Tietoturva rakentuu tekniikan ja käyttäjän yhteispelistä

Viime päivien uutisaiheissa ovat korostuneet Covid-19:n lisäksi myös tietoturvaan liittyvät kysymykset. Myös Aster Bothniassa on seurattu keskustelua aktiivisesti.

Tekninen johtaja Tuomo Iso-Aho sekä tekninen arkkitehti Petri Palmén ovat tyytyväisiä, että tietoturvasta keskustellaan nyt laajasti, sillä tietoturva on paljon enemmän kuin vain joukko teknisiä ratkaisuja.

Yleisessä keskustelussa tuntuu nyt sekoittuvan kaksi termiä, jotka toki liittyvät toisiinsa. Tietosuojalla tarkoitetaan jokaisen oikeutta henkilötietojensa suojaan. Tietosuoja määrittää milloin ja millä edellytyksillä henkilötietoja käsitellään.

Tietoturva on tietosuojasta huolehtimista, eli sen varmistamista, että yksilön tietoja käsitellään lain mukaisesti. Tietoturvan tarkoitus on suojata tietoaineisto ja sitä sisältävät järjestelmät. Suojaamista ovat sekä tekniset ratkaisut, että rekisterinpitäjän päivittäinen toiminta.

- Aivan yhtä lailla se, että järjestelmiin tunnistaudutaan vahvasti, kirjaudutaan vain henkilökohtaisilla tunnuksilla, huolehditaan salasanoista, lukitaan työasema, kun poistutaan työpöydän äärestä ja huolehditaan, että toimitiloissa liikkuu vain henkilöitä, joilla on siellä oikeudet liikkua, ovat osa tietoturvaa. Näistä kantaa jokainen työntekijä vastuun, Palmén muistuttaa.

Viime päivien keskustelu tietoturvasta ja esiin nousseista haasteista on ollut opettavainen heräte koko sote-sektorille sekä niiden IT-palveluista vastaaville toimijoille.

- Meillä on yli kaksi vuotta aikaa ennen kuin Aster on testausvaiheessa. Saamme siihen mennessä paljon uutta tietoa, jota pystymme hyödyntää ja huomioida jo järjestelmän rakennusvaiheessa ja edelleen testauksessa. Kehitys tällä toimialalla on nopeaa ja meidän on päästävä vielä askeleen verran edelle, Iso-Aho toteaa.

Oma aktiivisuus ratkaisee

Koska uuden asiakas- ja potilastietojärjestelmän rakennustyöt ovat vasta suunnitteluvaiheessa, on moni asia vielä ratkaisematta. Aster-järjestelmä tulee olemaan ns. A-luokan sosiaali- ja terveydenhuollon tietojärjestelmä ja sen valmistelu- ja rakennustyötä ohjaa yli 100 erilaista lakia.

Kun puhutaan tietoturvaan liittyvistä ratkaisuista, Iso-Aho korostaa järjestelmästä vastaavan tahon omaa aktiivisuutta ja vastuunkantoa. Hän laatii parhaillaan Aster Bothnian omaa auditointisuunnitelmaa, joka jakautuu kymmeneen osa-alueeseen. Niihin kuuluvat muun muassa järjestelmän haavoittuvuuteen, loki-tietojen dokumentointiin, käyttöoikeuksien hallintaan ja järjestelmän palautumiseen liittyvät prosessit. Jokainen 10 osa-alueesta koostuu lukuisista pienemmistä kokonaisuuksista.

- Kaikki tämän suunnitelman sisältämät toimenpiteet ja prosessit käydään läpi ennen lain edellyttämän, ulkopuolisen toimijan tekemää auditointia. Auditointien tehtävä on tuoda esiin mahdolliset aukot, jotka rakennusvaiheessa on voinut jäädä huomaamatta, Iso-Aho kertoo.

- Kaikki korjaukset tehdään ennen kuin järjestelmä viedään tuotantoon eli otetaan oikeasti käyttöön.

Iso-Aho ja Palmén pitävät ulkopuolisen tekemää auditointia tärkeänä, mutta muistuttavat, ettei sen jälkeen saa tuudittautua turvallisuuden tunteeseen. Tietosuoja ei ole vain järjestelmän rakentamisvaiheeseen liittyvä urakka, vaan se on jatkuvaa, aktiivista toimintaa myös jo käytössä olevissa järjestelmissä. Esimerkiksi järjestelmien päivittäminen on tärkeää, sillä päivittämättömät järjestelmät heikentävät tietoturvaa.

Iso-Aho heittää esimerkin jatkuvasta oman toiminnan arvioinnista työn alla olevasta auditointisuunnitelmasta. Siellä linjataan myös se, millaiseksi varautumissuunnitelma tehdään ja kuinka usein sitä käydään läpi ja ikään kuin harjoitellaan ongelmatilannetta varten.

- Organisaatiossa on päätettävä, mihin äärimmäisiin tapauksiin varaudutaan. Esimerkiksi, on oltava suunnitelma, jos vaikkapa yksi konesali pimenee. Miten silloin on toimittava, jotta organisaation toimintakyky säilyy, Palmén jatkaa.

Lainsäädäntö ei anna tarkkaa määräystä, miten haavoittuvuuksien ja riskien seurantaa tulisi tehdä. Siksi oma suunnitelmallinen ja säännöllinen toiminta on välttämätöntä, jotta voidaan huolehtia sekä tietoturvasta että sitä kautta asiakkaan ja potilaan tietosuojasta.

Paikka ei takaa turvaa

Tietosuojaan liittyvässä keskustelussa on nostettu esiin kysymykset siitä, missä esimerkiksi asiakas- ja potilastiedot ovat tallessa, eli onko data ns. pilvipalvelussa vai on-premises –ratkaisussa eli palvelimet sijaitsevat omassa konesalissa.

Pilvipalvelu voi olla ns. julkinen (public) eli jaettu, eli asiakkuudet eivät tiedä toisistaan, eivätkä pääse toistensa tietoihin, mutta alusta on tehty yhteiskäyttöön. Pilvipalvelu voi olla myös yksityinen (private) eli se on vain yhdelle tai rajatulle käyttäjäjoukolle rakennettu palvelu, Palmén selventää.

Missä Aster-tilaajaorganisaatioiden potilastiedot ovat aikanaan tallessa, ei ole vielä ratkaistu. Tällä hetkellä näyttää siltä, että kokonaisuus tulee olemaan hybridi, jossa hyödynnetään sekä pilvipalveluja että on-premises -ratkaisuja. Lainsäädäntö antaa reunaehdot, kuten sen, että asiakas- ja potilastiedot eivät voi olla tallessa EU-alueen ulkopuolella.

- Toimittaja on sitoutunut noudattamaan Suomen lainsäädäntöä jo tarjousvaiheessa ja me luonnollisesti pidämme huolen, että tästä pidetään kiinni työn edetessä, Iso-Aho toteaa.

Tuomo Iso-Aho 

 

 

 

 

 

  Tuomo Iso-Aho, Tekninen johtaja

Petri Palmén 

 

 

 

 

 

  Petri Palmén, tekninen arkkitehti

Takaisin Ajankohtaista-sivulle