Seura tutki: Vastaamon jälkeen terveystietojen tietoturvaa parannettiin – Miksi muutokset eivät olleet riittäviä?
Terveydenhuolto potilastietoineen on verkkorikollisten kärkikohteita. Tietoturva-asiantuntijat ovat sitä mieltä, että terveystietojen tietoturva ei vastaa tämän päivän vaatimuksia.
Terveystietojen tietoturvasta pitäisi käydä yhteiskunnallista keskustelua, sanovat asiantuntijat.
Terveystiedot ovat alkaneet kiinnostaa verkkorikollisia, mutta silti Vastaamon tietomurto on poikkeuksellinen maailmankin mittakaavassa. Vastaamon potilastietokantaan murtauduttiin, ja sieltä varastettiin yli 32 000 ihmisen arkaluontoisia tietoja, mukaan lukien psykoterapeuttien tekemiä muistiinpanoja siitä, mitä asiakkaat olivat istunnoilla puhuneet. Rikos tuli julki lokakuussa 2020.
Parhaillaan on meneillään oikeudenkäynti, jossa Vastaamon ex-toimitusjohtajaa Ville Tapiota syytetään tietosuojarikoksesta eli henkilötietojen huolimattomasta käsittelystä.
Espoolainen Aleksanteri (Julius) Kivimäki on vangittu epäiltynä Vastaamon tietomurrosta. Ylen tietojen mukaan mahdollisesta syytteen nostamisesta päätetään viimeistään syksyllä.
Kuvakaappaus Europolin Europe’s most wanted fugitives -verkkosivulta. Kuvassa näkyy Vastaamo-tietomurrosta epäillyn suomalaisen nimi ja kuva. Poliisin tiedoissa epäillyn nimeksi mainitaan Aleksanteri Tomminpoika Kivimäki. Epäilty on kiistänyt syyllistyneensä tietomurtoon. © Lehtikuva
Vastaamon tapaus on historiallinen tietoturvaloukkaus Suomessa ja maailmalla. Missään muualla ei ole vuodettu näin arkaluontoisia tietoja verkkoon. Poikkeuksellista oli myös se, että asiakkaita alettiin kiristää.
Voisiko Vastaamon tapaus toistua? Tätä kysyttiin syksyllä 2020 julkisuudessa monta kertaa eri alojen asiantuntijoilta. Kun Vastaamon tietoturvan puutteita puitiin, he sanoivat, että tapaus oli poikkeuksellinen. Esimerkiksi Kanta-palvelujen tietoturva on asiakastietolain mukaisesti A-luokkaa, kun taas Vastaamo kuului alempaan B-luokkaan, ja siinäkin oli tehty virheitä.
Vastaamon asiakkaita tämä ei enää lohduttanut, mutta muut terveystiedoistaan huolestuneet saattoivat huokaista helpotuksesta. Kunhan tiedot ovat A-luokassa, heillä tuskin olisi hätää.
Rikollinen hakkeri kehuskeli törkeällä tavalla Vastaamoon tekemällään tietomurrolla Tor-verkon keskustelupalstalla. © Lehtikuva
Hyökkäys voi olla hengenvaarallinen
Vastaamon tietovuodon aikaan covid-19-virus levisi ympäri maailmaa. Sen leviämistä seurattiin mediassa herkeämättä ja raportoitiin uusista muunnoksista, rajoituksista ja tartuntaluvuista. Terveydenhuollon laitokset eri puolilla maailmaa taistelivat virusta vastaan. Osa niistä joutui myös verkkohyökkäysten kohteiksi, ja esimerkiksi niiden potilastietojärjestelmiä lukittiin.
Vuonna 2020 Düsseldorfissa hyökkäyksen kohteeksi joutunut sairaala joutui käännyttämään ambulanssin ja iäkäs potilas kuoli matkalla toiseen sairaalaan.
Vuonna 2021 Yhdysvaltojen Alabamassa nainen nosti syytteen sairaalaa vastaan ja väitti, että kyberhyökkäyksen takia hänen vauvansa menehtyi.
Kyberhyökkäysten ja potilaskuolemien välistä yhteyttä on ollut kuitenkin vaikea osoittaa toteen.
Erityisen hankala tilanne oli Yhdysvalloissa. Tietoturvayhtiö Sophoksen raportin mukaan vuonna 2020 amerikkalaisista terveydenhuollon organisaatioista 34 prosenttia oli joutunut kiristyshaittaohjelmahyökkäyksen kohteeksi, kun luku vuonna 2021 oli jo 66 prosenttia.
