palvelun kanssa varmistetaan niin kutsutulla yhteistestaamisella. Rajapintojen yhteensopivuuden testaaminen ei Perkiön mukaan paranna tietoturvaa. Siksi hänen mielestään yhteentoimivuustestauksen piiriin ei kannata tuoda nykyistä enempää järjestelmiä.

3. Uusi C-luokitus

Hallitus antoi eduskunnalle syksyllä esityksen uudesta asiakastietolaista. Julkisessa keskustelussa on välillä väitetty virheellisesti, että uusi laki poistaisi kokonaan B-luokituksen ja jättäisi jäljelle pelkän A:n.

Tämä ei pidä paikkaansa: Perkiön mukaan uudessakin asiakastietolaissa olisi yhä voimassa A- ja B-luokat.

Perkiö ehdottaa, että näiden lisäksi perustettaisiin kolmas, C-luokka. C-luokkaan kuuluisivat sellaiset järjestelmät, jotka eivät itse säilytä käsittelemiään arkaluontoisia sote-asiakastietoja. Järjestelmä säilöisi tiedon vain Kanta-palveluun oman järjestelmän sijaan. Omaan järjestelmään jäisivät vain esimerkiksi ajanvaraukset ja muut hieman vähemmän arkaluontoiset tiedot.

”Tällaisten järjestelmien olisi helpompi toteuttaa tietoturvaominaisuudet ja siten läpäistä auditointi, koska niissä säilytetään vähemmän riskialtista tietoa”, Perkiö sanoo.TIVI”Tällaisten järjestelmien olisi helpompi toteuttaa tietoturvaominaisuudet ja siten läpäistä auditointi, koska niissä säilytetään vähemmän riskialtista tietoa”, Perkiö sanoo.

LÄHDE: TIVI 30.11.2020