Hyppää sisältöön
Artikkeli on yli 2 vuotta vanha

Kiellot yhdeltä luukulta, hetu vaihtoon, terveystietoja valvottava tiukemmin – tässä keinoja tietomurron uhrien auttamiseksi ja vastaavien rikosten estämiseksi

Hallitus pohtii iltakoulussa keskiviikkona, miten Vastaamon tietomurron uhreja voidaan auttaa, ja mitä pitää tehdä terveydenhuollon tietovarkauksien estämiseksi.

Psykoterapiakeskus Vastaamon toimitilat Tampereen keskustassa Tullintorin kauppakeskuksessa.
Valtava määrä Vastaamon asiakkaiden ja työntekijöiden henkilö- ja muita tietoja on varastettu, ja niillä on yritetty kiristää rahaa. Kuva: Miikka Varila / Yle
Terhi Toivonen
Avaa Yle-sovelluksessa

Terapiapalveluja tuottavan Vastaamon laaja tietomurto on nostanut esille huolen sosiaali- ja terveydenhuollon tietoturvan tasosta.

Tässä muutama keino, joilla tietomurron uhreja voitaisiin auttaa ja vastaavat tapahtumat – jos ei estää – niin ainakin vaikeuttaa verkkorikollisten toimintaa.

Yhteinen luukku eri kiellolle

Mikään tietojärjestelmä ei ole täysin murtovarma. Kun vahinko on tapahtunut, tietomurron uhrin pitää hakea erikseen luottokieltoa, yrityksen tai yhteisön vastuuhenkilön rekisteröintikieltoa, osoitteenmuutossuojausta ja tietojen, kuten osoitteen luovutuskieltoa.

Luottokielto haittaa uhrin elämää, sen teko maksaa ja kielto tulee uusia kahden vuoden välein. Tosin nyt luottotietoyhtiöt tarjoavat palvelua väliaikaisesti ilmaiseksi. Luottokieltokaan ei takaa, etteikö ostoksia tai lainoja voisi tehdä tietomurron uhrin nimissä.

Keino: Kaikki turvatoimet eli luottokielto, rekisteröintikielto, osoitteenmuutoskielto ja osoitetietojen suojaus pitäisi voida hakea samasta paikasta esimerkiksi maksuttomana julkisena palveluna.

Henkilötunnusten käyttökielto tunnistautumisessa

Henkilötunnukset ovat tarkoitettu ihmisten yksilöimiseen, eivät tunnistautumiseen. Osa verkkokaupoista ja pikavippiyrityksistä käyttää kuitenkin niitä ostajan tai lainan hakijan tunnistamiseen.

Tällä hetkellä voi tehdä verkko-ostoksia tai ottaa pikavippejä pelkällä nimellä ja henkilötunnuksella. Myös viranomaisten verkkoasioinnissa voi näillä tiedoilla tehdä toisen puolesta aiheettoman osoitteenmuutoksen tai muuttaa toinen ihminen yrityksen vastuuhenkilöksi.

Keino: Henkilötunnusten käyttäminen tunnistautumisessa pitäisi kieltää. Kaikkien yritysten ja viranomaisten pitäisi käyttää vahvaa sähköistä tunnistautumista luottokaupassa ja asioinnissa.

Uhrin henkilötunnuksen vaihtaminen

Ensin viedään terveystiedot sitten uhrin pitää pelätä, että identiteettikin varastetaan. Anastettuja henkilötietoja voidaan käyttää vuosienkin jälkeen esimerkiksi varkauksien ja petosten tekoon. Tästä voi koitua uhrille merkittävää vahinkoa.

Oikeusministeri Anna-Maja Henriksson (r.) ja SDP:n eduskuntaryhmän puheenjohtaja Antti Lindtman ovat ehdottaneet tietomurron uhrien henkilötunnusten vaihdon pikaista selvittämistä.

Nyt henkilötunnuksen muuttaminen on korkean kynnyksen takana, koska tunnus on tarkoitettu pysyväksi. Tunnuksen vaihtamista voi hakea digi- ja väestötietovirastolta.

