Avainsana: Tietoturva

Ajatuksia sote-alan tietosuojasta ja tietoturvasta

julkaissut Heidi I, kategoriassa Yleinen

Tietosuoja ja tietoturva ovat tapa tehdä sote-alan palveluita

Olen seurannut tiiviisti viimeaikaista uutisointia tietosuojaan ja tietoturvaan sekä Vastaamoon liittyen. Paljon on ollut hyvää uutisointia, mutta myös sitä pelkoja lietsovaa uutisointia, joka asettaa jo lähtökohtaisesti vaikean tilanteen entistä kamalampaan valoon. Uutisoinnissa korostuu syyllisen etsiminen, vaikka lopulta se on vain yksi osa tilanteen eheyttämistä. Fokus pitää olla siellä mitä me voimme oppia tapahtuneesta, sillä surullisinta olisi se, että kaikki jatkuu tomun laskeuduttua samanlaisena missä mahdollinen uusi tietovuoto väijyy jo nurkan takana jotakin muuta palveluntuottajaa.

Lehdissä on uutisoitu mm. sote-alan tietojärjestelmistä ja siitä miten vähän niihin kohdistuu valvontaa. On totta, että valvontaa on vähän, jos ollenkaan. Kuitenkin näkemäni uutinen jossa jaoteltiin sote tietojärjestelmät ns. parempiin A-luokan järjestelmiin ja huonompiin B-luokan järjestelmiin ei ihan pitänyt paikkaansa. Ensinnäkin luokitus A -ja B-luokan järjestelmiin ei ole koskaan tarkoittanut järjestelmien hyvyyttä tai huonoutta toisiinsa verrattuna, vaan sitä ovatko ne kytkettävissä Kanta-palveluihin ja millä mekanismilla.

Totta uutisoinnissa oli mm. se, että A-luokan järjestelmillä on suora rajapinta Kanta-viestinvälityspalveluun ja ne ovat läpäisseet sertifioinnin ja saaneet tästä vaatimustenmukaisuustodistuksen, mutta myös B-luokan järjestelmällä on yhtäläiset mahdollisuudet päästä kanta yhteyteen, kunhan se on integroitu A-luokkaan sertifioituun viestivälityspalikkaan. Tällöin yhteydet B-luokan ja A-luokan järjestelmillä ovat yhtälailla turvatut silloin, kun kirjaukset tehdään vain Kanta-palveluun. Oma tarinansa on sitten ne tiedot, joita mahdollisesti käsitellään kanta-palvelusta irrallaan, toisaalla asiakas -ja potilastietojärjestelmässä. Tällaisia tietoja ovat esimerkiksi sosiaalihuollossa tapahtuvat asiakkaan terveyteen liittyvät kirjaamiset, joiden osalta ollaan edelleen harmaalla alueella sillä viranomaiset eivät ole tähän selkeää kantaa ja linjausta tehneet. Palveluntuottajat toimivat siis parhaan tietämyksensä mukaisesti, mutta tällaiset kirjatut tiedot kelluvat ikäänkuin kahden maailman välissä tällä hetkellä.

Niin kauan, kun kirjaamisvelvoitetta kanta-palveluun ei ole, on jokaisen velvoitteen ulkopuolella toimivan palveluntuottajan mahdollista tehdä kirjaamiset esimerkiksi erilaisia varmenneratkaisuja hyödyntävissä asiakas -tai potilastietojärjestelmissä. Silti vaikka varmenneratkaisut toisistaan poikkeaisivatkin uskon, ja etenkin toivon, että jokaiseen markkinoilla olevaan järjestelmään tarvitaan aina vahva salasana, jota myös päivitetään. Markkinoilla on myös toimintojensa osalta hyvin erilaisia asiakas -ja potilastietojärjestelmiä myynnissä, riippuen vähän minkä toimialan tarpeisiin järjestelmä on erityisesti kehitetty tai onko järjestelmässä mahdollista tehdä myös muuta toiminnanohjausta, kuin pelkästään asiakkaisiin tai potilaisiin liittyvää raportointia.

