Vastaamon tietomurto ja varastetuilla potilastiedoilla kiristäminen ovat järkyttäneet ihmisiä laajasti. Tapaus on nostanut esiin kysymyksen siitä, ovatko suomalaisten arkaluontoiset tiedot suojattu riittävän hyvin.
Lauantaina kaikkiin Uudenmaan sairaaloihin laajenneen yli 600 miljoonaa euroa maksaneen asiakas- ja potilastieto sekä toiminnanohjausjärjestelmä Apotin toimitusjohtaja Hannu Välimäki vakuuttaa, että ihmisten tiedot ovat turvassa.
– Hyvin olen edelleen yöni nukkunut, koska meillä on tehty kaikki mahdollinen tietoturvan hyväksi yhteistyössä kumppaneiden kanssa. Se on ensimmäinen edellytys, että palvelu voi olla olemassa. Mutta tiedämme, että olemme houkutteleva kohde rikollisille.
Jos Apottiin tallennetut sairaskertomukset päätyisivät hakkeroinnin seurauksena vääriin käsiin, vahinko olisi psykoterapiapalveluita tarjoavan yrityksen tietomurtoon nähden moninkertainen.
– Vastaamon 40 000 asiakkaan tietojen anastaminen on kansallinen katastrofi. Meillä on lähes kahden miljoonan potilaan tiedot, joten voi vain kuvitella, miten valtava katastrofi se olisi, sanoo Välimäki.
It-johtaja: Yhdysvalloissa hakkeroitu tänä vuonna 40 miljoonaa potilastietoa
Huoli arkaluonteista tietoa sisältävien järjestelmien suojauksen tasosta on aiheellinen myös siksi, että tietojen anastaminen hakkeroimalla näyttää olevan yleistä.
Esimerkiksi yritysten ja yhteisöjen tilauksesta hakkerointia tietoturvan parantamiseksi tekevän yhdysvaltalaisen Hacker One it -yhtiön suomalaisjohtaja Mårten Mickos kertoi sunnuntaina Ylen Daniel Olin -ohjelmassa, että pelkästään Yhdysvalloissa on varastettu tänä vuonna heinäkuun loppuun mennessä 40 miljoonaa potilastietoa 600 tietomurrossa.
Mickos kertoi myös, että hänen yrityksensä on testannut tilauksesta muun muassa Pentagonin ja Yhdysvaltojen armeijan tietoturvaa.
Yrityksen valkohattuhakkerit eli tietomurtoja tilauksesta laillisesti turvallisuuden parantamiseksi tekevät asiantuntijat löysivät Mickosin mukaan Yhdysvaltojen puolustusministeriöstä noin 12 000 tietoturva-aukkoa. Ensimmäiset aukot paljastuivat 8 minuutin kuluttua siitä, kun hakkerit ryhtyivät toimeen.
It-johtaja Mickos kuvaili Olinin haastattelussa nykyisiä tietoturvajärjestelmiä vasta prototyypeiksi, jotka pitäisi rakentaa turvallisuuden takaamiseksi digitalisoituvassa maailmassa kokonaan uudelleen.
Valkohattuhakkereiden vahvuus on siinä, että he kykenevät ajattelemaan ja toimimaan kuin rikolliset
Myös kotimaisen Apotin tietoturvan kehittämisessä on käytetty valkohattuhakkereita. Valehyökkäyksissä on tullut ilmi puutteita suojauksissa.
– Aina jotain on löytynyt, mutta ei mitään suuria yllätyksiä tai merkittävää, vastaa Välimäki lyhyesti.
Tarkkoja tietoja suojauksien kehittämisestä ei haluta turvallisuussyistä käsitellä mediassa, sillä se avaisi mahdollisuuksia myös hyökkääjille. Apotin hakkeriharjoitukset tehtiin Välimäen mukaan ennen Vastaamon murtoa.
Valkohattuhakkereiden merkitys on erityisesti siinä, että he pystyvät ajattelemaan ja toimimaan käytännössä samalla tavalla kuin rikolliset.
– Heillä on hyvin syvällistä osaamista. Tavallinen ihminen ei osaa niin ajatella, pohtii Välimäki.
Vastaamo herätti Apotin pohtimaan, voidaanko suojausta vielä parantaa?
Vastaamon tietomurto ei ole johtanut Apotissa välittömiin toimiin tietoturva-aukkojen tilkitsemiseksi, mutta tapaus on kuitenkin herättänyt vilkkaan sisäisen keskustelun.
– Meitä kiinnostaa, mikä on mennyt mahdollisesti pieleen ja voisiko meillä olla vastaavanlaisia haavoittuvuuksia. Totta kai otamme opiksi, jos tulee jotain esiin.
Välimäen mukaan näyttäisi siltä, että Vastaamon tietoihin on päästy hyvin helposti. Se ei ole hänen mukaansa Apotissa mahdollista, koska suojaus on kunnossa.
Apotin järjestelmä on A-sertifioitu. Se tarkoittaa korkeinta tietoturvaluokkaa.
– Potilastiedot tallennetaan valtakunnalliseen Kanta-palveluun, johon liittyäkseen järjestelmän pitää täyttää hyvin tarkasti määritellyt edellytykset. Tiedot säilytetään Suomessa, Fujitsun konesaleissa, kertoo toimitusjohtaja Välimäki.
Miten hakkereiden hyökkäys viime kädessä torjutaan?
– Valvomme verkkoliikennettä ja poikkeamia 24/7 ja pyrimme kehittämään hyvää tietosuojakulttuuria, koska viime kädessä jokainen ihminen on tässä heikko lenkki, sanoo toimitusjohtaja Välimäki.
Apotissa käyttäjillä on myös tiukat roolit eli järjestelmässä on määritelty ja rajattu tarkasti se, mihin tietoon kukin henkilö pääsee käsiksi. Tärkeä suojatoimi on myös käyttäjien ja asiakkaiden vahva tunnistautuminen sekä jokaisen omat tunnukset.
Lisäksi järjestelmässä liikkuminen dokumentoidaan tarkasti, jotta tarvittaessa löytyy kirjanpito siitä, missä tiedoissa on käyty.
– 100 prosenttista tietosuojaa ei ole olemassa, onhan ydinvoimaloihinkin tunkeuduttu, mutta mahdollisimman vaikeaksi tietoon pääseminen on meilläkin tehty, kertoo Apotin toimitusjohtaja Välimäki.
Lue lisää:
Daniel Olin: It-veteraani Mårten Mickos johtaa hyvien hakkereiden armeijaa
Korjattu 5.11.2020 kello 11.15: Lisätty otsikkoon sana testivaiheessa.
Korjattu 9.11.2020 kello 10.02: Muutettu otsikosta sana testivaiheessa sanoiksi syksyllä testeissä, jolloin hakkeroinnit on tehty.