Terveydenhuolto on ollut rikollisten kohteena jo pitkään, mutta jo hieman ennen pandemiaa hyökkäyksiin tuli uudenlaista ilkeyttä.
Rikolliset jahtaavat potilastietoja
Kiristyshaittaohjelmat yleistyivät noin vuosien 2016 ja 2017 kieppeillä. Kiristyshaittaohjelmalla (joskus puhutaan myös lunnastroijalaisesta) tarkoitetaan verkkohyökkäystä, jossa rikolliset pyrkivät salausalgoritmin avulla salaamaan yrityksen tietojärjestelmät ja vaativat lunnaita tietojen palauttamista vastaan.
Vasta vuonna 2020 alkoi yleistyä myös tietojen varastaminen. Niiden avulla rikolliset ovat saaneet lisäkierrettä kiristämiseen. He uhkaavat vuotaa tiedot verkkoon, ja jos uhriorganisaatio kieltäytyy maksamasta lunnaita, henkilötiedot menevät kaupaksi myöhemmin pimeän verkon markkinoilla.
Varastetuilla henkilötiedoilla muut rikolliset voivat tehtailla talousrikoksia ja huijauksia.
Tiedon arvo on noussut verkkorikollisten silmissä. Euroopan kyberturvallisuusvirasto Enisan mukaan kiristyshaittaohjelmahyökkäyksistä on vaikea saada tarkkaa lukua, koska kaikki uhriorganisaatiot eivät raportoi niistä.
Enisan raportissa analysoidaan toukokuun 2021 ja kesäkuun 2022 välisenä aikana USA:ssa, Britanniassa ja EU:ssa tehtyjä 623 kiristyshaittaohjelmahyökkäystä, mutta luku on vain jäävuorenhuippu. Näiden tapauksien varastetusta tiedosta 58 prosenttia oli henkilötietoja, mukaan lukien terveystietoja.
Viime lokakuussa australialaisessa sairausvakuutusyhtiö Medibankissa huomattiin tietomurto. The Guardianin mukaan rikolliset vuotivat myöhemmin verkkoon 9,7 miljoonan ihmisen henkilötietoja, kuten syntymäaikoja, passien numeroita ja osoitteita. Myös 480 000 ihmisen sairausvakuutushakemuksien diagnoosikoodeja vuodettiin verkkoon.
Niin ikään viime lokakuussa varkaat iskivät sairaalaan Yhdysvaltojen Louisianan Lake Charlesissa. He saivat käsiinsä 270 000 ihmisen potilastiedot ja vuotivat ne verkkoon.
Rikolliset käyttävät jenginimiä, kuten REvil, Hive ja Comti, mutta tekijöitä niiden takana on vaikea saada kiinni. He liikkuvat pimeässä verkossa, ja heidän verkostonsa ovat globaaleja. Yksi tekijä voi olla Aasiassa, toinen Euroopassa, kolmas Etelä-Amerikassa.
Erityisesti Venäjä on tullut tunnetuksi aggressiivisista verkkorikollisistaan.
Uhka kansalliselle turvallisuudelle
Kiristyshaittaohjelmia käyttävien rikollisten motiivina on kiristää terveydenhuollolta rahaa, mutta potilastietoihin kohdistuvat hyökkäykset voivat olla myös kansallisen turvallisuuden kysymys.
Terveystietoja levittämällä tai manipuloimalla voidaan horjuttaa ihmisten luottamusta viranomaisiin ja yhteiskuntarauhaan. Terveydenhuolto potilastietoineen on pahantahtoisten toimijoiden kärkikohteita.
Viime vuoden lopulla kyberturvallisuuden tilanne muuttui Suomessakin vakavampaan suuntaan, ja esimerkiksi Kela joutui palvelunestohyökkäysten kohteeksi, mutta asiakkaiden tiedot pysyivät turvassa.
Samalla ajanjaksolla havaittiin myös aktiivisia tietojenkalastelukampanjoita muun muassa sote-alan organisaatiota kohtaan. Rikolliset pyrkivät saamaan haltuunsa käyttäjätunnuksia ja salasanoja.
Uhkakuvia riittää, mutta toistaiseksi Suomessa ei ole THL:n ja Kyberturvallisuuskeskuksen mukaan raportoitu terveydenhuollon kiristyshaittaohjelmahyökkäyksestä.
Vastaamon tietoturvaloukkaus oli poikkeuksellisen törkeä
Vaikka potilastietoja on varastettu eri puolilla maailmaa, Vastaamon tietovuoto oli poikkeuksellisen törkeä ja julma tiedon arkaluontoisuuden ja asiakkaisiin kohdistuneen kiristämisen takia.