Asiakas -ja potilastietojen käsittelyn valtakunnallisen yhteinäistämisen osalta on tulossa ratkaisu valmisteilla olevan asiakastietolain myötä. Tällöin asiakas -ja potilastietojen kirjaaminen kanta-palveluihin sekä järjestelmissä tehtävä tunnistautuminen tapahtuvat tietoturvallisesti sote-ammattikortin kautta. Sote-ammattikortti on verrattavissa henkilökorttiin ja tämä varmenne hankitaan puolestaan digi -ja väestötietovirastosta. Asiakastietolain myötä velvoite kirjata kanta-palveluihin laajenee terveydenhuollon puolelta, myös sosiaalihuollon puolelle, jolloin se kattaa kaikki palveluntuottajat niin yksityisellä, kuin julkisellakin sektorilla.

Valitettavasti järjestelmissä voi olla heikkouksia, etenkin silloin jos niissä käytetään jotain kolmannen osapuolen liitännäispalvelua tai esimerkiksi integrointi johonkin toiseen tietojärjestelmään on tehty heikosti. Järjestelmissä voi olla heikkouksia myös käytettävien varmenteiden osalta, etenkin jos on mahdollista käyttää esimerkiksi heikkoa tunnistautumista eikä järjestelmä pakota salasanan vaihtamiseen. Kaikkeen tähän ja moneen muuhun asiaansa perehtyneet kyberrikolliset voivat päästä järjestelmissä kiinni. Silti valveutuneimpia kyberrikolliset ovat tietojen kalastelussa, jossa kohteena olemme me, ihmiset, eivät niinkään välttämättä yksittäiset järjestelmät.

Tietosuojan ja tietoturvan osalta tärkeintä on tiedostaa se mitä riskejä omaan toimintaamme kohdistuu ja mitkä näiden riskien vaikutukset voivat lievimmillään ja pahimmillaan olla. Haastavaa tästä tekee se, että huomattavin riskitekijä ovat henkilötietoja käsittelevät inhimilliset resurssit. Inhimillinen virhe on läsnä 70-80% tietosuoja -ja tietoturvapoikkeamista. Miten siis varmistat ihmisen toiminnan jo lähtökohtaisesti paineita ja kiirettä sisältävässä sote-alan työssä?

Tietosuojapoikkeamat itsessään voivat olla tiedostamattomia, tiedostettuja tai tietämättömyyteen pohjautuvia. Kuten jo alussa totesin oleellista ei ole se, kuka virheen teki, vaan se miten se pääsi syntymään, mikä on juurisyy tapahtuman taustalla? Kun syytä selvitetään riittävästi paljastuu taustalta useimmiten heikosti hallitu tietosuoja ja tietoturva prosessi. Tällöin ei esimerkiksi ole käytössä riittäviä keinoja yrityksessä tapahtuvan henkilötietojen käsittelyn seurantaan. Tai sitten ei olla muistettu ohjeistaa ja varmistaa henkilötietoja käsittelevien ihmisten osaamista ja heidän tietotaitojen ylläpitämistä. Veikkaan, että aika monessa yrityksessä on viimeksi tietosuojaan ja tietoturvaan liittyvissä asioissa kouluttauduttu EU:n tietosuoja-asetuksen voimaantulon tienoilla toukokuussa 2018. Tästä on aika kauan aikaa, kun ottaa huomioon, että esimerkiksi asiaan liittyvät riskiarvioinnit pitäisi aivan minimissään käydä läpi kerran vuodessa koko henkilöstön kanssa, jos ne siis on tehty?

Ymmärrän kyllä, että tietosuojan ja tietoturvan hallinta saattaa tuntua mahdottomalta asialta ja kohtuullisen abstraktilta käsitteeltä, etenkin jos tätä pohtii pitkälti tietojärjestelmien kautta, joiden sielunelmästä vain tietyn koulutustaustan omaavat tietävät parhaiten. Kannattaa kuitenkin muistaa, että tietoturvallisen toimintakulttuurin luomisessa on lopulta kyse siitä miten me suojaamme henkilön yksityisyyttä ja turvaamme toimintamme jatkuvuuden olosuhteista riippumatta. Tätä lähtökohtaa pohtiessamme löydämme varmasti keinoja joihin pystymme vaikuttamaan ilman diplomi-insinöörin pätevyyttäkin, sillä tietosuojassa ja tietoturvassa on kyse kokonaisuuden hallinnasta ei siitä kenellä on parhaat it-taidot. Tekniseen osaamiseen me voimme tarvittaessa ostaa palveluita ulkopuolelta, mutta toimintamalleja, työohjeita ja työprosesseja joihin on sisällytetty tietoturvallinen toimintatapa, voimme suunnitella itsenäisesti. Ja toki myös tähän voi saada ulkopuolelta apua, vaikkapa meiltä Saluksesta 🙂

