Ovatko potilastietojärjestelmät turvallisia?

Kukaan uutisotsikoita seuraava ei ole pystynyt välttymään Vastaamon tietomurtoa koskevista päivityksistä. Moni on kuitenkin vasta nyt herännyt siihen realiteettiin, että millä röyhkeydellä kyberrikolliset ovat valmiita käyttämään hyväksi ihmisten arkaluonteisia tietoja omien rahallisten päämäärien toteuttamiseen. Tapaus on suomalaisessa kontekstissa yksi pahimmista ja se on koskettanut myös monien tuttavia.

Kysymys kuuluukin: ovatko suomalaisten arkaluonteiset tiedot turvassa potilas- ja asiakastietojärjestelmissä? Olen omassa työssäni päässyt auditoimaan monia terveydenhuollon järjestelmiä ja annan tässä postauksessa siitä oman mielipiteeni.

Olen jakanut tämän aiheen käsittelyn kolmeen osaan:

1. Miten potilastietojärjestelmät toimivat?
2. Potilastietojen suojaaminen ja Kanta-palvelut
3. Kuinka voidaan estää uusien tietomurtojen tapahtuminen?

Miten potilastietojärjestelmät toimivat?

Vielä vuosikymmen sitten potilastietojärjestelmät toimivat tyypillisesti siten, että järjestelmän palvelimet asennettiin esimerkiksi sairaanhoitopiirin tai yksityisen terveysaseman omiin tiloihin, johon lääkärit ja hoitajat ottivat yhteyden omalta päätteeltään. Internetin yleistymisen myötä, moderni potilastietojärjestelmä voi olla täysin erilainen. Ne voidaan tuottaa SaaS-palveluna, websovelluksena, alihankkijan konesalista tai mahdollisesti jopa ns. julkipilvestä, esimerkiksi AWS:stä tai Azuresta.

Potilastietojärjestelmät on asiakastietolaissa määritellyn jaottelun mukaan jaettu kahteen luokkaan: A- ja B-luokan järjestelmiin. Tämä luokitus ei kerro mitään järjestelmän laadusta, vaan se määrittelee, onko järjestelmä liitetty suoraan Kelan Kanta-palveluihin vai ei. Suomessa on noin 60 A-luokan järjestelmää ja vähintään saman verran B-luokan järjestelmiä.

Yksittäisen kansalaisen onkin siis terveys- ja sosiaalipalveluita käyttäessään vaikea tietää tarkalleen mihin hänen potilastietojaan siis tallennetaan. Isoissa sairaanhoitopiireissä potilastietojärjestelmän kylkeen voi olla integroitu myös kymmenittäin erilaisia pienempiä sovelluksia, jotka suorittavat vain pientä osaa hoitoketjusta, esimerkiksi kuvantamista.


Potilastietojen suojaaminen ja Kanta-palvelut

Suomessa on käytössä maailmanlaajuisestikin uniikki järjestely potilas- ja asiakastietojen keräämisestä yhteen paikkaan, eli Kelan Kanta-palvelut. Tämä järjestely on kehitetty siksi, että aikaisemmin kaikki potilaan hoitoon liittyvät tiedot ovat olleet pirstaloidusti eri järjestelmissä, eikä esimerkiksi Kemistä Helsinkiin muuttaneen henkilön hoitohistoriaan tai lääkitykseen ole ollut hoitavalla lääkärillä näkyvyyttä. Kanta-palveluiden avulla nämä tiedot ovat nykyisin reaaliaikaisesti haettavissa, kunhan potilaaseen on validi hoitosuhde.  

Modernit potilastietojärjestelmät toimivatkin pitkälti niin, että kaikki hoidon aikana tallennettava tietomassa siirretään mahdollisimman nopeasti Kantaan, eikä paikallisia tiedostoja säilötä itse järjestelmässä loputtomiin. Tällöin potilaan hoitotiedot ovat maanlaajuisesti ajan tasalla. Myös tietoturvan osalta tämä on hyvä, koska ei ole mitään laajaa paikallista tietokantaa mistä kyberrikollinen voisi varastaa tietoja. Toki tämä edellyttää itse Kelan Kanta-palveluilta erityisen suurta varmuutta tietoturvan ja saatavuuden osalta.

Miksi sitten Vastaamon tiedot pystyttiin varastamaan? Tässä tapauksessa (tietämättä sen tarkemmin kuin mitä on julkisesti saatavilla) kyseessä oli vielä Kanta-palveluihin liittymätön B-luokan järjestelmä, minkä takia potilastietokantaa ylläpidettiin vielä paikallisesti. Ilmeisesti palvelimen huono segmentointi ja poistamattomat oletustunnukset aiheuttivat itse murron.


Kuinka voidaan estää uusien tietomurtojen tapahtuminen?

Kanta-palveluihin liittyviltä (A-luokka) järjestelmätoimittajilta edellytetään sertifiointiprosessin läpikäymistä, johon kuuluu kolme kokonaisuutta: olennaisten vaatimusten täyttäminen, Kelan yhteistestaus sekä tietoturvallisuuden arviointilaitoksen suorittama tietoturva-auditointi. Kelan yhteistestauksessa varmistetaan, että järjestelmän tuottamat rakenteelliset hoitomerkinnät ovat oikein tehtyjä. Tietoturva-auditoinnissa käydään läpi THL:n antamien vaatimusten mukaisesti järjestelmän tietoturvaan liittyviä asioita, kuten tunnistautumista, lokitusta ja ohjelmistokehityksen turvallisuutta.

Olemme KPMG:llä pitkään toivoneet vaatimusten tarkentamista siltä osin, miten järjestelmä tulee testata teknisellä tasolla, on sitten kyse penetraatiotestauksesta, verkkoporttien tai haavoittuvuuksien skannaamisesta. Tällä hetkellä testauksen voi suorittaa myös järjestelmätoimittaja itse. Tältä osin täytyy todeta, että olemme viime vuosina huomanneet kehittäjien kyvykkyyksien parantuneen tietoturvatestauksen integroimisessa itse ohjelmistokehitysprosessiin. Tämä on hyvä kehityssuunta.

Se mikä kuitenkin jää puuttumaan tästä keskustelusta, on Kantaan liittymättömien järjestelmien turvallisuus. Näiden järjestelmien tietoturvallisuutta ei käytännössä pystytä valvomaan sen jälkeen kuin järjestelmä on rekisteröity käyttöönotettavaksi. Heitänkin tältä osin palloa itse hoitolaitosten, sairaanhoitopiirien, apteekkien ja terveyskeskusten suuntaan: muistakaa järjestelmähankintojen yhteydessä vaatia järjestelmiltä ja niiden ylläpidolta osoitusta tietoturvan tasosta!


Jos luet tätä vain huolestuneena yksityishenkilönä, joka on huolissaan omista tiedoistaan: ei ole ikinä väärin kysyä tai kyseenalaistaa sitä, mihin omia arkaluonteisia henkilötietoja tallennetaan ja miten niitä käytetään. Voimia tietomurron kohteena olleille, toivottavasti saamme yhdessä estettyä näiden tapahtumisen jatkossa ja rikolliset oikeuden eteen.