Vastaamon tapaus paljasti räikeän puutteen laissa – 260 terveydenhuoltoyrityksen tietoturva omavalvonnassa

Vastaamon tietojärjestelmä kuuluu niin sanottuihin B-luokan järjestelmiin, joilta laki ei edellytä ulkopuolista turvallisuuden arviointia. Valviran mukaan Suomessa on Psykoterapiakeskus Vastaamon lisäksi 260 erikokoista terveydenhuollon yritystä, joiden tietoturva perustuu käytännössä omavalvontaan.

– Yritysten tietojärjestelmien valmistajilla ja käyttäjillä on lakisääteinen velvollisuus ilmoittaa mahdollisista häiriötilanteista. Tämän jälkeen Valvira voi pyytää heiltä lisäselvitystä korjauksista, mitä havaituille tietoturvaongelmille on tehty. Käytännössä ei ole mitään ennakkosertifiointia tai hyväksymismenettelyä. Näille B-luokan järjestelmille ei ole myöskään säännönmukaista laajaa tarkastustoimintaa, toteaa yli-insinööri Arto Härkönen Valvirasta

Vastaamo on yksi suurimmista yrityksistä, jonka toiminta on perustunut omavalvontaan. Häiriöistä sekä niiden korjaamisesta olisi pitänyt ilmoittaa.

Lue myös: Vastaamon toimitusjohtaja pimitti tietomurron yli 1,5 vuotta – sai nyt potkut, yritys aloittaa oikeustoimet

Vastaamon turvallisuus pettänyt pahasti

Digi- ja väestötietoviraston mukaan turvallisuus on pettänyt pahasti Vastaamon tapauksessa.

– Riskinhallinnan tason ja turvallisuuden tason pitää olla niin lähellä sataa prosenttia kuin on mahdollista, arvioi johtava erityisasiantuntija Kimmo Rousku Digi- ja väestötietovirastosta Uutisaamussa.

– Tässä tapauksessa siellä on [turvallisuus] pettänyt. Syynä voi olla jokin tekninen järjestely,  inhimillinen erehdys tai piittaamattomuus huolehtia turvallisuudesta tai asiakkaiden henkilötiedoista

Vähemmistö tietojärjestelmistä ulkopuolisen valvonnassa

Helsingin ja Uudenmaan sairaanhoitopiirin tietojärjestelmät kuuluvat tiukasti valvottuun A-luokkaan, joita Suomessa on 70 ja omavalvontaa pohjautuvia järjestelmiä on peräti 260.

A-luokan järjestelmät arvioidaan etukäteen ulkopuolisen asiantuntijan toimesta ja ne sertifioidaan.

Vastaamon kaltainen tietomurto olisi HUS:issa lähes sula mahdottomuus, koska henkilötiedot ja potilastiedot ovat eri järjestelmissä.

– Digitaalisella hoitopolulla tapahtunut yhteydenpito on yhteydessä ainoastaan tunnus-ID:hen ja toisessa paikassa käytössä on ID ja henkilötunnus, eli tietomurtautujan pitäisi samanaikaisesti murtautua erittäin taitavasti kahdesta suunnasta päästäkseen meidän potilastietoihin käsiksi, sanoo it-kehitysjohtaja Visa Honkanen HUS:ista.

Lue myös: Aleksi Valavuori joutui tietomurron kohteeksi ja julkaisi kuvan kiristyskirjeestä – kertoo nyt, kuinka reagoi viestiin