Vastaamon tietomurto horjutti monen uskoa terveydenhuollon tietoturvan kestävyyteen ja potilastietojen turvalliseen säilytykseen. Ylioppilaiden terveydenhoitosäätiön tietosuojavastaava Marjo Tipuri kertoo, että tapaus on huomioitu myös YTHS:n puolella. Tietoturvaa on vahvistettu muun muassa parantamalla asiakkaan tunnistamista.
“Olemme pyrkineet kaikin keinoin toimimaan niin, että tällainen hyökkäys olisi mahdollisimman epätodennäköinen. Lainaan tähän KRP:n rikostarkastaja Pentti Kangasniemen sanoja: mikään ei ole mahdotonta, kun verkkoihin mennään“, Tipuri vastaa sähköpostin välityksellä.
Hyökkäykset olisikin torjuttava, sillä ensi vuoden alusta alkaen Ylioppilaiden terveydenhoitosäätiö huolehtii kaikkien korkeakouluopiskelijoiden terveydenhuollosta. Jos opiskelijamäärät pysyvät kutakuinkin samana, YTHS:n piirissä tulee olemaan lähes 300 000 opiskelijan potilastiedot.
Tipuri kertoo, että YTHS:llä tietoturvaan on kiinnitetty erityistä huomiota. Epätoivottuja urkkijoita vastaan on varauduttu teknisillä ratkaisuilla kuten palomuureilla, vahvalla tunnistautumisella, käyttöoikeuksien rajaamisella ja salatuilla yhteyksillä. Tämän lisäksi ulkopuolinen arviointilaitos tarkistaa ja testaa järjestelmät säännöllisesti.
“Potilastietojärjestelmien hankinnassa ja uusien toimintojen kehittämisessä tietojen turvaaminen on ensisijaista”, Tipuri vakuuttaa.
Suomessa Sosiaali- ja terveysalan virasto valvoo, että terveyshuollon potilastietojärjestelmät täyttävät vaaditut standardit. “Tietojärjestelmän valmistaja on vastuussa vaatimustenmukaisuuden osoittamisesta”, Valviran sivuilla kerrotaan.
“Käytössämme olevat järjestelmät ovat Valviran luokituksessa A-luokkaa.”
Terveydenhuollosta aikaa varaava saattaa epäröidä Vastaamon tapauksen jälkeen. Omien tietojen vuotaminen kaikkien luettavaksi on ajatuksenkin tasolla ahdistavaa. Mikä on YTHS:n viesti asiaa murehtiville?
“Yllä mainituilla toimenpiteillä olemme turvanneet asiakkaiden tiedot. Käynnin jälkeen asiakastiedot näkyvät OmaKannassa ja sieltä opiskelija pystyy hyvin näkemään, mitä hoitokäynnistä on kirjattu.”
“Useimmissa toimipisteissä on psykologeja, joiden kanssa tästä Vastaamon tapauksesta ahdistuneet asiakkaat voidaan ohjata keskustelemaan. Ahdistuksensa kanssa ei kannata jäädä yksin.”
YTHS:n henkilökunta on saanut koulutusta tilanteisiin, joissa potilastiedot ovat uhattuina. Toimintaohjeet annetaan henkilökunnalle tapauskohtaisesti.
“Henkilökuntaa on ohjeistettu kaikissa mahdollisissa epäillyissä tai todellisissa tietosuojaa tai -turvaa koskevissa häiriötapahtumissa ottamaan välittömästi yhteyttä omaan esimieheensä tai suoraan tietosuojavastaavaan”.
Miten mahdollisesta kiristysyrityksestä tai tietovuotoepäilystä sitten kannattaa ilmoittaa, jos opiskelija sellaisen huomaa?
“Yhteydenotot tehdään tietosuojavastaavalle yths.fi-sivustolla olevan lomakkeen kautta, jolloin vaaditaan vahvaa tunnistautumista (Suomi.fi). Tällöin viestit asiakkaan ja tietosuojavastaavan välillä ovat suojattuja. Tietosuojavastaavalle voi myös soittaa puhelinaikana perjantaisin.”
Psykologi ja psykoterapeutti Tommi Hartikainen rauhoittelee tietomurtoa murehtivia.
