Sote-palveluiden kyberturvallisuudessa huomio kiinnittyy erityisesti asiakas- ja potilastietojen tietosuojaan. Teknisiä suoja- ja turvatoimia on käytössä paljon ja digitaalisiin tietoihin pääsy onnistuu vain mahdollisimman turvallisilla ratkaisuilla. Hyvä niin, mutta valitettavasti samaan aikaan moni asia ontuu käytännön tasolla. Arjen toiminnassa tietoturva vaarantuu ja tietosuoja loukkaantuu päivittäin.
Käytännön esimerkkejä arjen tietoturvaloukkauksista
Ajanvaraus sote-palvelunantajalle puhelimitse. Käytössä on takaisinsoittopalvelu. Takaisinsoitto tapahtuu kesken työpäivää oloihin, joissa on koko ajan vieraita ihmisiä ympärillä. Uloslähtökään ei auttaisi, koska vilkkaalla alueella on aina ihmisiä liikkeellä. Ensin kysytään nimeä ja henkilötunnusta, sitten pyydetään sanelemaan kotiosoite. Jos taustahälyä on enemmän, tietoja voi joutua toistamaan ja asioita artikuloimaan tavanomaista kovemmalla äänellä. Sama toistuu myös, jos pitäisi saada puhelimitse vaikkapa tutkimustuloksia. Henkilötietoja joutuu kailottamaan sivullisten kuullen, jolloin ei voi mitenkään tietää päätyvätkö juuri ääneen lausutut tiedot esim. identiteettivarkauden välineiksi.
- Ehkä osassa tilanteita pitäisi pystyä luottamaan puheluun vastanneeseen ihmiseen sen sijaan, että henkilötietojaan joutuu kailottamaan kaiken kansan keskellä.
Toipumistilanne sairaalassa leikkausoperaation jälkeen. Samassa huoneessa on muitakin potilaita. Hoitaja kyselee koko nimen, henkilötunnuksen sekä osoitetiedot. Kotiutuvan potilaan henkilö- ja terveystiedoista keskustellaan yksityiskohtaisesti kaikkien kuullen. Uusi potilas tulee tilalle ja taas käydään läpi nimet, henkilötunnukset tai syntymäaika – sekä tietysti osoitteita ja läheisten tietoja. Artikulointi selkeytyy ja ääni hieman korottuu etenkin tilanteissa, joissa potilas tai työntekijä ei ole äidinkieleltään suomalainen.
- Suurempi luottamus fyysisesti läsnä olevan potilaan oikeaan henkilöllisyyteen voisi olla toivottavaa – useimmitenhan potilaalla on viivakoodiranneke, josta pitäisi pystyä tarkistamaan henkilöllisyys ja muut perushenkilötiedot.
Fyysinen turvallisuus sekä kulunvalvonnan ja pääsynhallinnan turvallisuus voivat myös pettää. Ovi, jonka pitäisi olla kiinni, voidaan remontti- tai huoltotoimien vuoksi jättää ja jopa kiilata auki. Kulkulätkää heilautetaan tai lainataan toiselle. Salasana tai pin-koodi on tarralapulla, joka voi näkyä sivullisille.
- ”Avointen ovien päivät” -tilanteisiin voisi järjestää henkilöitä valvontatehtäviin. Pelkästään valvontakameroita lisäämällä kaikkea ei kuitenkaan voi ratkaista, koska se vaatisi asentamisen lisäksi mahdollisesti keskusteluita uudenlaisesta valvonnasta muutoinkin.
- Tietojärjestelmien tulisi palvella käyttäjiään. Ei niin, että käyttäjät alistetaan eri tunnistautumismenetelmien multitaskaajiksi, joilla ei ole edes mahdollisuutta muistaa kaikkia eri käyttäjätunnuksia, salasanoja tai pin-koodeja.
Uudet teknologiat ovat jo arjessamme mukana
Automaatio, robotisaatio, tekoäly ja oppivat ohjelmistot auttavat jo nyt huomattavasti tietojen käsittelyssä. Ihmisinä olemme edelleen ”ruususen unessa”, jossa kuvittelemme näiden uusien tekniikoiden tulevan vasta hamassa tulevaisuudessa. Tosiasiassa ne ovat jo olemassa ja käytämme niitä lähes päivittäin – ainakin kaikki ne, joilla on älypuhelimet ja internet.
