• Mikko Muttilainen, Manager |

Keskustelu sosiaali- ja terveydenhuollon järjestelmien tietoturvallisuudesta ja niihin kohdistuvista vaatimuksista on käynyt edelleen kiivaana, vaikka Vastaamo-tapauksen tilanne on rauhoittunut. Keskustelua seuratessa on käynyt selväksi se,  että monelle on vielä melko epäselvää, miten tarkasti ja missä tapauksissa järjestelmiä tarkastetaan.

Olen miettinyt, mihin tietoturva-auditointeja voisi parhaiten verrata. Paras vertauskohta olisi auton katsastus. Katsastajan on tiedettävä autosta mahdollisimman paljon. Samalla tavalla tietojärjestelmää auditoivan on tunnettava muun muassa järjestelmän valmistaja, käytössä olevat ohjelmistot, tietokannat ja palvelimet sekä niiden versiot, sovellusten ohjelmistokielet, suojausmekanismit (kuten palomuurit tai virustorjunta) ja aikaisempien auditointien havainnot. Katsastus, kuten auditointikin, tulisi tehdä säännöllisesti ja määräajoin.

Jos auton kuljettaja joutuu onnettomuuteen, vastuu voi olla kuljettajalla, auton valmistajalla tai huolimattomalla katsastajalla. Tietomurroissa selkeitä syyllisiä on vaikeaa löytää. Perimmäiset syyt ovat usein moniulotteisia, ja tapahtumaketjujenkin selvittäminen on haastavaa. Tutkinta vaatii digitaaliseen forensiikkaan erikoistuneita asiantuntijoita. 

Käyttäjällä on vastuu noudattaa ohjeita

Auton käyttäjä on pääasiallisesti vastuussa auton turvallisesta kuljettamisesta liikenteessä sekä tavanomaisista huolloista ja katsastuksesta. Tietojärjestelmien kohdalla käyttäjällä tarkoitetaan tyypillisesti ns. loppukäyttäjäorganisaatiota. Sen on vastattava järjestelmän päivittäisestä ylläpidosta ja erityisesti käyttövaltuushallinnasta. Järjestelmän valmistaja harvoin tietää asiakkaansa puolesta, minkälaiset käyttöoikeudet esimerkiksi osastohoitajilla, farmaseutilla tai ylilääkärillä tulee olla järjestelmään. Loppukäyttäjäorganisaatio vastaa myös järjestelmän turvallisuudesta, mikäli järjestelmää toimitetaan sen itse hallinnoimasta käyttöympäristöstä eli konesalista.

Rekisterinpitäjänä loppukäyttäjäorganisaatiolla on aina kuitenkin vastuu huolehtia siitä, että järjestelmään tallennetut tiedot ovat turvassa ja niitä saavat nähdä vain valtuutetut henkilöt. Tämä koskee myös järjestelmiä, jotka toimitetaan SaaS-palveluna (Software as a Service) tai järjestelmätoimittajan valtuuttaman konesalipalvelun tarjoajan ympäristöstä. Tietoturva -ja tietosuojavelvoitteet kannattaisi siis sitoa järjestelmähankintojen sopimuksiin. 

Auditoija selvittää järjestelmän turvallisuuden

Tietojärjestelmän auditointi on hyvin samanlainen prosessi kuin auton katsastus. Ennen auditointia sovitaan auditoinnin kohteen kanssa tarkastuksen laajuus ja soveltamisala ja käytettävä vaatimuskriteeristö. Tietoturvamaailmassa tämä voi olla esimerkiksi ISO 27001-standardi, KATAKRI tai muu kansallisesti tai kansainvälisesti tunnettu standardi.

Standardin lisäksi auditoijalla on myös yleensä omat todennusmenetelmät, tyypillisesti valvovan viranomaisen hyväksymät. Auditoinnin päätteeksi tarkastuksesta laaditaan tarkastusraportti ja mahdollisesti erillinen todistus, josta ilmenee järjestelmän hyväksynnän pituus ja tarkastuksen laajuus.

Standardista riippuen tarkastuksia voidaan jatkaa esimerkiksi vuosittain.

Kuten kirjoitin aikaisemmassa blogissani, A-luokan sote-järjestelmien auditoimisesta vastaavat erikseen Traficomin hyväksymät tietoturvallisuuden arviointilaitokset. Järjestelmien auditoimiseen käytetään THL:n laatimia tietoturvavaatimuksia (Määräys 1/2015), joissa todennusmenetelmät ovat valmiiksi laadittuja. Arviointilaitokset ovat kritisoineet näitä vaatimuksia, koska ne eivät perustu tekniseen todentamiseen.

Onkin siksi tärkeää ymmärtää, että tietoturva-auditointi voi olla vain niin hyvä kuin sille määritetty laajuus, vaatimuskriteeristö ja todennusmenetelmät. 

Valmistajan tulee rakentaa ja ylläpitää turvallista järjestelmää

Niin auton kuin asiakas- tai potilastietoa tuottavan tietojärjestelmänkin turvallisuus on ensiarvoisen tärkeää. Monin tavoin kriittisellä sektorilla kuten sosiaali- ja terveysalalla toimivan tietojärjestelmätoimittajan maine on vielä enemmän vaarassa kuin autovalmistajan, mikäli tuotteessa tapahtuu kriittinen virhe. Esimerkiksi monelle Vastaamon asiakkaalle ennen lokakuuta tehty visiitti terapeutilla jää heidän osaltaan viimeiseksi. Se on huolestuttavaa jopa yhteiskunnan kokonaishyvinvoinnin kannalta.

Autovalmistaja voi joskus selvitä huokauksella ja vahingonkorvauksilla kuolonkolareistakin, vaikka syy olisikin melko varmasti valmistusvirheessä.

Tietomurtotapauksissa valmistaja harvoin voi huokaista helpotuksesta, sillä internet ei tunnetusti unohda, ja tietomurron aineistot voivat kierrellä verkossa vielä vuosikymmenien ajan. Valmistajan onkin tärkeää suunnitella järjestelmä jo alusta alkaen turvalliseksi ja jatkaa sen kehitystä siten, että turvallisuudesta huolehditaan koko sen elinkaaren aikana. 

Pääkohdat

  • Tietomurtojen syyt ovat moninaisia, ja tutkinta vaatii usein forensiikan asiantuntijoita.

  • Tietoturva -ja tietosuojavelvoitteet kannattaa sitoa järjestelmähankintojen sopimuksiin.

  • Tietojärjestelmä kannattaa suunnitella alusta alkaen turvalliseksi ja jatkaa sen kehitystä koko elinkaaren ajan.

Blogin kirjoittaja Mikko Muttilainen työskentelee tietoturva-asiantuntijana.