Viranomaiset valvovat potilastietojärjestelmien tietoturvallisuutta vain poikkeustapauksissa – Valvirassa ainoastaan yksi henkilö hoitaa tarkastustoimintaa

Tällainen järjestelmä on muun muassa psykoterapiapalveluja tarjoavalla Vastaamolla, jonka potilastietoja anastettiin. Järjestelmä on Vastaamon itsensä kehittämä.

Tavallisesti tietoturvallisuudesta vastaa järjestelmän valmistaja, ja Valvira puuttuu asiaan vain, jos valmistajat ilmoittavat poikkeamista tai ongelmista.

– Järjestelmän valmistajilla, samoin kuin järjestelmän käyttäjillä, on lakisääteinen velvollisuus ilmoittaa meille, jos niiden järjestelmien toiminnassa tai käytössä ilmenee poikkeamia toimivuudessa tai tietoturvassa, Valviran terveydenhuollon valvontaosaston yli-insinööri Antti Härkönen kertoo.

Tiukempi seula on järjestelmillä, jotka liitetään valtakunnalliseen terveystietojen Kanta-palveluun. Niiden osalta rekisteröinnin edellytyksenä on Kelan tekemä Kanta-yhteistestaus, minkä lisäksi niille tehdään tietoturva-arviointi.

Tällaisia A-luokan järjestelmiä Valviran rekisterissä on 82 kappaletta.

B-luokan tietojärjestelmien, eli esimerkiksi Vastaamon järjestelmän, kohdalla kelpoisuusehtoja ei ole. Ne ilmoitetaan Valviraan ja rekisteröidään, minkä jälkeen järjestelmät ovat ilmoittautuneet viranomaisvalvonnan piiriin.

Jatkuvaan valvontaan ei ole resursseja 

Asiakastietolain perusteella Valviralla on oikeudet tehdä tarkastuskäyntejä myös B-luokan tietojärjestelmien valvonnassa.

Käytännössä käyntejä tehdään kuitenkin harvoin. Tällä hetkellä Härkönen on ainoa tarkastuksia tekevä.

– Voi olla ihan satunnaisotantaan perustuvia tarkastuksia, mutta resursseista johtuen se on hyvin vähäistä tämmöinen proaktiivinen tarkastustoiminta, Härkönen sanoo.

Tietojärjestelmien ylläpitäjien ilmoitettua häiriöistä tai poikkeamista järjestelmien toiminnassa Valvira pyytää lisäselvitystä tai tekee tarkastuksen tarpeen mukaan.

Tarkastuksen yhteydessä viranomaiset keskustelevat tietojärjestelmien valmistajien ja käyttäjien kanssa yleisellä tasolla myös tietoturva-asioista sekä -käytännöistä.

Massahaut eivät ole mahdollisia Kannassa 

Kanta-järjestelmässä on valtava määrä suomalaisten potilastietoja, mutta sen tietoturvallisuuden on juurta jaksaen testannut ulkoinen tietoturvallisuuden arviointilaitos, kertoo Kanta-palveluiden pääarkkitehti Konstantin Hyppönen Kelasta.

– Käytännössä Kantaan pääsee rajapintoja pitkin, ja ne ovat tietoturvatestattuja. Rajapinnoissa on yleinen periaate, että kerrallaan haetaan aina tietyn henkilön tiedot, eli massahakuja ei ole mahdollistettu ollenkaan. Aina myös katsotaan, onko tietoja hakevalla organisaatiolla tai toimintayksiköllä hoitosuhde potilaaseen, Hyppönen sanoo.

Säilytettävät tiedot on myös suojattu monin tavoin, mutta Hyppönen ei tietoturvasyihin vedoten kerro niistä enempää.

Hyppösen mukaan Kelassa on käsitelty sähköisiä terveystietoja tietoturvallisesti jo 60-luvulta, ja tämä pitkä kokemus on yksi syy siihen, että Kanta-palvelut ovat Kelan vastuulla.

"Sadan prosentin varmuutta ei ole olemassa" 

Kyberturvallisuuden työelämäprofessori Martti Lehto Jyväskylän yliopistosta muistuttaa, että tietoturvassa sadan prosentin varmuutta ei ole olemassa.

– Nämä ovat ihmisten tekemiä järjestelmiä, joita ihmiset käyttävät, joten jonkinlainen riski on aina olemassa. Yleinen ongelma käyttäjän kannalta on se, että helppo käyttö johtaa heikoksi jäävään suojaukseen. Jos järjestelmä on riittävän moniportaisen tunnistuksen ja auktorisoinnin takana, sen käyttökin on usein vaikeampaa, hän sanoo.

Arkaluontoisten tietojen kohdalla voidaan Lehdon mukaan muun muassa rajoittaa vahvasti sitä, ketkä tietoihin voivat oikeasti päästä käsiksi, ja vaatia varmenteita tai kaksisuuntaista todennusta.

Käyttäjille voidaan myös antaa erilaisia oikeuksia esimerkiksi katsella, muokata tai ladata tietoja.

– Autentikoidaan ihmiset älykorttien avulla ja autentikoidaan laitteet ja ip-osoitteet, joista järjestelmään voi kirjautua ja niin edelleen. Se vaatii tietysti hallinnollisia toimenpiteitä, mutta sellaisia ratkaisuja on, Lehto kertoo.

Suomen tietoturvallisuustilanne on Lehdon mukaan yleisesti ottaen hyvä kansainvälisestikin vertailtuna.

Varsinkin energiateollisuuden, pankkien ja sairaaloiden kaltaiset elintärkeän infrastruktuurin toimijat ovat tiedostaneet tietoturvariskinsä ja rakentaneet järjestelmänsä niitä hallitsemaan.

Terveystiedot kiinnostavat hyökkääjiä 

Lehdon mukaan terveydenhuoltoala on ollut kasvava hyökkäysten kohde eri muodoissaan, koska sen tiedoilla on niin iso arvo.

– Tämä on tyyppiesimerkki siitä, millaiseksi maailma on mennyt: meidän henkilökohtaisilla tiedoillamme on arvoa yritykselle, joka käyttää niitä liiketoiminnassaan, mutta myös tällaista arvoa, jota rikolliset voivat käyttää hyväkseen ja vaatia lunnaita, hän kertoo.

Nykyisin yleinen hyökkäysmuoto on ollut tietojärjestelmän tai sen tietojen salaaminen niin, että käyttäjä ei pääse niihin käsiksi, jolloin hyökkääjä vaatii lunnaita salausavainta vastaan.

Toinen usein nähty keino on tehdä palvelunestohyökkäyksiä, joiden lopettamisesta vaaditaan rahaa.

– (Vastaamon) tyyppisissä palveluissa oleviin tietoihin kohdistuvat hyökkäykset ovat kasvussa, mikä tarkoittaa, että jokaisen organisaation tarvitsee käydä läpi omat turvallisuusprosessinsa. Ammattilaisten kanssa pitää selvittää, onko tehty kaikki, mitä voidaan tehdä, Lehto sanoo.

Päivitetty kauttaaltaan 23.10.2020 klo 16.20.