Ajankohtaisena nostona on tekoäly. Siltä voi kysyä mitä tahansa, pyytää kirjoittamaan laulun, runon tai jopa kirjan. Vain muutamassa sekunnissa saa varsin kelvollisen vastauksen tai tekstin. Tekoäly voi auttaa sote-palveluiden tarjoajia ja palveluiden käyttäjiä tiedonhaussa ja diagnosoinnissa. On inhimillistä ajatella, ettei tekoälyn tietoon voisi luottaa, mutta useimmiten tekoälyn antamat tiedot ovat täsmällisempiä ja laajempia kuin mitä asiantuntija-ihminen pystyy lyhyessä ajassa kertomaan.
Valitettavasti tekoälyä voi hyödyntää myös rikollisiin tarkoituksiin, esimerkiksi haitallisen ohjelmistokoodin tuottamiseen tai operaatioiden suunnitteluun. Voisi olettaa, että ongelma ratkeaisi kieltämällä tekoälyltä suorat rikolliset käsitteet, mutta eivät ne kyvyt ja taidot mihinkään poistu. Vain mielikuvitus on rajana, miten kiellot ja rajoitteet pystytään kiertämään esimerkiksi ilmaisemalla rikolliset asiat muilla termeillä.
Miten kokonaisvaltainen kyberturvallisuus varmistetaan?
Kybertoimintaympäristö on niin turvallinen kuin sen heikoin lenkki. Vain valituista digitaalisten turvallisuuden asioista huolehtiminen ei ratkaise kokonaisturvallisuutta, jos ns. perälauta vuotaa. Kyberturvallisuus varmistetaan tunnistamalla uhkia ja riskejä sekä suojautumalla niiltä. Toiminnan jatkuvuussuunnittelu ja palveluiden/järjestelmien toipumissuunnittelu ovat välttämättömiä huolehdittavia asioita.
Tyypillisiä kyberuhkia ovat erilaiset kyberhäiriöt ja tietoturvauhkat kuten esimerkiksi:
- Kyberrikollisuus, tietoverkkorikollisuus
- Kybervakoilu ja -operaatiot, esimerkiksi seuranta, trollaaminen tai maalitus
- Kyber- tai hybridivaikuttaminen, palvelunestohyökkäykset ja kiristyshaittaohjelmat
- Valtiollisella tasolla myös kyber-, tietoverkko- tai informaatiosodankäynti
Tietojen – myös henkilötietojen – ja niiden käsittelyn turvallisuudesta on huolehdittava riippumatta siitä, ovatko tiedot datamuotoista, printattua tai verbaalista.
Kattavan kyberturvallisuuden toteuttamisessa tulee ottaa huomioon:
- Hallinnolliset toimet kuten roolit, vastuut, periaatteet, ohjeet, koulutus ja sopimukset.
- Tekniset toimet kuten luotettavat järjestelmät, päivitykset ja vaatimustenmukaisuus.
- Valvonta- ja hälytysjärjestelmät, poikkeamien hallinnan menettelyt sekä viranomaisyhteistyö.
- Hallinnolliset ja tekniset arvioinnit, auditoinnit ja haavoittuvuuksien tarkastukset.
Tarvitessasi ammattilaisapua kyberturvallisuuden suunnitteluun, käytäntöön viemiseen, tietosuojan vaikutustenarviointeihin tai vaikkapa tekniseen tietoturvallisuuden testaamiseen, pyydä Netumin asiantuntijoita avuksesi. Pystymme auttamaan vahvan kokemuksemme ansiosta monipuolisesti niin hallinnollisissa kuin teknisissä toimissa joko kertaluonteisesti tai jatkuvana palveluna.
Arto Kangas
Johtava kyberturvallisuuskonsultti
arto.kangas(at)netum.fi
Arto Kangas, johtava kyberturvallisuuskonsultti. Arto on toiminut Netumilla turvallisuuden, tietoturvallisuuden, tietosuojan ja riskienhallinnan sekä valmius-, jatkuvuus- ja toipumissuunnittelun konsulttina vuodesta 2010 lähtien. Tietoturvallisuuden parissa hän on toiminut vuodesta 1999 alkaen ja tietosuojaan liittyviä tehtäviä on ollut noin puolet aktiivisesta työajasta jo vuodesta 2017 lähtien.
Haluatko lisätietoja? Ota meihin yhteyttä!
Lue muut asiaan liittyvät postaukset
29.05.2023 Blogi
Huolehtivatko sote-toimijoille palveluita tarjoavat yritykset riittävästä kyberturvallisuudesta?
25.04.2023 Blogi
Luonnollisen henkilön tietosuojaoikeudet sote-palveluissa
22.02.2023 Blogi
Sosiaali- ja terveyspalveluissa lokienhallinta on muutakin kuin pelkkää tietosuojaa – se on keskeinen osa kyberturvallisuutta
23.01.2023 Blogi