“Jos pelko kohdistuu siihen, että omat tiedot on levinneet jonnekin, niin sen takia ei kannata olla hakematta apua.”
Vastaamon tapauksesta kumpuavat huolet eivät hänen mukaansa eroa muidenkaan pelkojen käsittelystä. Tärkeintä on hakea apua.
“Jos pelkotilat menevät selvästi normaalia voimakkaammaksi tai alkaa oirehtia niin, että menettää yöunensa tai mielessä jatkuvasti kiertävä pelko haittaa arkielämää, niin kannattaa hakeutua jonkinlaisen avun äärelle.”
Tietojen säilyttäminen ja tietojärjestelmiin kirjaaminen aiheuttaa joissakin epäilyksiä. Potilastietojen koskevat säädökset ovat Hartikaisen mukaan kuitenkin melko tiukat.
“Kirjanpitoa ei saa olla kahteen kertaan, se on kiellettyä. Kun psykologi tai psykoterapeutti tekee muistiinpanoja vastaanoton aikana, niin tunnin jälkeen hänen tekee niiden perusteella kirjauksen joko sähköiseen järjestelmään tai paperille. Sen jälkeen alkuperäiset muistiinpanot on hävitettävä.”
Psykologiliiton psykoterapian ammatillisen työryhmän puheenjohtajana toimiva Hartikainen on optimistinen tulevaisuuden suhteen.
“Tämä Vastaamo oli yksittäinen tapaus ja ilmeisesti ensimmäinen Suomessa. Voi olettaa, että siitä opitaan ja tällainen on varmaan harvinaisempaa tämän jälkeen.”
Kyberturvallisuutta tulisi opettaa jo peruskoulussa
Tohtori Martti Lehto toimii Jyväskylän yliopiston kyberturvallisuuden työelämäprofessorina informaatioteknologian tiedekunnassa. Kysyimme häneltä Vastaamon tapaukseen ja tietoturvaan liittyviä polttavia kysymyksiä. Haastattelu on perinteisessä kysymys/vastaus-muodossa.
Psykoterapiakeskus Vastaamoon kohdistunut tietomurto herätti laajaa keskustelua potilasturvasta ja tietojärjestelmien haavoittuvuuksista. Millaiseksi arvioit Vastaamon tilanteen vakavuuden?
“Kysymys on vakavasta tietomurrosta, koska kohteena on ihmisten henkilökohtaiset potilastiedot, joiden avulla vielä kiristetään ihmisiä ja urkitaan ihmisten terveystietoja”.
Murtoon johtanut tapahtumaketju nostaa monia kysymyksiä ja huolia. Tulevatko tällaiset murrot lisääntymään tulevaisuudessa?
“Valitettavasti tietomurtojen määrä on lisääntymään päin ja terveydenhuolto on kyllä edelleen kohteena. Hyökkääjät hakevat arvokkaita tietoja, joilla tehdä nopeasti rahaa ja sitä terveystiedot ovat.
Viime vuosina terveydenhuolto on ollut erilaisten datamurtojen kohteena merkittävällä tavalla. Esimerkiksi vuonna 2018 tietomurron kohteeksi joutui Yhdysvalloissa 13,3 miljoonaa potilastietoa (nimiä, sosiaaliturvatunnuksia, puhelinnumeroita, osoitteita, luottokorttitietoja ja myös terveystietoja)”.
Viranomaiset ovat epäilleet, että murron tekijä ja kiristäjä olisivat keksi eri henkilöä. Tekijät toimivat salatussa TOR-verkossa ja lunnaaksi vaadittiin vaikeasti jäljitettävää virtuaalista Bitcoin-rahaa. Millaisia keinoja viranomaisilla on tekijöiden kiinniottamiseksi?
“Kyberturvallisuusrikosten tutkinta pyrkii löytämään kyberrikoksen tekijän ja saattamaan tämän oikeudelliseen vastuuseen. Kaikissa poliisilaitoksissa toimii digitaalisen todistusaineiston käsittelyyn ja analysoimiseen erikoistuneita yksiköitä. Keskusrikospoliisissa on lisäksi tietoteknisen tutkinnan yksikkö. Haasteena rikostutkijoilla on löytää tietoverkosta se oikea IP-osoite, josta kyberhyökkäys on käynnistetty.