Muutos voidaan tehdä vain, jos se on ehdottoman välttämätöntä ja näistä perustelluista syistä:

  • Hakijan terveyteen tai turvallisuuteen kohdistuu ilmeinen ja pysyvä uhka, ja tunnuksen muuttaminen on välttämätöntä hänen suojelemiseksi. Tämä muutos vaatii poliisin tekemän uhka-arvion.
  • Joku on toistuvasti käyttänyt hakijan tunnusta väärin, ja siitä on aiheutunut huomattavaa taloudellista tai muuta haittaa. Väärinkäytön jatkuminen voidaan estää henkilötunnuksen muuttamisella.
  • Henkilötunnus voidaan muuttaa, kun hakijan uusi sukupuoli vahvistetaan.

Kolmesta perusteesta Vastaamon tietomurron uhreihin käy tunnuksen väärinkäyttö ja huomattava taloudellinen tai muu haitta. Hakijan pitää pystyä näyttämään toteen nämä asiat.

Toistaiseksi ei ole tiedossa, onko tietomurrossa vietyjä henkilötunnuksia käytetty väärin tai onko tietojen viemisestä aiheutunut uhreille taloudellista haittaa. Se, että tiedot ovat verkossa, lisää tietysti väärikäytösten kohteeksi joutumista.

Henkilötunnuksen vaihtaminen ei ole tällä hetkellä mikään pieni operaatio. Muutoksen jälkeen uusi tunnus on ilmoitettava niihin satoihin paikkoihin, joissa entinen tunnus saattoi olla. Erilaiset henkilö- ja maksukortit pitää myös uusia.

Keino: Henkilötunnusten vaihtoprosessin sujuvoittaminen vaatisi lakimuutoksen, joka vie aikaa. Vastaamon tietomurron uhreja on tuhansia. Tähän mennessä verkossa on julkaistu noin 300 tiedostoa.

Asiakastietolain päivittäminen

Digitalisaation myötä terveydenhuollossa on yhä enemmän potilastietojärjestelmä, erilaisia ohjelmistoja ja etähallittavia hoitolaitteita, joissa siirretään asiakkaan tietoja edestakaisin. Lääkärit esimerkiksi tapaavat potilaita etävastaanotolla, asiakkaan verensokeria tai sydämen rytmiä voidaan seurata etänä tai vanhuksen kotiin voidaan ottaa yhteys kameran avulla.

Kaikki tämä tietoliikenne pitää sisällään salattavia terveystietoja, joten järjestelmät tarvitsevat korkeaa tietoturvaa.

Valvira valvoo sosiaali- ja terveydenhuollon tietojärjestelmiä. Asiakastietolaissa nämä tietojärjestelmät jaetaan valvonnassa kahteen luokkaan.

Kanta-palveluun liitetyt järjestelmät, kuten sähköiset lääkemääräykset, ovat A-luokassa, muut järjestelmät luokassa B. A-luokan järjestelmiä valvotaan tiukemmin.

Luokassa B olevat yritykset ovat pitkälti oma valvonnan varassa. Psykoterapiakeskus Vastaamon tietojärjestelmä kuuluu heikosti valvottuihin.

Keino: Asiakastietolakia pitäisi muuttaa siten, että ihmisten henkilökohtaisia tietoja keräävät järjestelmät ja digitaalisesti etäohjattavat hoitolaitteet olisivat aina turvallisuusriskin takia A-luokassa.

Hallitus on tuomassa asiakastietolain muutosta eduskuntaan syksyn aikana. Myös Valviralle tarvitaan lisää resursseja terveydenhuollon järjestelmien valvontaan.

Hallitus pui iltakoulussa keskiviikkona, miten Vastaamon tietomurron uhreja voidaan nyt auttaa, ja mitä pitäisi tehdä vastaavien tapausten estämiseksi.

Aiheesta voi keskustella keskiviikkoon 28.10.2020 kello 23 asti.

Lue lisää:

Vastaamo on alan yrityksistä suurimpia, mutta kuuluu vähemmän valvottuihin – viranomainen selvittää ylimääräistä tarkastuskierrosta

Mistä tiedän onko tietoni vuodettu? Uskaltaako terapiassa enää puhua? Haimme vastaukset 31 kysymykseen Vastaamon tietomurrosta

Nörttipsykologi koodasi ohjelman, jolla voi tarkistaa, onko omat Vastaamon tiedot julkaistu – siinä voi olla ongelma, mutta tietoturva-asiantuntija puoltaa palvelua

Jaakko Kilpeläinen ei mielellään puhunut kokemastaan työuupumuksesta – sitten hän joutui Vastaamon tietovuodon uhriksi

Suosittelemme