Helsingin ja Uudenmaan sairaanhoitopiirissä (Hus) on harjoiteltu vastaavanlaisia tapauksia, sanoo ict-tuotantojohtaja. Yksityisellä puolella on tietoturvassa paljon kehitettävää, arvioi Kuntaliiton asiantuntija.

Peijaksen sairaala kuuluu Helsingin ja Uudenmaan sairaanhoitopiiriin, jossa on harjoiteltu Vastaamon tietomurron tapaista tilannetta säännöllisesti.­

Vastaamoon kohdistunut tietomurto ei tullut täytenä yllätyksenä sosiaali- ja terveysalan toimijoille.

”Tieto on vahvasti salassa pidettävää ja suojeltavaa, eikä ole yllätys, että siihen kohdistuu kiinnostusta. Se, että tietoja vietiin niin laajassa mittakaavassa, oli tietysti yllätys”, sanoo Terveystalon digi- ja it-johtaja Juha Juosila.

Helsingin ja Uudenmaan sairaanhoitopiirin (Hus) ict-tuotantojohtajan Risto Laakkosen mukaan konsernissa on säännöllisesti harjoiteltu lähes vastaavanlaisia kriisitilanteita varten.

Tietoturvaan liittyviä valmiusharjoituksia on Laakkosen mukaan järjestetty Husissa vuodesta 2014 ja niihin on osallistunut henkilökuntaa ja tietoturva-alan asiantuntijoita.

”Jossain mielessä nyt ilmi tullut tietomurto tuntui tutulta. Tosielämän tilanteet ovat toki erilaisia, eikä tietoturvalla pidä ruveta rintaa röyhistelemään. Sataprosenttista tietoturvaa ei ole”, sanoo Laakkonen.

Hyökkäykset kohdistuvat Terveystalon Juosilan mukaan usein vanhentuneisiin ratkaisuihin.

”Käytänteet tulee pitää ajan tasalla, se on erittäin tärkeää. Esimerkiksi erilaiset tietoturvapäivitykset täytyy ottaa käyttöön heti, kun niitä julkaistaan, ja palomuurit pitää aika ajoin uusia.”

Kuntaliiton erityisasiantuntija Karri Vainio arvioi, että tietoturvan tilanne yksityisissä sote-alan yrityksissä vaihtelee.

”Yksityisellä kentällä on noin 18 000 erikokoista yritystä. Yrityksen koosta ja muista tekijöistä johtuen voi olla paljonkin poikkeuksia siinä, miten asiaan on panostettu.”

Kunnissa ja kuntayhtymissä tietoturvaa on kehitetty paljon viime vuosina sitä mukaa kuin valtakunnallisten tietojärjestelmäpalveluiden vaatimukset ovat kasvaneet. Näihin velvoitteisiin on Vainion mukaan vastattu hyvin.

Vainio on varma, että Vastaamon tietomurto herättää toimijoita entistä enemmän kiinnittämään huomiota tietoturvaan ja siihen, miten palveluita hankitaan.

”Yksityisiltä toimijoilta hankittavien palveluiden vaatimuksiin kiinnitetään varmasti enemmän huomiota, ja pyritään varmistamaan tietoturvan ja varautumisen taso myös ostopalveluissa.”

Vainion mukaan sopimuksiin sisältyy jo nyt reunaehtoja ja vaatimuksia tietoturvan osalta. ”Kuntien todelliset mahdollisuudet valvoa niiden noudattamista ovat kuitenkin rajalliset”, hän sanoo.

Kansallisen valvonnan laajempaa roolia yksityisten toimijoiden osalta kannattaisi Vainion mielestä selvittää. Ylin valvova viranomainen on Valvira.

”Erityisesti yksityisten toimijoiden puolella on kehitettävää ja pitää miettiä, voitaisiinko kansallisen valvonnan ja ohjauksen kautta paremmin varmistaa, että vastaavia tilanteita ei ilmene”, Vainio pohtii.

Potilastietojärjestelmiä, jotka liittyvät Kanta-palveluun, koskee ulkoisen auditoinnin eli viestintäviraston hyväksymän arviointilaitoksen tekemän tietoturva-arvioinnin vaatimus.

”On myös iso joukko yksityisten toimijoiden käyttämiä tietojärjestelmiä, joita vastaava vaatimus ei tällä hetkellä koske. Sieltä näitä heikompia lenkkejä voi löytyä”, Vainio sanoo.

Esimerkiksi Terveystalossa kolmannen osapuolen tekemiä tietoturvan auditointeja ja tarkastuksia tehdään Juosilan mukaan säännöllisesti.

