Tietoturvaa ei saa laiminlyödä Sote-uudistuksessa

KirjoittanutmarkkuasuistolaKategoria(t):Hyvinvointi ja SOTE
Tietoturva on toimivan IT-järjestelmän perusta

Suomen rikoshistorian laajin tapaus

Kuinka moni muistaa vielä Suomen rikoshistorian laajimman rikostapauksen vuodelta 2020? Psykoterapiakeskus Vastaamon tietomurto oli ja on edelleen rikostapaus, jossa on ylivoimaisesti eniten sekä rikosuhreja (yli 30 000) ja myös rikosilmoituksia (yli 25 000) Suomessa. Seuraukset ovat olleet vakavia niin uhreille kuin palvelun tarjonneelle yritykselle. Tiedot tuhansien uhrien luottamuksellisista keskusteluista psykiatrien kanssa päätyivät vääriin käsiin. Tapauksen seurauksena Vastaamo hakeutui konkurssiin. Konkurssipesällä on varoja 1,4 miljoonaa euroa, kun taas velkojien ja rikoksen uhrien korvausvaatimukset nousevat 23 miljoonaan.

Moni miettii, miten tämä kaikki tapahtui, ja voiko sama toistua jossain muussa Soten sadoista ICT-järjestelmistä – entä mikä on Sote-asiakkaan oikeussuoja tietovuotojen aiheuttaman kiristyksen tai identiteettivarkauden tapauksessa. Koetan vastata omalta osaltani näihin kysymyksiin ja tietoturvan rooliin modernissa tietojärjestelmässä.

Lyhyesti: rikoksen teki mahdolliseksi valitettavan tavallinen ICT-moka, mistä huolimatta tapaus seuraamuksineen olisi voitu välttää toisenlaisella johtamisella. Vastaamon tapaus on yhdistelmä törkeää piittaamattomuutta ICT-järjestelmähallinnan perusteista, tietomurtoa, yrityksen halua piilotella tapausta, ja mahdollisesti toisen rikollisporukan yritystä kiristää uhreja.

Järjestelmiä ei pidä suojata vain salasanoilla

Miten rikos tapahtui

Itse tietomurto tapahtui ilmeisesti jo syksyllä 2018 ja jatkui keväällä 2019 toisella tietomurrolla, jonka yhteydessä rikolliset tyhjensivät tietokannan ja jättivät tilalle kiristysviestin. Vastaamon toimitusjohtajan ja tietoturvavastaavan on väitetty olleen tietoisia murrosta jo tuolloin, mutta asiasta ei raportoitu eteenpäin. Varastettu tietokanta sisälsi eräiden arvioiden mukaan noin 33 000 henkilön potilastietoja. Se sisälsi kaikki Vastaamon potilastiedot ennen marraskuuta 2018, ja osittain myös sen jälkeiseltä ajalta.

Varastetut tiedot ovat siis Vastaamon asiakkaiden psykoterapian potilaskertomuksia, henkilötietoja henkilötunnuksineen sekä jonkin verran Vastaamon henkilökunnan tietoja. Tietomurtoa ja varkautta seurasi uusi kiristyksen yritys syyskuussa 2020. Nyt Vastaamo teki murrosta ilmoituksen tietosuojavaltuutetulle, mutta uskoi tietomurron koskeneen vain noin tuhatta asiakastaan. Lokakuussa 2020 paljastui, että rikollisille oli päätynyt paljon arvioitua laajempi tietokokonaisuus. On myös hyvin mahdollista, että aineistosta on päätynyt kopioita myös muille rikollisryhmille. Syntynyt tilanne on yhtä kohtuuton tietomurron tuhansille uhreille, kuin se on poikkeuksellinen tapausta selvittäville viranomaisille.

Teknologia olisi voinut suojella tietojamme ihmisten laiminlyönneiltä

Olen useissa yhteyksissä kutsunut Vastaamon tietomurron aikaista tietoturvaa erittäin huonoksi. Samaa mieltä ovat monet alalla olevista kollegoistani. Potilastiedot sisältäneen tietokantapalvelimen on voinut löytää suoraan Internetistä ilman suojaavaa palomuuria, ja sen on voinut löytää jopa Google-haulla. Kiristäjä on itse väittänyt käyttäneensä kirjautumiseen tietokantajärjestelmän valmistajan oletuskäyttäjätunnusta ja -salasanaa. Myös Keskusrikospoliisi on kuvannut Vastaamon tietoturvan tasoa ”riittämättömäksi”. Itselleni ICT-alan ammattilaisena varmaankin se suurin järkytys on ollut kaikkien parhaiden käytäntöjen laiminlyönti sekä tietoturvan että järjestelmän ylläpidon osalta. Kaikki ne prosessit ja teknologiat, joilla varkaus olisi voitu ehkäistä, ovat olleet saatavilla jo vuosikymmeniä. Talotekniikan vertauskuvana voisi käyttää sitä, että laitetaan etuoveen lukko, mutta ripustetaan avain naulaan oven viereen.

