Tietotekniikkayhtiö Nixun mukaan yhteiskunnassamme tulisi nyt pohtia, miten terveystietojen tietoturvaa auditoidaan, ja verrata sitä muiden toimialojen tietoturvavaatimuksiin ja auditointikäytäntöihin.
Terveystietojen tietoturvavaatimusten vertailupohjaksi voisi yhtiön mukaan ottaa maksukorttiturvaan liittyvät standardit sekä viranomaisen turvaluokitellun tiedon suojaukseen liittyvät kriteeristöt. Kaikkia näitä tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.
Terveystietoa käsittelevät tietojärjestelmät on jaettu kahteen luokkaan, A- ja B-luokan järjestelmiin. A-luokan järjestelmillä tarkoitetaan niitä tietojärjestelmiä, jotka liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon, eli Kantaan. B-luokan järjestelmät eivät ole liittyneet Kantaan, eli ne toimivat paikallisesti.
A-luokan järjestelmille on Terveyden ja hyvinvoinnin laitos THL:n määrittelemät tietoturvavaatimukset. B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Järjestelmää käyttävä palvelutuottaja joutuu kuitenkin tekemään omavalvontasuunnitelman tietoturvan osalta.
– Julkisesti saatavilla olevien tietojen mukaan Vastaamo käytti B-luokan järjestelmää. Tällaista järjestelmää ei siis tarvitse auditoida, vaan sen osalta suoritetaan ns. omavalvonta, eli palveluntuottaja täyttää ainoastaan omavalvontalomakkeen, Nixu toteaa tiedotteessaan.
Maksukorttitietojen turvallista käsittelyä kauppiaiden ja palveluntarjoajien osalta säätelee kansainvälinen standardiperhe PCI (Payment Card Industry). Sen tunnetuin standardi on PCI DSS (PCI Data Security Standard), joka asettaa vaatimuksia tiedon käsittelylle, siirrolle ja tallennukselle.
PCI DSS syntyi maksukorttiyhtiöiden yhteistyön tuloksena, sillä ne halusivat luoda yhteisen standardin maksukorttitietojen suojaamiselle, ja samalla siirtää vastuun tiedon suojauksesta sille taholle, joka tietoa käsittelee. Maksukorttitietomurroista on uutisoitu paljon. Näissä uutisissa on käsitelty alan kovia sanktioita, mikä osaltaan motivoi standardin noudattamista.
Viranomaisten turvaluokiteltua tietoa arvioidaan Katakrilla
Viranomaisten turvaluokitellun tiedon suojausta voidaan arvioida Katakrilla, joka on kansallinen turvallisuusauditointikriteeristö vuodelta 2015. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset.
Katakria käytetään arvioitaessa viranomaisten tietojärjestelmien turvallisuutta, mutta sitä käytetään myös viranomaisten puolesta tietoa käsittelevien palveluntarjoajien, kuten IT-palvelutalojen, arvioinnissa.
Näin pyritään varmistamaan, että organisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.
Toisin kuin PCI, Katakri sisältää turvatasoja sen mukaan, miten kriittistä tietoa suojataan. Alin taso on turvaluokka TL IV ja ylin taso TL I. Turvaluokkia voidaan pitää positiivisena asiana, sillä tiedon ylisuojaaminen on kallista ja vaikeuttaa tiedon käyttöä. Samalla varmistetaan, ettei arkaluontoista tietoa alisuojata.
Terveystietojen suhteen vahinko on vakava
PCI-vaatimusten täyttäminen on useimmiten työlästä, mikä tarkoittaa samalla merkittäviä kustannuksia. Seurauksena tästä on ollut se, että valtaosa kauppiaista on luopunut maksukorttitiedon käsittelystä. Maksukorttitiedon käsittely on siirtynyt palveluntarjoajille, jolloin kauppiaalla ei ole enää edes pääsyä arkaluontoiseen tietoon.
Myös Katakri-vaatimuksenmukaisuuden saavuttaminen ja siihen liittyvä auditointi on raskas prosessi, johon kuluu paljon aikaa, mikä taas osaltaan nostaa kustannuksia. Samalla tavalla kuin PCI, myös Katakri ohjaa välttämään turvaluokitellun tiedon tarpeetonta käsittelyä.
Kanta-tietoturva-auditoinnit ovat Nixun mukaan sen sijaan nopeita tehdä. Ne kohdistuvat tyypillisesti vain sovellustoimittajaan eivät käyttöympäristöön, jota valvotaan yleensä vain omavalvonnan kautta.
Kevyt auditointi, joka perustuu pääasiassa haastatteluihin, dokumentaation katselmointiin ja havainnointiin, johtaa todistukseen, joka on voimassa jopa viisi vuotta ilman kunnollista seurantakäytäntöä. Tämä ei ole paras mahdollinen lähtökohta, kun puhutaan arkaluontoisesta terveystiedosta.
Tietojen joutuminen vääriin käsiin aiheuttaa aina eriasteisen vahingon toimijoille. Luottokorttitietojen suhteen on kyse pääasiassa rahasta ja vaivasta, joka maksukortin uusimiseen liittyy. Korttiyhtiöt ovatkin valmiita sietämään tietyn määrän väärinkäytöksiä vuositasolla, sillä niiden ehkäisy saattaisi maksaa enemmän kuin siitä saavutettava hyöty.
– Terveystietojen suhteen vahinko on useimmiten huomattavasti vakavampi, eikä helppoja korjaustoimenpiteitä ole olemassa. Asiaan tulisi kiinnittää huomiota asiakastietolain ja sote-uudistuksen yhteydessä, ja tämän myötä nykyiset auditointikäytännöt tulisi päivittää vastaamaan tämän päivän vaatimuksia, Nixu toteaa.