Hyppää pääsisältöön
TuoreimmatLiigaSääRikosPolitiikkaAsian ytimessä.doc
Uutiset
KotimaaUlkomaatRikosPolitiikkaTalousMielipiteetSää
Urheilu
LiigaMM-ralliJääkiekon MM-kisatJääkiekkoF1JalkapalloYleisurheilu
Viihde
SeurapiiritTV-ohjelmatElokuvatKuninkaallisetMusiikkiSalatut elämät
Lifestyle
RuokaTerveys ja hyvinvointiSeksi ja parisuhdeAutotHoroskooppi
Makuja
ReseptitRuokauutiset
Videot
MTV Uutiset LiveUusimmat
Tv-opas
Muistilista
  • MTV UutisetKonepajankuja 7
    00510 Helsinki
  • Uutistoimituksen päivystys010 300 5400
  • Uutisvinkkiuutiset@mtv.fi
  • WhatsApp040 578 5504
Sisällöt
  • Tomi Einonen
    Vastaava päätoimittaja
  • Ilkka Ahtiainen
    Uutispäätoimittaja
  • Mona Haapsaari
    Toimituspäällikkö
  • Teemu Niikko
    Toimituspäällikkö, urheilu
Liiketoiminta
  • Iina Eloranta
    VP, Channels and Digital Consumption
SuomiAreena
  • Jeremias Kontio
    Vastaava tuottaja
Muut palvelut
  • MTV Katsomo
  • SuomiAreena
Asiakaspalvelu
  • MTV Uutiset -palaute
  • MTV Katsomon asiakaspalvelu
  • Tietoa yhtiöstä
  • Avoimet työpaikat
  • Mainosta MTV:ssä
  • Tietosuojalauseke
  • Käyttöehdot
EtusivuVideotTuoreimmatLuetuimmatOdota

Viranomaiset valvovat potilastietojärjestelmien tietoturvallisuutta vain poikkeustapauksissa – Valvirassa ainoastaan yksi henkilö hoitaa tarkastustoimintaa

5:23Psykoterapiakeskuksen kiristäjä julkaisi terapia-asiakkaan arkaluontoisia tietoja – miten tietovuoto onnistui?Video: Psykoterapiakeskuksen kiristäjä julkaisi terapia-asiakkaan arkaluontoisia tietoja – miten tietovuoto onnistui?
Julkaistu 23.10.2020 15:14(Päivitetty 23.10.2020 16:21)

MTV UUTISET – STT

Suomessa on 260 sosiaali- ja terveydenhuollon potilastietojärjestelmää, joiden tietoturvallisuutta viranomaiset valvovat lähinnä poikkeustapauksissa.

Tällainen järjestelmä on muun muassa psykoterapiapalveluja tarjoavalla Vastaamolla, jonka potilastietoja anastettiin. Järjestelmä on Vastaamon itsensä kehittämä.

Tavallisesti tietoturvallisuudesta vastaa järjestelmän valmistaja, ja Valvira puuttuu asiaan vain, jos valmistajat ilmoittavat poikkeamista tai ongelmista.

– Järjestelmän valmistajilla, samoin kuin järjestelmän käyttäjillä, on lakisääteinen velvollisuus ilmoittaa meille, jos niiden järjestelmien toiminnassa tai käytössä ilmenee poikkeamia toimivuudessa tai tietoturvassa, Valviran terveydenhuollon valvontaosaston yli-insinööri Antti Härkönen kertoo.

Tiukempi seula on järjestelmillä, jotka liitetään valtakunnalliseen terveystietojen Kanta-palveluun. Niiden osalta rekisteröinnin edellytyksenä on Kelan tekemä Kanta-yhteistestaus, minkä lisäksi niille tehdään tietoturva-arviointi.

Tällaisia A-luokan järjestelmiä Valviran rekisterissä on 82 kappaletta.

B-luokan tietojärjestelmien, eli esimerkiksi Vastaamon järjestelmän, kohdalla kelpoisuusehtoja ei ole. Ne ilmoitetaan Valviraan ja rekisteröidään, minkä jälkeen järjestelmät ovat ilmoittautuneet viranomaisvalvonnan piiriin.

Jatkuvaan valvontaan ei ole resursseja 

Asiakastietolain perusteella Valviralla on oikeudet tehdä tarkastuskäyntejä myös B-luokan tietojärjestelmien valvonnassa.

Käytännössä käyntejä tehdään kuitenkin harvoin. Tällä hetkellä Härkönen on ainoa tarkastuksia tekevä.

– Voi olla ihan satunnaisotantaan perustuvia tarkastuksia, mutta resursseista johtuen se on hyvin vähäistä tämmöinen proaktiivinen tarkastustoiminta, Härkönen sanoo.

Tietojärjestelmien ylläpitäjien ilmoitettua häiriöistä tai poikkeamista järjestelmien toiminnassa Valvira pyytää lisäselvitystä tai tekee tarkastuksen tarpeen mukaan.

Tarkastuksen yhteydessä viranomaiset keskustelevat tietojärjestelmien valmistajien ja käyttäjien kanssa yleisellä tasolla myös tietoturva-asioista sekä -käytännöistä.

Massahaut eivät ole mahdollisia Kannassa 

Kanta-järjestelmässä on valtava määrä suomalaisten potilastietoja, mutta sen tietoturvallisuuden on juurta jaksaen testannut ulkoinen tietoturvallisuuden arviointilaitos, kertoo Kanta-palveluiden pääarkkitehti Konstantin Hyppönen Kelasta.