Listaan tähän loppuun kysymyksiä, jotka kannattaa käydä vaikkapa henkilöstön kanssa yhdessä läpi ja joiden hallinta on ensimmäinen askel tietosuojan ja tietoturvan osalta:

±Tunnetko yrityksesi tietosuojakäytännöt –ja ohjeistukset?

±Tiedätkö kuka on yrityksesi tietosuojavastaava ja keneltä voit saada lisätietoja tietosuojaan ja tietoturvaan liittyvissä kysymyksissä?

±Lukitsetko tietokoneen aina kun poistut sen luota?

±Jätätkö työpuhelimen näkyville esimerkiksi pöydälle ilman vahvaa lukitusta?

±Jätätkö kalenterin näkyville, jossa voi olla asiakkaiden henkilötietoja?

±Ovatko salasanasi vain sinun tiedossasi?

±Vaihdatko salasanoja säännöllisesti?

Somen pimeä puoli

julkaissut Heidi I, kategoriassa Lastensuojelu, Sosiaalinen media, Tietosuoja, Yleinen

Tämä kirjoitus on syntynyt Saluksen Marjut Jokelan kynästä. Huostaanotettujen lapsien osallisuutta tutkiessaan hänen matkalleen on osunut tarinoita lasten, nuorten ja myös meidän aikuisten sosiaalisen median edesottamuksista. Tästä syntyi ajatus tälle blogikirjoitukselle. Tutkimustyö on mielenkiintoinen matka ja näitä Marjutin sivupolkuja, kuten myös pääpolun aiheita tulemme julkaisemaan tulevaisuudessa lisää.

piilossa

Sosiaalinen media on täyttänyt maailmamme. Se tulee elämäämme, halusimmepa tai emme. Lasten ja nuorten maailmaa muovaavat internet ja aineeton sosiaalinen media, jonka virtuaaliryhmissä pyörii 100 % nuorisoikäisistä suomalaisista lapsista päivittäin. Vuodenvaihteen ympärillä on paljon keskustelua aiheuttanut Oulun tapaus lapsien hyväksikäytöstä ja somessa olevista keskustelualustoista, joiden välityksellä tuntemattomien on helppoa luoda kontaktia alaikäisiin lapsiin. Ilmassa on paljon miksi ja miten -kysymyksiä. Miksi lapset luottavat tuntemattomaan keskustelukumppaniin? Miten lapsia voidaan houkutella? Miten lapsia voidaan suojella?

Omaa tutkimusta tehdessäni olen törmännyt niin vihapuheeseen kuin nettikiusaamiseenkin. Anonyyminä ja muokatulla profiililla toimiminen ikään kuin villiinnyttää ihmiset sosiaalisessa mediassa. Kasvottomuus antaa meille luvan käyttäytyä huonosti, unohtaa kohteliaisuus ja hyökätä aggressiivisesti kaikkea sellaista kohtaan, joka näyttää olevan kyvytön puolustamaan itseään. Lasten ja nuorten nettikiusaamisesta puhutaan paljon, mutta väitän, että emme me aikuiset käyttäydy sosiaalisessa mediassa yhtään sen paremmin. Mitenkäs sen esikuvan laita oikein olikaan?

