Jälkipyykkiä luvassa
Eilen kirjoitin Vastaamon tietomurrosta, ja ihan varmasti olette lukeneet ja kuulleet siitä uutisissa paljon enemmän. Poliitikot ja yksittäiset kansalaiset yli puoluerajojen ovat ilmaisseet tukensa rikoksen uhreille, ja näkemys on samalla tavalla yhtenäinen kuin keväällä koronakriisin alkaessa. Nyt ei ole politikoinnin paikka.
Joitain hajaääniä on kuitenkin kuulunut. Perussuomalaisten eduskuntaryhmän puheenjohtaja Ville Tavio ihmetteli, miksi ja millaisia potilastietoja yleensä kirjataan.
Kokoomusta lähellä olevan ajatuspaja Liberan sisältöjohtaja Tere Sammallahti puolestaan vertasi potilastietoja verotietoihin.
Tavio on selittänyt twiittinsä ja Sammallahdelle on näköjään kerrottu avoimeen yhteiskuntaan kuuluvan verotietojen julkisuuden ja arkaluontoisten potilastietojen salassapidon välinen ero. Ei ole mitään syytä olettaa Tavion itse katsoneen kenenkään vuodettuja tietoja, vaan hänellä taisi olla päällä oppositiopoliitikon automaattiohjaus, joka sai hänet asettumaan vähän vastahankaan tässäkin asiassa. Samoin taisi käydä myös Sammallahdelle, kun ensimmäisenä tuli mieleen verotus.
Erilaiset näkökulmat kuuluvat asiaan, joten se siitä. Kunhan uhrit saavat ensin kaiken mahdollisen tuen ja poliisi edistyy tutkimuksissaan, niin vasta sitten on jälkipyykin aika. Sitä tulee olemaan paljon, sillä tietoyhteiskunnan haavoittuvuus on paljastunut. Hämmästyin eilen, kun tietohallinnon ammattilainen Matti Kinnunen kertoi Facebookissa oman näkemyksensä. Hänen mukaansa tietoturvan valvontaa ei käytännössä ole ollenkaan, vaan meillä on valvomaton yksityinen terveysbisnes.
Samaan suuntaan kertoo myös Taloussanomat. Vastaamo on Valviran hyväksymä ja valvoma palveluntuottaja, jonka tietojärjestelmä kuuluu laissa säädeltyihin niin sanottuun B-luokan järjestelmiin, joille laki ei edellytä ulkopuolista tietoturvallisuuden arviointia. Vastaamon itsensä kehittämä potilastietojärjestelmä on yksi 260:stä sosiaali- ja terveydenhuollon tietojärjestelmästä, joiden tietoturvallisuutta viranomaiset valvovat vain erityisistä syistä tai palveluntarjoajan itsensä sitä pyytäessä. Valvonta on vähäistä resurssipulan takia.
Meillä on siis oikeasti suuri määrä palveluntuottajia, joille julkinen sektori ohjaa asiakkaita luottaen yritysten omavalvontaan. Yleensä omavalvonta toimii ihan hyvin, mutta kun jokin menee pieleen, niin seuraukset voivat olla katastrofaalisia. En ole ulkoistamisen suuri ystävä, mutta julkista sektoria pitää voida täydentää ostopalveluilla. Silloin pitäisi edellyttää, että palveluntuottajan tietojärjestelmät ovat tutkittuja ja sertifioituja. Jako A-ja B-luokkaan tuntuu tietotekniikan maallikosta käsittämättömältä, kun molemmissa kuitenkin käsitellään samanlaisia potilastietoja.
Tämän rikoksen takia tietoturvaan tullaan varmasti tekemään muutoksia sekä lainsäädännön että viranomaistoiminnan osalta. En osaa vielä arvioida millaisia ne ovat, ja tuskin näin maallikkona tulen niitä edes täysin ymmärtämään. Toivottavasti poliitikot ymmärtävät sitten, kun lakimuutoksia on tulossa ja valvontaviranomaisille esitetään lisää resursseja. Ihmisten turvallisuus ei ole politikoinnin paikka.
EDIT 26.10.2020 klo 10.45
Korjattu ensimmäisellä rivillä oleva Vastaamon nimi.
Yhteistyökumppanini yritykseni tietotekniikan osalta totesi, että jos järjestelmä on olemassa ja sinne laitetaan tietoja ja sieltä otetaan tietoja niin sinne on myös ulkopuolisen mahdollista päästä niitä tietoja katsomaan, kunhan vaan osaamista löytyy.
Tämä tietenkään ei ole mikään uutinen tietotekniikkaväelle. Minulle tollolle se antoi paljon ajattelemisen aihetta.
No ei se nyt ihan aukottomasti noin nykypäivänä enää mene. Vähän kannattaa ehkä haastaa sitä yhteistyökumppanin osaamista. Tiedot voidaan kyllä suojata monella eri tavalla, että ulkopuolisilla ei tietoihin ole pääsyä. Tai vaikka pääsisikin niin datalla ei tee mitään, eli se on salattu tai tehty sellaiseksi että siitä ei henkilöä tunnista.
Toisaalta ulkopuolisia esteltäessä voipi unohtua se, että valvontaa tulee suorittaa myös sisäisille henkilöille ja rajata heidänkin käyttöoikeuksiaan..
Jos on tarpeeksi rahaa ja osaaamista ja ihmisiä käytettävissä, niin varmaankin mihin vain voi murtautua. Maailmanhistoria on täynnä kertomuksia vakoojista, jotka ovat vuotaneet erittäin hyvin vartioituja tietoja vuosikausia. Historiassa on myös esimerkkejä, joissa on pystytty tunkeutumaan järjestelmiin, jotka eivät ole yhteydessä mihinkään tietoverkkoon ja tuhoamaan järjestelmät – tietoja toki ei ole saatu ulos.
Kyse on lähinnä siitä, että maksaako tunkeutuminen vaivan. Vastaamon tapauksessa vaiva on ilmeisesti ollut hyvinkin pieni, joten pienikin hyöty riittää. Hyöty voi olla kiristämällä saatua rahaa tai vaikkapa yhteiskunnallisen luottamuksen rapauttamista ja epäjärjestyksen luomista (kyberterrorismia). Virolla, Ukrainalla, Georgialla ja muilla entisen NL:n reunavaltioilla on paljon kokemusta kyberterrorismista.
Toivon totisesti, että Vastaamoon murtautuivat muut kuin jonkin pahantahtoisen tiedustelupalvelun häkkerit (tai tiedustelupalvelun palkkaamaat rikolliset). Kohta sen näemme, koska jos asialla oli jokin valtiollinen toimija, niin se on varmasti murtautunut muuallekin ja kertoo murtautumisestaan kohta. Kohde voi olla jotain ihan muuta kuin terveydenhuolto.
Hyvä kirja näihin asioihin perehtymiseen Andy Greenbergin Sandstorm => https://www.vanityfair.com/news/2019/10/the-discovery-of-sandworm-the-worlds-most-dangerous-hackers
Näin Turussa 9 vuotta sitten. Ei edes kovalevy salattuna, mikä lienee Varaamonkin tapauksessa olleen.
https://www.ts.fi/uutiset/kotimaa/249566/Tuhansien+potilastiedot+loytyivat+ojan+pohjalta