”Ne teetetään ulkopuolisilla tietoturva-asiantuntijataloilla.”

Sekä Juosila että Husin Laakkonen korostavat lokitiedon keräämisen tärkeyttä.

”On seurattava, kuka potilastietoa käyttää ja, että kaikki käsittelevät niitä tietoja, joihin on asiallinen syy ja tarkoitus”, Juosila toteaa.

Häiriötilanteita on Husissakin selvitelty jonkin verran. Ne ovat olleet haittaohjelmilta ja huijaussähköposteilta suojautumisia.

”Näitä on aika ajoin ollut ja niistä on selvitty. Tämä Vastaamon tapaus näyttää olevan toisentyyppinen eli siinä on murtauduttu järjestelmän sisään.”

Laakkonen ei halua vastata siihen, onko Husissa selvitelty tietomurtoyritystä.

Lahdessa oli toissa kesänä useita päiviä jatkunut tilanne, jossa jouduttiin kytkemään sote-järjestelmiä pois verkosta. ”Tiedossa olevat tapaukset ovat johtaneet pahimmillaan tietoverkon häiriötilanteisiin. Tietomurtoja ei ole tullut meidän tietoon”, sanoo Kuntaliiton Vainio.

Tietoturvan vaatimustaso on Laakkosen mukaan lisääntynyt kymmenen viime vuoden aikana valtavasti. Siksi järjestelmät on pidettävä ajan tasalla ja tehtävä havainnointia koko ajan.

”Jos asiat ovat olleet retuperällä, ei niitä yhdessä yössä hoideta kuntoon yhden uutisoinnin jälkeen”, Laakkonen toteaa.

Husissa Vastaamon tapaus ei ole aiheuttanut erityisiä toimenpiteitä.

”Tietoturva on niin hyvällä tasolla kuin me pystymme näillä tiedoilla ja resursseilla takaamaan. Näin toteaisin tällä hetkellä. Tämä on jatkuvaa kehittämistä.”

Terveystalon tietoon tulee Juosilan mukaan aika ajoin tietomurron kokeilijoita.

”Onnistuneita tietojen kalasteluita on vain harvoin, eivätkä nekään ole liittyneet potilaskertomuksiin”, Juosila sanoo.

Vastaamon tietomurron jälkeen Terveystalossa on muistutettu siitä, miten jokainen työntekijä voi pitää tietoturvasta huolta.

”Työntekijöihin liittyvistä käytänteistä on muistuteltu, ja teemme sitä säännöllisesti muutenkin. Myös monivaiheiseen kirjautumiseen liittyviä uusia käytänteitä olemme ottaneet vastikään käyttöön”, kertoo Juosila.

Potilastietojärjestelmien valvonta kuuluu sosiaali- ja terveysalan lupa- ja valvontavirasto Valviran toimenkuvaan. Valvirassa terveydenhuollon tietojärjestelmistä vastaa yli-insinööri Antti Härkönen.

Härkösen vastuulle kuuluvat kaikki yli 300 tietojärjestelmää. Järjestelmät on jaettu kahteen eri lajiin. A-luokassa ovat Kanta-palveluun liitetyt järjestelmät ja B-luokassa yritysten omassa käytössä olevat tietojärjestelmät. Vastaamon käyttämä potilasjärjestelmä on kuulunut B-luokan järjestelmiin, joita on rekisterissä tällä hetkellä 260 kappaletta.

”A-luokan järjestelmiä rekisteröitäessä niiltä vaaditaan ulkopuolinen tietoturva-auditiointi”, Härkönen kertoo.

B-luokan järjestelmiltä niitä ei vaadita. Käytännössä valmistaja ilmoittaa rekisteröityessään itsensä vain Valviran valvonnan piiriin ja omailmoituksella vakuuttaa tietoturvan olevan kunnossa.

Valviran tekemä valvonta on ensisijaisesti ilmoitusten perusteella tehtävää. Härkösen mukaan näitä ilmoituksia tehdään asiakastietolain perusteella joitain kymmeniä vuosittain. Tänä vuonna ilmoituksia on tullut aiempaa huomattavasti enemmän Apotti-järjestelmän käyttöönoton vuoksi.

Härkönen ei olisi Vastaamon tietomurron vuoksi huolissaan esimerkiksi Kanta-palvelun luotettavuudesta, mutta myöntää että riskit ovat mahdollisia B-luokan järjestelmissä, joille ei ole erityisiä kelpoisuusvaatimuksia.

”Lähtökohtaisesti kuka vaan voi liittää järjestelmänsä rekisteriin”, Härkönen sanoo.