– Käytännössä Kantaan pääsee rajapintoja pitkin, ja ne ovat tietoturvatestattuja. Rajapinnoissa on yleinen periaate, että kerrallaan haetaan aina tietyn henkilön tiedot, eli massahakuja ei ole mahdollistettu ollenkaan. Aina myös katsotaan, onko tietoja hakevalla organisaatiolla tai toimintayksiköllä hoitosuhde potilaaseen, Hyppönen sanoo.

Säilytettävät tiedot on myös suojattu monin tavoin, mutta Hyppönen ei tietoturvasyihin vedoten kerro niistä enempää.

Hyppösen mukaan Kelassa on käsitelty sähköisiä terveystietoja tietoturvallisesti jo 60-luvulta, ja tämä pitkä kokemus on yksi syy siihen, että Kanta-palvelut ovat Kelan vastuulla.

"Sadan prosentin varmuutta ei ole olemassa" 

Kyberturvallisuuden työelämäprofessori Martti Lehto Jyväskylän yliopistosta muistuttaa, että tietoturvassa sadan prosentin varmuutta ei ole olemassa.

– Nämä ovat ihmisten tekemiä järjestelmiä, joita ihmiset käyttävät, joten jonkinlainen riski on aina olemassa. Yleinen ongelma käyttäjän kannalta on se, että helppo käyttö johtaa heikoksi jäävään suojaukseen. Jos järjestelmä on riittävän moniportaisen tunnistuksen ja auktorisoinnin takana, sen käyttökin on usein vaikeampaa, hän sanoo.

Arkaluontoisten tietojen kohdalla voidaan Lehdon mukaan muun muassa rajoittaa vahvasti sitä, ketkä tietoihin voivat oikeasti päästä käsiksi, ja vaatia varmenteita tai kaksisuuntaista todennusta.

Käyttäjille voidaan myös antaa erilaisia oikeuksia esimerkiksi katsella, muokata tai ladata tietoja.

– Autentikoidaan ihmiset älykorttien avulla ja autentikoidaan laitteet ja ip-osoitteet, joista järjestelmään voi kirjautua ja niin edelleen. Se vaatii tietysti hallinnollisia toimenpiteitä, mutta sellaisia ratkaisuja on, Lehto kertoo.

Suomen tietoturvallisuustilanne on Lehdon mukaan yleisesti ottaen hyvä kansainvälisestikin vertailtuna.

Varsinkin energiateollisuuden, pankkien ja sairaaloiden kaltaiset elintärkeän infrastruktuurin toimijat ovat tiedostaneet tietoturvariskinsä ja rakentaneet järjestelmänsä niitä hallitsemaan.

Terveystiedot kiinnostavat hyökkääjiä 

Lehdon mukaan terveydenhuoltoala on ollut kasvava hyökkäysten kohde eri muodoissaan, koska sen tiedoilla on niin iso arvo.

– Tämä on tyyppiesimerkki siitä, millaiseksi maailma on mennyt: meidän henkilökohtaisilla tiedoillamme on arvoa yritykselle, joka käyttää niitä liiketoiminnassaan, mutta myös tällaista arvoa, jota rikolliset voivat käyttää hyväkseen ja vaatia lunnaita, hän kertoo.

Nykyisin yleinen hyökkäysmuoto on ollut tietojärjestelmän tai sen tietojen salaaminen niin, että käyttäjä ei pääse niihin käsiksi, jolloin hyökkääjä vaatii lunnaita salausavainta vastaan.

Toinen usein nähty keino on tehdä palvelunestohyökkäyksiä, joiden lopettamisesta vaaditaan rahaa.

– (Vastaamon) tyyppisissä palveluissa oleviin tietoihin kohdistuvat hyökkäykset ovat kasvussa, mikä tarkoittaa, että jokaisen organisaation tarvitsee käydä läpi omat turvallisuusprosessinsa. Ammattilaisten kanssa pitää selvittää, onko tehty kaikki, mitä voidaan tehdä, Lehto sanoo.

Päivitetty kauttaaltaan 23.10.2020 klo 16.20.

Lisää aiheesta:

Asiantuntijalta tyrmäys Vastaamon tietoturvatoimille: "Eihän toimitusjohtaja voi ulkoistaa sitä vastuuta mihinkään"Estäisikö lakimuutos Vastaamon kaltaiset vuodot? Professori: "Portti on edelleen auki ja olemassa"Vastaamon tapaus paljasti räikeän puutteen laissa – 260 terveydenhuoltoyrityksen tietoturva omavalvonnassaKiristyksen kohteeksi joutuneen Vastaamon tietoturva selvitetään ja yhtiö joutuu pahimmillaan maksumieheksiKyberrikolliset kiinnostuivat potilastiedoista – "Siellä on yhteiskunnan avainhenkilöiden tiedot"Kiristysohjelmat jylläävät – tuttuja myös Suomen sairaaloissa
TerveydenhuoltoSairaalat ja hoitolaitoksetVastaamoKotimaa

Tuoreimmat aiheesta

Terveydenhuolto
  • ma20:38
    Kaisa Juuso

    Ministeri Juuso saamastaan kritiikistä: "Jos talous olisi hoidettu asianmukaisesti"

  • ma12:27
    Kaisa Juuso

    Ministeri Juuso syytti lappilaisia riitelystä ja hänen kritisoinnistaan: "Riehutte somessa ja haukutte minua"

  • ma08:17
    Vanhukset

    Lääkärimaksut ajavat ihmisiä ulosottoon – yksi väestöryhmä erottuu selkeästi

  • 25.10.20:20
    Sairaalat ja hoitolaitokset

    Näistä syistä hoitojonot paukkuvat: "Jotain lakia joutuu rikkomaan"

  • 24.10.06:35
    Saattohoito

    Arvokas kuolema ei toteudu kaikkialla Suomessa – puutteita puolessa hyvinvointialueista