Yli 250 sosiaali- ja terveysalan yrityksen tietoturvan tasoa ei valvota käytännössä lainkaan - Tietoturva - Ilta-Sanomat

Yli 250 sosiaali- ja terveysalan yrityksen tietoturvan tasoa ei valvota käytännössä lainkaan

Valviralla eivät riitä resurssit, tietoturvan taso on täysin yrityksen omalla vastuulla.

Psykoterapiakeskus Vastaamon tietoturvajärjestelmä kuuluu alempaan B-luokkaan – luokkaan, jossa Valviran ennakkovalvontaa tai -tarkastuksia ei käytännössä ole.­

26.10.2020 6:05

Suomessa on noin 260 sosiaali- ja terveydenhuollon alan yritystä, joiden tietoturvakäytännöt voivat olla hyvin vaihtelevat.

Sosiaali- ja terveydenhuollon tietojärjestelmiä valvoo Suomessa sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira. Sillä ei ole kuitenkaan resursseja valvoa likimainkaan kaikkia, joten monen yrityksen tietoturvan taso on puhtaasti yrityksen oman valveutuneisuuden ja huolellisuuden varassa.

Valviran yli-insinööri Antti Härkönen kertoo, että sosiaali- ja terveydenhuollon tietojärjestelmiä valvotaan asiakastietolain perusteella. Härkösen mukaan asiakastietolaissa käytössä olevat tietojärjestelmät jaetaan kahteen luokkaan: suoraan Kanta-palveluun liitetyt järjestelmät ovat niin sanotussa A-luokassa, ja kaikki muut ovat luokassa B.

Psykoterapiakeskus Vastaamon tietojärjestelmää ei ole liitetty Kanta-palveluun, eli se on B-luokassa.

– B-luokan järjestelmiä on rekisterissä 260, ja minä olen ainoa valvova henkilö tällä hetkellä, joten sellainen ennakoiva, säännönmukainen, proaktiivinen valvonta on kyllä näille hyvin vähäistä, Härkönen kuvaa.

Sosiaali- ja terveysalan lupa- ja valvontaviraston valvonta ei ulotu läheskään kaikkialle. Sosiaali- ja terveydenhuoltoalan yrityksissä tietoturvan taso voi olla hyvin vaihteleva.­

– Tietysti rekisteröinti mahdollistaisi, ja niin tulisi ollakin, että tämmöistä riskiperusteista arviointia tehtäisiin niistä B-luokan järjestelmistä ja että olisi jonkinlaisia ennakoivia tarkastuksia mielellään laajemminkin.

Eli B-luokkaan kuuluvien sosiaali- ja terveydenhuollon toimijoiden asiakastietojärjestelmien tietosuojaa ei siis käytännössä valvota, jos ei mitään ongelmia erikseen ilmene?

– Näin juuri. Ei ole mitään ennakkotarkastusmenettelyä niille järjestelmille. Kanta-palvelun kohdalla on huomattavasti paljon parempi tilanne, kun on tietoturva-arviointi ennakkoon ja Kelan yhteistestaus.

Psykoterapiakeskus Vastaamo on tehnyt tietomurrosta ilmoituksen Valviralle. Valviralta lähtee piakkoin selvityspyyntö Vastaamon suuntaan.­

Eli siis B-luokan toimijoiden osalta on pelkästään toimijoiden oman huolellisuuden, ajantasaisuuden, tarkastelun ja valvonnan varassa, että kaikki järjestelmissä on tietoturvan suhteen ok?

– Kyllä.

Onko Suomessa mitään muuta valvovaa tahoa, joka ennakoivasti valvoisi tai tarkistaisi tällaisten toimijoiden järjestelmien tietosuojaa?

– Ei.

Härkönen sanoo, että A-luokan järjestelmille vaatimukset ovat paljon täsmällisempiä. B-luokkaan sijoittuvat toimijat ovat suurelta osin yksityisiä sosiaali- ja terveydenhuoltoalan yrityksiä.

– A-luokan järjestelmiin kuuluvat suuret, tunnetut potilastietojärjestelmät kuten Apotti, Uranus ja Lifecare. Siihen kuuluu julkisen puolen toimijoita, mutta siihen voi kuulua myös yksityisiä yrityksiä.

Monissa sairaaloissa, mm. HUSin alueen sairaaloissa käytetään Apotti-potilastietojärjestelmää.­

– Niille täytyy tehdä ennen käyttöönottoa Kanta-yhteistestaus. Lisäksi tarvitaan ulkopuolisen tekemä tietoturva-arviointi. Tämän jälkeen järjestelmä vielä rekisteröidään meille julkiseen tietojärjestelmärekisteriin, Härkönen kertoo.

– B-luokan osalta käytännössä järjestelmän valmistaja vastaa vaatimuksista eli ei ole tällaista tarkentavaa tietoturvaa koskevaa määräystä kuin A-luokan järjestelmillä, Härkönen lisää.

Kun tietojärjestelmä on rekisteröity Valviraan, sen valmistajilla sekä käyttäjillä on lakisääteinen velvollisuus ilmoittaa, jos ilmenee jotakin poikkeavaa, esimerkiksi tietomurto niin kuin nyt Vastaamossa on tapahtunut.

Valviralla on sen jälkeen mahdollisuus kysyä valmistajilta lisäselvityksiä tai tehdä tarkastuksia.

Vastaamo on tehnyt ilmoituksen tietovarkaudesta Valviralle.

– Me pyydämme selvitystä Vastaamolta, miten tällainen on päässyt tapahtumaan ja mitä korjauksia menettelyihin on tehty, ettei tällainen toistuisi. Ensin tehdään selvityspyyntö, se on valmistelussa.

Jos järjestelmistä löytyy puutteita, Valvira voi antaa korjauskehotuksia tai määräyksiä puutteiden korjaamiseksi. Ääritapauksessa järjestelmä voidaan asettaa myös käyttökieltoon.

– Tässä tapauksessa on vielä liian aikaista esittää arviota, ennen kuin selvitys on saatu.

Vastaamon tietomurto on laajuudeltaan Suomen oloihin täysin ainutlaatuinen ja poikkeuksellinen. Euroopassakaan ei vastaavia ole juuri esille tullut, maailmaltakin tunnetaan vain joitakin tapauksia.

– Tämä on Suomessa ensimmäinen julkisuuteen tullut tapaus, jossa on puhtaasti rikollinen vahingonteko kyseessä. Sillä tavalla tämä on hyvin poikkeuksellinen.

Mitä pitäisi tehdä Suomessa toisin yleisellä tasolla, jotta tällaista ei jatkossa pääsisi tapahtumaan?

– Tämmöisen myötä varmaan myös B-luokan järjestelmien vaatimuksia arvioidaan jatkossa, ja varmasti arvioidaan, miten valvonnan osuutta tulisi lisätä.

Osion tuoreimmat

Luitko jo nämä?