Suomalaisten terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen

”Vuoden 2020 alkupuolella aloimme tarjota asiakkaillemme Kanta-auditointia, johon kuuluu THL:n vaatimusten auditoinnin lisäksi erilliset tekniset tarkastukset. Uskomme, että tietoturva on sovellustoimittajille niin tärkeä, että tällaiselle palvelulle on kysyntää ilman viranomaisvaatimustakin. Tarjoamme mielellämme myös palvelutoimittajille tarkastuksia, joilla voidaan selvittää käyttöympäristön tietoturvan taso. Tämä kannattaa tehdä ennen tietomurtoa, omavalvonnan hengessä, aivan kuten viranomainen palvelutoimittajilta odottaakin”, kertoo Nixu Certification Oy:n toimitusjohtaja Niki Klaus.

Vastaamon tapaus herätti vilkkaan keskustelun terveystietojen tietoturvasta. Yhteiskunnassamme tulisi nyt pohtia, miten terveystietojen tietoturvaa auditoidaan, ja verrata sitä muiden toimialojen tietoturvavaatimuksiin ja auditointikäytäntöihin.

Terveystietojen tietoturvavaatimusten vertailupohjaksi voisi ottaa maksukorttiturvaan liittyvät standardit sekä viranomaisen turvaluokitellun tiedon suojaukseen liittyvät kriteeristöt. Kaikkia näitä tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.

Terveystiedot ja Kanta-tietoturvavaatimukset

Terveystietoa käsittelevät tietojärjestelmät on jaettu kahteen luokkaan, A- ja B-luokan järjestelmiin. A-luokan järjestelmillä tarkoitetaan niitä tietojärjestelmiä, jotka liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon, eli Kantaan. B-luokan järjestelmät eivät ole liittyneet Kantaan, eli ne toimivat paikallisesti.

A-luokan järjestelmille on THL:n määrittelemät tietoturvavaatimukset. Sen sijaan B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Järjestelmää käyttävä palvelutuottaja joutuu kuitenkin tekemään omavalvontasuunnitelman tietoturvan osalta.

Julkisesti saatavilla olevien tietojen mukaan Vastaamo käytti B-luokan järjestelmää. Tällaista järjestelmää ei siis tarvitse auditoida, vaan sen osalta suoritetaan ns. omavalvonta, eli palveluntuottaja täyttää ainoastaan omavalvontalomakkeen.

Oheiseen taulukkoon on koostettu edellä mainittujen tietoturvakriteeristöjen erot.

Maksukorttitietojen turvallisuus ja PCI

Maksukorttitietojen turvallista käsittelyä kauppiaiden ja palveluntarjoajien osalta säätelee kansainvälinen standardiperhe nimeltä PCI (Payment Card Industry). Sen tunnetuin standardi on PCI DSS (PCI Data Security Standard), joka asettaa vaatimuksia tiedon käsittelylle, siirrolle ja tallennukselle.  PCI DSS syntyi maksukorttiyhtiöiden yhteistyön tuloksena (mm. Visa ja MasterCard), sillä ne halusivat luoda yhteisen standardin maksukorttitietojen suojaamiselle, ja samalla siirtää vastuun tiedon suojauksesta sille taholle, joka tietoa käsittelee. Maksukorttitietomurroista on uutisoitu paljon. Näissä uutisissa on käsitelty alan kovia sanktioita, mikä osaltaan motivoi standardin noudattamista.

Viranomaisten turvaluokiteltu tieto ja Katakri

Viranomaisten turvaluokitellun tiedon suojausta voidaan arvioida Katakrilla, joka on kansallinen turvallisuusauditointikriteeristö vuodelta 2015. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakria käytetään arvioitaessa viranomaisten tietojärjestelmien turvallisuutta, mutta sitä käytetään myös viranomaisten puolesta tietoa käsittelevien palveluntarjoajien, kuten IT palvelutalojen, arvioinnissa. Näin pyritään varmistamaan, että organisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

Toisin kuin PCI, Katakri sisältää turvatasoja sen mukaan, miten kriittistä tietoa suojataan. Alin taso on turvaluokka TL IV ja ylin taso TL I. Turvaluokkia voidaan pitää positiivisena asiana, sillä tiedon ylisuojaaminen on kallista ja vaikeuttaa tiedon käyttöä. Samalla varmistetaan, ettei arkaluontoista tietoa alisuojata.

Tietoturvallisuus taataan riittävän kattavilla vaatimuksilla ja jatkuvalla seurannalla

PCI-vaatimusten täyttäminen on useimmiten työlästä, mikä tarkoittaa samalla merkittäviä kustannuksia. Seurauksena tästä on ollut se, että valtaosa kauppiaista on luopunut maksukorttitiedon käsittelystä. Maksukorttitiedon käsittely on siirtynyt palveluntarjoajille, jolloin kauppiaalla ei ole enää edes pääsyä arkaluontoiseen tietoon.

Myös Katakri-vaatimuksenmukaisuuden saavuttaminen ja siihen liittyvä auditointi on raskas prosessi, johon kuluu paljon aikaa, mikä taas osaltaan nostaa kustannuksia. Samalla tavalla kuin PCI, myös Katakri ohjaa välttämään turvaluokitellun tiedon tarpeetonta käsittelyä.

Kanta-tietoturva-auditoinnit ovat sen sijaan nopeita suorittaa. Ne kohdistuvat tyypillisesti vain sovellustoimittajaan eivät käyttöympäristöön, jota valvotaan yleensä vain omavalvonnan kautta. Kevyt auditointi, joka perustuu pääasiassa haastatteluihin, dokumentaation katselmointiin ja havainnointiin, johtaa todistukseen, joka on voimassa jopa viisi vuotta ilman kunnollista seurantakäytäntöä. Tämä ei ole paras mahdollinen lähtökohta, kun puhutaan arkaluontoisesta terveystiedosta.

Tietojen joutuminen vääriin käsiin aiheuttaa aina eriasteisen vahingon toimijoille. Luottokorttitietojen suhteen on kyse pääasiassa rahasta ja vaivasta, joka maksukortin uusimiseen liittyy. Korttiyhtiöt ovatkin valmiita sietämään tietyn määrän väärinkäytöksiä vuositasolla, sillä niiden ehkäisy saattaisi maksaa enemmän kuin siitä saavutettava hyöty.Terveystietojen suhteen vahinko on useimmiten huomattavasti vakavampi, eikä helppoja korjaustoimenpiteitä ole olemassa. Asiaan tulisi kiinnittää huomiota asiakastietolain ja sote-uudistuksen yhteydessä, ja tämän myötä nykyiset auditointikäytännöt tulisi päivittää vastaamaan tämän päivän vaatimuksia.