Tulevien aluepäättäjien tärkeimpiin tehtäviin kuuluu huolehtia siitä, että sote-uudistuksen myötä tietojärjestelmien yhtenäistäminen johtaa parempaan tietoturvaan sekä vähentää tietojärjestelmien määrää ja niiden päällekkäistä kehittämistä, toteaa Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno Limnéll.
– Viime kädessä kysymys on meidän jokaisen arjen turvallisuudesta. Siitä aluevaaleissa äänestetään, Limnéll kirjoittaa Uuden Suomen puheenvuoro-blogissaan.
Moni hahmottaa tulevat aluevaalit lähinnä äänestykseksi perusterveydenhuollon uudistuksesta. Vaalit järjestetään ensi tammikuussa.
– Paljon vähemmälle huomiolle on jäänyt se, että tuleville hyvinvointialueille siirtyy vastuu myös pelastustoimesta sekä kriittisistä potilastietojärjestelmistä. Arjen turvallisuuden kannalta tämä ei ole mitenkään vähäpätöinen asia, Limnéll huomauttaa.
Psykoterapiakeskus Vastaamon tietomurto on edelleen ajankohtainen esimerkki siitä, miten tärkeästä asiasta on kyse.
– Kymmenien tuhansien ihmisten henkilö- ja potilastiedot varastettiin, osa niistä julkaistiin ja lopuilla kiristettiin psykoterapiakeskuksen asiakkaita, eli tavallisia suomalaisia ihmisiä. Murron tekijää tai tekijöitä ei ole vielä saatu kiinni. Tämän digitaalisen suuronnettomuuden vaikutukset ovat edelleen merkittäviä yhteiskunnassamme, Limnéll sanoo.
Sote-uudistukseen liittyvien ICT-tietojärjestelmien toteuttamisen hintalapun on arvioitu muodostuvan kokonaisuudessaan miljardeiksi euroiksi. Sote-uudistuksen onnistuminen riippuu paljon tietojärjestelmistä.
– Olisi äänestäjän kuluttajansuojan kannalta tärkeää, että tulevat aluepäättäjät kertoisivat, mitä he ajattelevat näiden hyvinkin yksityiskohtaisia ja arkaluontoisia tietoja sisältävien järjestelmien toteutuksesta ja turvallisuudesta, Limnéll toteaa.
”Digitaalinen putkiremontti”
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä määrittelee yleiset vaatimukset tietojärjestelmille, niiden valmistajille sekä palveluntarjoajille. Yksityiskohtaisemmat vaatimukset annetaan THL:n määräyksissä. Vaatimusten toteutumista puolestaan valvoo Valvira.
– Tämä ei kuitenkaan ole koko totuus, sillä sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käytännössä kahteen kategoriaan: A- ja B-luokkaan. Jälkimmäisen osalta ei vaadita ennen käyttöönottoa Kanta-palvelukokonaisuuteen liittyvää yhteistestausta tai ulkopuolista tietoturva-arviointia. Heikon tietoturvan järjestelmät on merkittävä riski kyberuhkien toteutumiselle, Limnéll sanoo.
Hänen mukaansa Suomessa on nykyisellään noin 170 sote-palveluiden järjestäjää, joilla useimmilla on lisäksi omat tietojärjestelmänsä. Yli 250 sosiaali- ja terveysalan yrityksen tietojärjestelmän tasoa ei valvota juuri lainkaan. Tätä hyvinvointialueiden uudistuksessa pyritään nyt korjaamaan.
– Sote-uudistus tarkoittaa on eräänlaista digitaalista putkiremonttia – ja sille on tarvetta, Limnéll tuumaa.
Kansainvälisesti arvioidaan, että terveydenhuoltoala on yksi keskeisimpiä kyberhyökkäyksien kohteita tulevina vuosina.
– Terveydenhuollon tietoturvassa on kyse potilasturvallisuudesta: esimerkiksi palvelunestohyökkäykset, kiristyshaittaohjelmat, tietojen huolimaton käsittely sekä tietovuodot ja tietojen urkinta ovat tyypillisiä terveydenhuollon potilasturvallisuuteen liittyviä riskejä, Limnéll kertoo.