mobile-phone-3625924_1280

Sosiaalinen media on osalle aikuisia kuin ikuinen hiekkalaatikko, jossa voi rakentaa rauhassa yhdessä upeaa hiekkalinnaa tai polkea naapurin rakennelma maan tasalle. Kun ihmistä ei tunnista, hän voi käyttäytyä juuri niin typerästi, suorasanaisesti, ilkeästi ja vihaisesti kuin haluaa. Voidaan syyttää häikäilemättä, nimitellä ja osoittaa paheksuntaa, vääristää tietoa ja levittää valheellista informaatiota. Mutta myös tehdä asioita, jotka lainsäädäntö on määrittänyt rikolliseksi, moraali kieltää niin toimimasta ja yhteiskunnan normit eivät asiaa hyväksy. Nimettömyys antaa meille ikään kuin luvan toimia alkuihmisien tavoin, omaa etua ja tarvetta tyydyttäen. Väistämättä tätä ihmisten käyttäytymistä netissä seuratessani tulen ajatelleeksi ihmiskunnan syntyä ja sitä, miten alkukantainen ihmisrotu loi ensimmäiset sosiaaliset järjestäytymisen säännöt ja tavat toimia sosiaalisessa yhteisössä. Samalla tavalla me rakennamme uutta sosiaalista käyttäytymisen mallia nyt sosiaalisen median maailmassa, missä emme kohtaa fyysisiä ihmisiä, vaan näemme pelkkiä kuvia, videoita ja tekstejä, jotka lopulta kertovat hyvin vähän ihmisistä itsestään. Me olemme kuin sosiaalisen median neanderthalit kömpelöine ja hyökkäävine tapoinemme, kiviset kirveet kourissa tappamassa kaiken, jonka koemme itseämme uhkaavan tai jonka tappaminen noin yleisesti ottaen juuri nyt kiinnostaa. Toisaalta sukupuolivietti haastaa meitä lähestymään toisia ihmisiä, välillä hyvinkin suorasukaisesti, ”me Tarzan you Jane”.

Ei siis liene suurikaan ihme, että me aikuiset median neanderthalit olemme pulassa, kun nuorempi sukupolvi tuntuu sukkuloivan sähköisessä maailmassa kuin oikeassa todellisuudessa, tuntuvat hallitsevan kaiken ja nauravat meidän kömpelölle pyristelylle pysytellessämme kehityksen virrassa. Kuitenkaan tämä nuorempi sukupolvi ei ole sosiaalisessa mediassa välttämättä sen taitavampia kuin aikuisetkaan. Lapset tarvitsevat rinnalleen aikuisia muistuttamaan hyvästä ja empaattisesta käytöksestä sosiaalisessa mediassa, varoittamaan vääristä ja turhan rohkeista yhteydenotoista. Aikuisina me emme voi luottaa siihen, että lapset osaavat sähköisen median paremmin, vaan lapset tarvitsevat käyttäytymisen sääntöjä myös sinne. Lapsilla on oikeus osallistua yhteisöjen toimintaan, mutta meidän aikuisten on luotava riittävän turvalliset puitteet siellä toimimiseen. Puitteet syntyvät välittämällä ja keskustelemaalla, puuttumalla ja kuuntelemalla. Miksi emme käyttäisi sosiaalista mediaa välillä yhdessä perheenä? Tutustuisimme toistemme maailmoihin ja yrittäisimme ymmärtää, mitä sosiaalisessa mediassa oikein tapahtuu.

Kömpelöllä luokittelulla hyväksi tai pahaksi teemme maailmasta turhan mustavalkoisen. Sosiaalista mediaa ei voida noin vain poistaa, mutta meidän on palattava käyttäytymisemme ytimeen. Siihen, miten muodostaa sosiaalisesti hyväksyttäviä, tiiviitä yhteisöjä, joissa kaikkien ajatuksille on tilaa ja erimielisyydet voidaan ratkaista sivistyneellä tavalla. Tämän päivän käyttäytymisemme ei aina kestä päivänvaloa, ja olisikin syytä tarkkailla alkuun vaikka omaa sosiaalisen median käytöstä ja sen jälkeen kysyä läheisiltään, mitä hyvää olet tänään kokenut sosiaalisessa mediassa. Jos hyvän luettelointi tuottaa vaikeutta, on silloin syytä tarkastella omaa sosiaalisen median käyttäytymistään, olisiko siinä kenties parantamisen varaa. Ja lopulta miettiä sitä, voisiko suoraselkäisesti seisoa ihmisenä, fyysisenä olentona, kasvokkain toisen ihmisen edessä ja kertoa mielipiteensä. Mikäli mielipiteen kertominen tuntuu vaikealta, voi silloin miettiä, onko viestin sisällön tuottamisessa oltu epäkohteliaita tai asiattomia. Olisiko viestin voinut ilmaista kenties toisin?

