Tietoturvaongelmat eivät kosketa ainoastaan Vastaamoa, vaan niitä esiintyy myös muissa terveysalan yrityksissä.

Hakkeroinnin ja tietoturvan huippuasiantuntija Sami Laiho kertoo saaneensa huolestuneita viestejä terveysfirmojen asiakkailta paljon. Viestejä saattaa tulla kymmenenkin päivässä.

Laiho kertoi aikaisemmin joutuneensa Vastaamon tietomurron uhriksi. Sen myötä yhteydenotot ovat vielä lisääntyneet.

– Minun sähköpostini on ihan täynnä näitä. Aikaisemmin minulle tuleva palaute on perustunut siihen, että olen kouluttanut tietoturvaa ja käyttöjärjestelmien hallintaa. Viimeisen viikon aikana on ollut kansalaispalautetta enemmän.

Laihon mukaan hänelle tulevissa viesteissä yleisimmät huolenaiheet liittyvät terveysfirmoissa tyypillisesti järjestelmiin kirjautumiseen.

– Se on ihan retuperällä. Vaikka käytettäisiin vahvoja tunnistautumisia, siellä on tilanteita, joissa lääkäreillä ei ole aikaa kirjautua järjestelmiin. Hoitajat kirjautuvat heidän puolestaan. Post-it-lapuilla on salasanoja ja niillä kirjaudutaan, kun lääkäri on niin kiireinen.

Laiho kertoo saaneensa tällaista palautetta ja nähneensä vastaavaa myös asiakkaan roolissa.

Ylen haastattelemat terveysfirmat kertovat, että korkeatasoinen tietoturva on niiden toiminnan perusta. Silti yksi yritys myöntää pieniä ongelmia, joita on ainakin osittain jo parannettu.

Yhdestä yrityksestä kerrotaan, että salasanan kirjoittaminen esimerkiksi Post-it-lapulle on kielletty. Lääkärien ja hoitajien työtä valvotaan, ja jos kieltoa rikotaan, siihen puututaan.

Sami Laihon mukaan ongelmana on myös se, että esimerkiksi hammaslääkäreiden tietokantajärjestelmissä käytetään Laihon mukaan liian korkeita oikeuksia.

– Olen itse nähnyt vierestä, että kirjaudutaan tietokantoihin pääkäyttäjätunnuksilla. Silloin vaarannetaan koko järjestelmä, väärällä toimintamallilla.

Tämä käyttäjäoikeuksien väärinkäyttö on Laihon mukaan yleisin ongelma sekä isoilla että pienillä terveysfirmoilla.

Toinen yleinen virhe tapahtuu salasanojen hallinnassa: joko samat salasanat ovat useassa eri järjestelmässä tai sitten salasanat ovat väärien tahojen tiedossa. Tällä Laiho tarkoittaa sekä asiakkaiden että henkilökunnan salasanoja.

Laihon mukaan häneen yhteyttä ottaneet asiakkaat ovat olleet vain harvoin yhteydessä itse terveysfirmaan tietoturvahuolestaan.

– Sataa viestiä kohden tulee ehkä yksi viesti, joka on muotoiltu niin, että olen tästä itsekin ilmoittanut lääkärikeskukselle.

Laiho sanoo, että yksityisten A-luokan potilastietojärjestelmiin kuuluvien terveysalan toimijoiden tietoturva-asiat eivät kuitenkaan ole niin huonolla tolalla kuin Vastaamon.

Julkiselta puolelta Kanta.fi:tä koskevia yhteydenottoja Laiholle ei ole tullut.

STM: Tiedot hyvin suojattuja

Sosiaali- ja terveysministeriön erityisasiantuntija Teemupekka Virtanen kertoo, että terveysalan yritysten tiedot ovat hyvin suojattuja.

– Ongelmana on se, että meillä on terveydenhuollossa 300 000 ihmistä töissä. Kenttä on laaja ja toiminta on sentyyppistä, että sataprosenttisen turvallisuuden luominen on hirveän vaikeaa.

Virtanen pitää ongelmallisena sitä, että joidenkin yritysten nettipalveluissa käytetään henkilötunnuksia asiakkaiden tunnistamiseen. Tietämällä toisen henkilön henkilötunnuksen saattaa olla Virtasen mukaan mahdollista esimerkiksi varata vastaanottoaika kyseiselle henkilölle.