Tässä joitain omia ehdotuksiani miten tilannetta tulisi parantaa, ettei vastaavaa pääse tapahtumaan uudestaan:

  1. Tunnistautumisen tulee olla vahva ja yksilöllinen. Kansankielellä kerrottuna käyttäjätunnuksien tulee olla henkilökohtaisia, jolloin salasanaa ei tarvitse (eikä tule) kertoa kenellekään toiselle. Kriittisissä tehtävissä, kuten järjestelmän pääkäyttäjän kirjautuessa, tulee käyttää vahvaa tunnistautumista eli vahvistaa tunnistautuminen erillisellä koodilla. Koodi voidaan lähettää käyttäjälle tekstiviestinä tai se voidaan antaa mobiilisovelluksessa. Näin voidaan estää Vastaamon tietomurron tapainen tilanne, jossa ventovieras voi kenenkään estämättä ottaa järjestelmän haltuunsa useita kertoja.
  2. Tietojen salaaminen eli kryptaaminen. Kaiken Sote-tietoliikenteen olla salattua ja kaikki arkaluonteinen tieto tulee salata tallennettaessa. Digitaaliset salausavaimet, joilla aineisto voidaan avata, tulee säilyttää erillään salattavista tiedoista. Suosittelen käyttämään ns. julkisen avaimen salausta, jossa on erillliset avaimet tiedon salaamiseen ja purkuun. Julkista avainta käytetään salaamiseen, mutta salauksen voi poistaa vain salaisella avaimella. Julkinen salausavain voidaan kirjoittaa vaikkapa yrityksen etusivulle, ja käyttää ilman riskiä että salaisiin tietoihin pääsevät ulkopuoliset käsiksi. Näin voidaan välttää tilanne, jossa tiedot ilman lupaa kopioinut taho voi hyödyntää niitä vapaasti kenenkään häiritsemättä.
  3. Järjestelmät tulee auditoida ennen käyttöönottoa ja jokaisen merkittävän muutoksen yhteydessä. IT-auditointi tarkoittaa käytännössä sitä, että organisaation toimintaa arvioidaan sen mukaan kuinka tehokas se on, ja kuinka se käsittelee esimerkiksi tietoturvan poikkeamia, tai miten erilaisia käyttöoikeuksia myönnetään. IT-auditoinnissa tulee aina käyttää puolueetonta tarkastajaa. IT-tarkastusta voi siis hyvällä syyllä verrata toiminnantarkastukseen tai kiinteistön sisäänmuuttokatselmukseen.
  4. Toimintakulttuurin tulee tähdätä avoimuuteen ja sallia virheet. Jos organisaatio haluaa kehittyä, sen on tarjottava jäsenilleen mahdollisuus oppimiseen. Oppimisen edellytyksenä pidetään yleensä osaamisen ja kokemusten jakamista. Parasta oppimista tapahtuu monesti virheen tai ongelman seurauksena, mutta usein ihmiset pelkäävät virheiden tekemistä ja varsinkin niiden seurauksia. Luottamuksellinen ilmapiiri mahdollistaa yhteisöllisen ongelmanratkaisun, avoimen keskustelun ja tarvittaessa avun pyytämisen. Vastaavasti salailu, jota on esimerkiksi ilmennyt Vastaamon tapauksessa, hidastaa ongelmien korjaamista ja lisää vahinkoja usein merkittävällä tavalla.
Tietoturva on oleellinen osa it-järjestelmän perustuksia.

Tietoturva on oleellinen osa it-järjestelmän perustuksia. Yhtä mahdotonta kuin taloon on jälkikäteen asentaa ehjiä perustuksia, on toteuttaa it-järjestelmään tietoturvaa erillisenä osana. Kiireellä ja halvalla pystytään harvoin tuottamaan tietoturvallista palvelua tai järjestelmää. Rahalliset säästöt ovat jossain tapauksissa seurausta merkittävistä laiminlyönneistä.

Sote-uudistus tulee tarkoittamaan Suomen historian suurimpia ICT-muutoksia. Niiden yhteydessä tulee varmistua yksityisyyden suojasta niin julkisten kuin yksityisten organisaatioiden osalta. Kaikki potilastietojärjestelmät sisältävät arkaluonteisina suojattavia tietoja, mutta kaikkia järjestelmiä ei jatkossa enää voi tai kannata käyttää. Tietoturvan ja avoimuuden tulee olla keskeinen valintaperuste tilanteissa, joissa eri vaihtoehtojen paremmuutta arvioidaan. Sote on tekoja, ei niinkään puheita.

Linkkejä:
https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/sahkoinen-tunnistaminen
https://fi.wikipedia.org/wiki/Julkisen_avaimen_salaus
https://www.loihdetrust.com/blogi/auditointi-reguloitu-tarkastus-vai-osa-liiketoiminnan-kehitysprosessia/
https://www.hrviesti.fi/natiivi/2882/lupa-epaonnistua-%E2%80%93-virheet-osana-toimivaa-yrityskulttuuria

Jätä kommentti