Vaikka sosiaalinen media onkin mahdollistanut anonyymin toiminnan, ei se kuitenkaan ole muuttanut ihmisoikeuksia. Olemme vastuussa käyttäytymisestämme ja aikuisina olemme vastuussa lastemme käyttäytymisestä. Käyttäydytään kauniisti ja ollaan ihmisiksi.

Inhimillinen virhe voi haastaa tietoturvasi tason

julkaissut Heidi I, kategoriassa Tietosuoja, Tietoturva, Yleinen

ruostunut lukko

Tietosuoja-asetuksen siirtymäaika on päättymässä toukokuussa ja oletkin saattanut huomata, että aiheesta puhutaan juuri nyt enenevissä määrin. Ja on aihettakin, olemme siirtyneet niin vauhdilla digitaaliseen maailmaan, että eräs siihen oleellisesti liittyvä seikka, eli henkilötietojen turvallinen käsittely, on jäänyt lapsipuolen asemaan.

Ihmeellistä tämä on siinä mielessä, että henkilötietoja on tavalla tai toisella käsitelty jo satoja ellei tuhansia vuosia. Siihen liittyvää lainsäädäntöäkin on ollut olemassa hyvin pitkään. Lainsäädäntöä on ollut kuitenkin pakko tarkistaa digitalisaation laajenemisen myötä, nyt kun se koskee meitä lähes jokaisella elämänalueella. Henkilötiedoista on tullut digitaalisaation myötä kauppatavaraa ja näin ollen on pakko etsiä ratkaisuja kyberrikollisten toiminnan hankaloittamiseksi ja yleisesti yksityisyydensuojan lisäämiseksi. Eivät henkilötiedoista nimittäin yksistään kyberrikolliset ole kiinnostuneita, vaan perinteinen uteliaisuuskin saattaa usein olla henkilötietojen asiattoman käytön takana. Ja sitten on kolmaskin syy, tahaton henkilötietojen tietosuojaa uhkaava toiminta, josta tässä kirjoituksessa haluan ennen kaikkea puhua.

Syy miksi haluan nostaa esille tahatonta henkilötietoihin kohdistuvaa uhkaa johtuu puhtaasti siitä, että se on tapahtumana tyypillisin. Usein tietosuojaa ja tietoturvaa saatetaan pohtia pitkälti tekniseltä kannalta, vaikka digitaaliset järjestelmät ovat itsessään verrattain luotettavia. Se missä nämä tahattomat tietoturvatapahtumat useimmiten sattuvat liittyvät joko digitaalisten järjestelmien, laitteiden tai manuaalisten arkistojen huolimattomaan käyttöön.

Millaisia tilanteita henkilötietojen huolimattomaan käyttöön voi siis liittyä? Variaatiot itsessään ovat hyvin laajoja, ja tätä asiaa tulee aina katselmoida omasta näkökulmasta, suhteessa siihen minkälaisissa eri tilanteissa henkilötietoja käsitellään. Kerron teille kolme esimerkkiä omasta elämästä, jossa olen kohdannut henkilötietojen huolimatonta käyttöä.

Olin tekemässä eräässä yrityksessä ulkoista auditointia ja sattumalta kohtasin yrityksen vastaanotossa tilanteen, jossa asiakas palautti pinon potilasasiakirjoja, jotka olivat unohtuneet yleiseen ruokalaan, jossa työntekijät, sidosryhmät ja asiakkaat ruokailivat kaikki sulassa sovussa. Tässä tilanteessa taustalla oli kiireestä johtunut unohdus. Astioiden palautuksen yhteydessä asiakirjat olivat jääneet astianpalautuspisteen vieressä olleelle pöydälle, josta asiakas ne löysi. Tietysti hyvä kysymys on se, miksi asikirjat oli ylipäätään otettu ruokalaan mukaan, kenties tässäkin oli kiire taustalla.

Toinen sattumus tapahtui asioidessani poliklinikalla. Lääkärin vastaanotto pöydällä oli avoinna seuraavien asiakkaiden kansiot. Papereista pystyi helposti näkemään esimerkiksi seuraavan asiakkaan sosiaaliturvatunnuksen. Eittämättä myös minun paperini olivat olleet samaan tapaan levällään edellisen potilaan aikana sillä tämä vaikutti paperimäärän perusteella olevan ellei yleinen niin ainakin päivän käytäntö.  Koska asiointini syy oli sen verran mieltä painava, en tullut haastaneeksi tilannetta, mutta jälkeenpäin olen sitä miettinyt ja pohtinut syitä. Seuraavat pohdintani ovat siis vain olettamuksia.