– Joissain terveysalan yrityksissä käytetään vieläkin henkilötunnusta henkilön tunnistamiseen esimerkiksi nettipalvelun ajanvarauksissa.

Virtasen mukaan samantyyppisiä ongelmia on ilmoittautumisautomaateilla. Käytännössä henkilötunnusta käytetään henkilön tunnistamiseen.

– Kun otat kaverin ajokortista viivakoodin kohdalta valokopion ja menet itseilmoittautumisautomaatille, se hyväksyy valokopion ja kertoo, että on varattu aika puolen tunnin päästä. Tässä on se riski, että joku muu menee vastaanotolle, jos vain tietää henkilön henkilötunnuksen.

Valvira: Yhteydenotot lisääntyneet

Valviran yli-insinööri Antti Härkönen kertoo, että tietoturvaan liittyvät yhteydenotot ovat lisääntyneet erityisesti yksityisen terveydenhuollon asiakkailta.

– Itselleni ei ole mitään valtavaa määrää tullut, korkeintaan joitakin kymmeniä viimeisen viikon aikana. Määrä ei ole sinällään ratkaiseva. Yksikin yhteydenotto voi kertoa vakavasta puutteesta tai häiriötilanteesta jossakin toiminnassa. Niin kävi Vastaamon tapauksessakin.

Härkösen mukaan yhteydenottoja tulee eniten yksityisen puolen terveysfirmoilta. Hän ei kuitenkaan nimeä mitään tiettyä terveysfirmaa. Toiminta on kuitenkin hänen mukaansa pääsääntöisesti terveysfirmoissa huolellista.

– Hyvin vähäistä on se, mitä meille tulee tietoon. Järjestelmävalmistajat ja palveluntarjoajat toimivat vastuullisesti. Pahin uhka on se, että tietoja on varastettu ja tapahtumasta ei joko ilmoiteta tai varkautta ei edes huomata.

Tietosuojavaltuutettu Anu Talus kertoi Ylelle keskiviikkona, että niin kauan kuin toimijoiden toiminta on yleisen tietosuojasääntelyn mukaista, voidaan olla aika turvallisin mielin. Silti heille tulee aika paljon asioita vireille esimerkiksi terveydenhuollon sektorilta.

– Meille valvontaviranomaisille ei ole välittynyt sellaista viestiä, että julkisen ja yksityisen puolen välillä olisi eroa eli yhtä lailla meille tulee kyllä vireille asioita, sekä kanteluita että esimerkiksi tietoturvaloukkauksia, julkiselta ja yksityiseltä sektorilta.

Sami Laiho: Tietoturva on retuperällä

Tietoturva-asiantuntija Sami Laihon mukaan tietoturva-asioissa pitäisi ensisijaisesti kiinnittää huomiota kahteen asiaan – tehdä yleinen tietoturva-auditointi järjestelmälle sekä tietokannalle.

– Ei voi aina syyttää yrityksen IT-osastoa. Ihmiset tulevat sokeaksi omalle toiminnalleen. Ei ole tarkoitus mollata ketään, vaan on tärkeää, että ulkopuolinen taho käy katsomassa järjestelmiä ilman ennakkoluuloja, Laiho toteaa.

Myös salasanakäytännöt kannattaa tarkastaa, ihan tavallisen internetin käyttäjänkin.

– Ei saa koskaan käyttää samaa salasanaa kahdessa tai useammassa eri järjestelmässä. Tunnistautuminen pitää tehdä vahvalla eli monivaiheisella tunnistautumisella.

Laiho on huolissaan siitä, että tietoturva-asioiden kanssa vetkutellaan firmoissa usein liian pitkään. Häneen ei oteta yhteyttä ennen kuin jotain on sattunut.

Neuvot ovat yksinkertaisia ja ne on Laihon mukaan helppo toteuttaa.

– Olen vielä henkilökohtaisesti uhrina astetta kiukkuisempi. Nämä eivät ole kalliita teknisiä ratkaisuja, vaan ihan sitä, että opetellaan tietoturvakäytännöt ja opetellaan toimimaan oikein.