EU-alueella kaikista tietomurtojen tekijöistä saadaan kiinni 0,15 prosenttia. Riippuu paljon hyökkääjän taitavuudesta, eli siitä, osaako peittää jälkensä. Bitcoinien käyttö hankaloittaa lunnasrahan seuraamista”.
Vastaamon tapaus oli hälyttävä esimerkki tietoturvan laiminlyönnistä. Mitä tietomurtojen estämiseksi voitaisiin oikeasti tehdä?
“Hyökkäysten onnistuminen johtuu haavoittuvuuksista, joita on ihmisten toiminnassa, organisaation prosesseissa ja käytettävässä teknologiassa. Valitettavasti ihmiset toimivat epäviisaasti netissä: avaavat liitetiedostoja tuntemattomien lähettäjien viesteistä, klikkaavat hujausviestien linkkejä ja niin edelleen.
Tietotekniikassa on haavoittuvuuksia niin ohjelmistoissa kuin laitteissa. Nämä asiat tulisi saattaa kuntoon. Meidän jokaisen osaamista tulee parantaa ja organisaation kyberturvallisuusprosesseja tulee tehostaa vastaamaan muuttuvia olosuhteita. Sitten ohjelmistotuottajien, laitevalmistajien ja internetpalvelualustojen tarjoajien tulee myös parantaa toimintaansa tuottamalla kyberturvallisempia tuotteita ja palveluita.
Olen usein käyttänyt mottoa ”Security by Design” eli kyberturvallisuussuunnittelu tulee aloittaa tuotteen ja palvelun suunnitteluvaiheessa. Myöhemmin päälle rakennetut turvallisuusratkaisut eivät valitettavasti toimi”.
Millä tolalla Suomen ja suomalaisten tietoturva on verrattuna muuhun maailmaan?
“Eri maiden tietoturvallisuuden tilaa mitataan erilaisin mittarein. Niissä Suomi sijoittuu reilusti kärkikymmenikköön, teemme siis paljon oikeita asioita oikein”.
Onko koulussa tarpeeksi valistusta yksilön tietosuojasta ja sen turvallisuutta uhkaavista tekijöistä?
“Kyberturvallisuusvalistuksen tulisi alkaa jo peruskoulussa, ehkä osin jo varhaiskasvatuksessa. Turvallisesta toiminnasta digitaalisessa maailmasta tulisi saada kansalaistaito kaikille. Kuten kaikille opetetaan, miten toimitaan tieliikenteessä, niin kaikille tulee opettaa kuinka toimia internetin maailmassa”.
Miten voisi itse varautua parhaiten tietomurron varalle?
“Turvallisella nettityöskentelyllä vältetään oman toiminnan aiheuttamia kyberturvallisuusriskejä. Omassa toimintaympäristössä (työssä, kotona, yliopistolla) tulee noudattaa omalta osaltaan kyberturvallisuusohjeita ja siten edistää kyberturvallisuuskulttuuria”.
Ohessa on Lehdon 12 ohjetta ja muistutusta turvalliseen toimintaa netissä:
- Muista nettipalveluihin liittyessäsi, ettei mikään ole oikeasti ilmaista
- Pyri ymmärtämään käyttämiesi palveluiden käyttöehdot
- Käytä kaikissa nettilaitteissa luotettavia suojausohjelmistoja ja hoida päivitykset
- Kaikki nettiin laitettu on siellä ikuisesti – mieti mitä sinne tallennat
- Käytä hyvää salasanaa (jokaiseen palveluun oma uniikki salasana), äläkä tallenna sitä selaimeen
- Hoida raha-asioita vain oman tutun pankkisi kanssa
- Älä ole yhteydessä tuntemattomiin netissä
- Älä avaa epäilyttäviä posteja, erityisesti niiden liitetiedostoja tai klikkaa linkkejä
- Älä liitä laitteisiisi muiden lisälaitteita (USB-tikku, irtokovalevy, nettikamera jne.)
- Toteuta toimiva varmuuskopiointijärjestely: irtokovalevy irti netistä, pilvipalvelu
- Se mikä tuntuu netissä tosi upealta, on erittäin todennäköisesti huijausta
- Kaikessa nettityöskentelyssä tarvitaan tervettä epäluuloa