Datasäkerheten byggs upp i samspel med teknik och användare

De senaste dagarnas nyheter har, förutom om Covid-19, handlat om datasäkerhetsfrågor. Också vid Aster Bothnia har man aktivt följt med diskussionen.

Tekniska direktören Tuomo Iso-Aho samt tekniska arkitekten Petri Palmén är nöjda över att datasäkerheten diskuteras ur ett bredare perspektiv, eftersom datasäkerhet är så mycket mera än bara tekniska lösningar.

I den allmänna diskussionen blandas nu två termer, som båda visserligen hör ihop med varandra. Datasekretess innebär var och ens rätt till skydd av personuppgifter. Med datasekretess avses när och med vilka förutsättningar personuppgifter behandlas.

Datasäkerhet är att tillgodose att datasekretessen upprätthålls, dvs. försäkra att individens uppgifter behandlas lagenligt. Datasäkerhet innebär att skydda datauppgifter och dess innefattande system. Det gäller både tekniska lösningar, samt registerupprätthållarens dagliga verksamhet.

- Precis på samma sätt som att system kräver stark identifiering, inloggning med personliga koder, säkra lösenord, låsning av arbetsstationen då man avlägsnar sig från arbetsbordet och ser till att enbart personer med rätt att röra sig i verksamhetsutrymmen har tillgång till utrymmena är en del av datasäkerheten. Det är på alla arbetstagares ansvar, påminner Palmén oss om.

De senaste dagarnas diskussion om datasäkerhet och de utmaningar som framkommit i samband med diskussionen har varit en operativt uppvaknande för hela sote-sektorn och för de aktörer som ansvarar för sote-sektorns IT-tjänster.

- Det är ännu två år tills Aster är i testningsskedet. Innan dess kommer vi få mycket ny information, som vi kan dra nytta av och ta i beaktade i systemets uppbyggnad och i testning. Utvecklingen i den här branschen sker snabbt och vi behöver ta ännu ett steg framåt, konstaterar Iso-Aho.

Aster logo med händer

Egen aktivitet avgörande

Eftersom uppbyggandet av det nya klient- och patientdatasystemet bara är i planeringsskedet är många saker ännu olösta. Aster-systemet kommer vara s.a.s. ett A-klassens datasystem inom social- och hälsovården och dess förberedelse och uppbyggnad styrs av över 100 olika lagar.

Då vi pratar om lösningar i anslutning till datasäkerhet, betonar Iso-Aho den systemansvariga aktörens egen aktivitet och ansvar. Han gör som bäst upp Aster Bothnias egna auditeringsplan, som fördelas på tio delområden. Hit hör bl.a. systemets sårbarhet, dokumentering av logguppgifter, hantering av användarrättigheter och processer som rör återställande av systemet. Varje ett av de tio delområdena består av flera mindre helheter.

- Alla åtgärder och processer som ingår i planen kommer att granskas före den lagstadgade auditeringen, vilken kommer att utföras av en utomstående aktör. Syftet med auditeringen är att ta fram möjliga brister som inte har noterats i uppbyggnadsskedet, berättar Iso-Aho.

- Alla korrigeringar görs innan systemet förs vidare till produktion, dvs. tas i bruk på riktigt.

Iso-Aho och Palmén anser att utomstående auditering är viktig, men påminner om att man inte får vaggas in i en falsk känsla av trygghet efter genomförd auditeringen. Datasekretess är inte bara något som beaktas i uppbyggnadsskedet utan är en kontinuerlig och aktiv verksamhet också i redan befintliga system. Exempelvis är datasäkerheten försvagad i system var systemuppdateringar inte genomförs.

Iso-Aho ger som exempel kontinuerlig utvärdering av den egna verksamheten med auditeringsplanen som utarbetas. Där drar man även upp riktlinjer för hurudan beredskapsplan som ska utformas och hur ofta den ska kontrolleras samt hur man förbereder sig inför problemsituationer.

- Inom organisationen måste man ta beslut på hur man ska förbereda sig på extrema situationer. Exempelvis bör det finnas en plan för hur man ska agera för att upprätthålla organisationens verksamhetsförkapacitet vid t.ex. ett strömavbrott i ett datacenter , förklarar Plamén.

Lagstiftningen ger inga specifika riktlinjer för hur sårbarheter och risker ska följas upp. Därför är den egna planeringen och den regelbundna verksamheten oundviklig för att kunna garantera datasäkerheten och genom den klientens och patientens datasekretess.

Platsen garanterar inte säkerhet

I diskussionen om datasekretess har frågor om var klient- och patientuppgifter förvaras ställts, exempelvis finns uppgifterna i s.k. molntjänster eller on-premises –lösningar, dvs. servrarna finns placerade i egen datacenter.

En molntjänst kan vara s.a.s. offentliga (public) dvs. delad, vilket innebär att kunderna inte är medvetna om varandra och slipper heller inte in på varandras uppgifter, men plattformen har skapats för gemensam användning. Molntjänster kan också vara privat (private), vilket innebär att tjänsten byggts upp för en eller en begränsad användargrupp, förtydligar Palmén.

Var Aster-beställarorganisationernas patientuppgifter kommer förvaras har inte bestämts ännu. Men det ser ut som om helheten kommer vara en hybridmodell, där man använder molntjänster och on-premises –lösningar. Lagstiftningen ställer ramvillkor, exempelvis att klient- och patientuppgifter inte kan förvaras utanför EU.

- Leverantören har förbundit sig att följa finländsk lagstiftning redan i offertskedet och vi ser naturligtvis till att detta efterföljs under arbetets gång, konstaterar Iso-Aho.

Tuomo Iso-Aho

 

 

 

 

 

 

  Tuomo Iso-Aho, Teknisk direktör  

Petri Palmén

 

 

 

 

 

 

  Petri Palmén, Teknisk arkitekt