Epäilen, että taustalla oli jälleen puhtaasti kiire ja halu nopeuttaa asioita. Oma aikani oli ainakin myöhässä, joten veikkaan, että tällä tavalla haluttiin nipistää muutama minuutti.  Toinen syy saattaa olla se, että henkilökunta ei ehkä ollut saanut koulutusta tietosuojakäytäntöjen osalta, jos niitä edes oli määritelty. Oliko tässäkin sairaalassa keskitytty vain siihen, että tekniikan puolella asiat hoituvat turvallisesti, mutta henkilökuntaa ei oltu koulutettu muiden tietosuojaan liittyvien käytäntöjen osalta?

Kolmas tapahtuma liittyy digitaalisiin järjestelmiin ja niiden käyttöön. Olen nimittäin muutaman kerran törmännyt tilanteeseen, jossa järjestelmää ei saada auki sillä salasana on aiemmin ollut tallennettuna tietokoneen välimuistiin, mutta välimuisti olikin tyhjennetty ja salasana näin ollen hukassa. Tässä kohtaa en voi sanoa muuta kuin, että älkää tallentako yritykseenne liittyvien järjestelmien salasanoja tietokoneen välimuistiin, paperilapuille tai avoimiin tiedostoihin! Ainoat turvalliset paikat ovat joko oma muistinne tai nimenomaisesti salasanojen tallennukseen suunniteltu palvelu. Käyttäjätunnus salasana yhdistelmät ovat henkilötietojen ohella kyberrikollisten himotuinta saalista. Näiden avulla he pääsevät käsiksi sinulle arvokkaisiin tietoihin ja vaikeuttavat yritystoimintaasi huomattavasti. Puhumattakaan siitä mikäli he pääsevät käsiksi asiakkaidesi, henkilöstösi tai perheesi tietoihin.

Miten inhimillisiä virheitä voitaisiin sitten estää? Listaan seuraavaksi viisi yleisintä kohtaa jotka voivat auttaa inhimillisten virheiden estämisessä.

  1. Ensimmäinen neuvoni inhimillisten virheiden ennakointiin on se, että käsitellessäsi henkilötietoja tee se silloin kun voit käsitellä niitä rauhassa ilman kiireen tuntua. Mikäli et voi kiireelle mitään älä anna sen vallata mieltä vaan keskity rauhallisesti käsillä olevaan tehtävään, voit kiristää menetyt minuutit varmasti jossakin toisessa tehtävässä.
  2. Kouluttaudu tietosuoja ja tietoturva kysymyksien osalta. Kuten aiemmin totesin, tämä aihe ei keskity pelkästään tietojärjestelmiin vaan kattaa esimerkiksi henkilötietojen osalta koko niiden elinkaareen siitä hetkestä lähtien kun uusi henkilötieto tallennetaan yrityksesi järjestelmiin.
  3. Huolehdi aiheeseen liittyvien toimintaohjeiden ajantasaisuudesta ja siitä, että kaikki ovat niistä tietoisia, myös päivittyneistä versioista.
  4. Pohdi tapaasi käyttää tietojärjestelmiä ja laitteita. Käytätkö niitä turvallisesti, onko yritykseesi liittyvät tiedot suojassa jos esimerkiksi laitteesi varastettaisiin?
  5. Pohdi niitä käyttöympäristöjä joissa esimerkiksi henkilötietoja käsitellään, onko vaaraa, että ulkopuolisilla on suora näkymä esimerkiksi tietokoneen näyttöön?

Kiire on eittämättä suurin tekijä inhimillisten virheiden taustalla. Me laitamme kiireen piikkiin usein erinäisiä asioita, vaikka totuuden nimessä epäilen, että meillä kenelläkään on niin kiire, ettemme ehtisi rauhallisesti ja tietoturvallisesti siirtymään seuraavaan työtehtävään.Toinen merkittävä tekijä on tietotaidon puute. Kouluttautumisella on mahdollista parantaa tietoturvaa merkittävästi yrityksen omassa toimintaympäristössä. Nämä kaksi tekijää taklatessasi olet tehnyt jo paljon tietoturvasi parantamiseksi.

holvi