Vastaamon jälkeen terapia-asiakkaiden tietoturvaa parannettiin lainsäädännöllä.
Asiakastietolakia uudistettiin siten, että marraskuusta 2021 lähtien Valviran hyväksymien terveydenhuollon yksityisten palveluntuottajien on pitänyt siirtää digitaaliset potilastietonsa Kantaan.
Tämä koskee myös Valviran hyväksymiä psykoterapeutteja, joiden sähköisten asiakasjärjestelmien on oltava nykyisin A-luokkaa. Jos potilastiedot ovat psykoterapeutin omassa paperiarkistossa, siirtoa ei ole tarvinnut tehdä.
Myös Kelan ylläpitämien Kanta-palveluiden tietoturvavaatimuksia muutettiin.
Aiemmin laki määräsi, että Kanta-palveluita auditoidaan viiden vuoden välein, mutta vuodesta 2021 lähtien auditointeja on suoritettu joka kolmas vuosi ja niiden vaatimuksia tiukennettiin.
Auditointi tarkoittaa sitä, että ulkopuolinen arviointilaitos arvioi, täyttävätkö Kanta ja siihen liittyneet potilastietojärjestelmät niille asetetut tietoturvavaatimukset. Auditoinneissa testataan muun muassa tietojärjestelmän teknisiä ominaisuuksia, haastatellaan sovellustoimittajia ja käydään läpi tietojärjestelmien dokumentaatioita.
Auditoinnin lisäksi Kelassa tehdään myös THL:n suositusten mukaan seuranta-arviointeja. Näiden päälle tulevat vielä muut tietoturvatarkastukset.
Kelan teettämät tietoturvatarkastukset kohdistuvat Kelan ylläpitämään Kanta-järjestelmään eli valtakunnallisiin tietojärjestelmäpalveluihin. Tarkastukset tehdään Kelan käyttöympäristöissä.
Kuulostaa hyvältä – eli onko tässä oikeastaan enää mitään ongelmaa?
Kanta-palveluissa on 6,4 miljoonan ihmisen terveystiedot. Siellä säilytetään myös vainajien tietoja, koska lain mukaan lääkärikäyntien potilasasiakirjat on säilytettävä 12 vuotta henkilön kuoleman jälkeen. © Lehtikuva
Olemmeko vauhtisokeita?
Terveystietoja digitalisoidaan nyt niin kovaa vauhtia, että siihen liittyy riskejä.
Tätä mieltä ovat Seuran haastattelemat tietoturva-asiantuntijat Senior Security Auditor Ville Koskinen Nixu Certificationista, tutkimusjohtaja Mikko Hyppönen WithSecuresta, kyberuhkatiedustelupäällikkö Laura Kankaala F-Securesta ja Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno Limnéll. Heidän mielestään terveystietojen tietoturvasta tulisi käydä enemmän yhteiskunnallista keskustelua.
Vaikka parannuksia on tehty, Nixu Certificationin mukaan terveyden- ja sosiaalihuollon sovelluksia auditoidaan kevyemmin kuin esimerkiksi luottokorttitietoja käsitteleviä yhtiöitä ja luottokorttitietojen tietoturvaa.
Tietoturva-asiantuntijat ovat yhtä mieltä siitä, että auditoinnissa on tärkeää se, että ulkopuolinen arvioija suorittaa sovelluksen teknisen testaamisen käyttöympäristössä. Tämä on erittäin tärkeää silloin, kun on kyse suojatusta tiedosta.
Tällä hetkellä laki ei kuitenkaan edellytä tämän tyyppistä testaamista kaikilta Valviran hyväksymiltä terveydenhuollon palvelunantajilta, vaikka ne kuuluisivat Kanta-palveluiden A-luokkaan.
WithSecuren tutkimusjohtaja Mikko Hyppösen mielestä potilas- ja henkilötiedot pitäisi erottaa toisistaan. © DPA / Lehtikuva
Terveystiedot ovat kahdessa paikassa
Aloitetaan vaikea asia näin: Kannan Potilastiedon arkistoa voisi kuvata jämeränä kassakaappina, jossa on 6,4 miljoonan henkilön terveystiedot. Sen ympärillä on pienempiä kassakaappeja, joissa on myös suomalaisten terveystietoja. Niissä voisi olla paremmat lukot.
Yksityiset lääkärikeskukset, terveyskeskukset, apteekit ja Valviran hyväksymät sosiaali- ja terveydenhuollon palvelunantajat käyttävät Kanta-yhteensopivia potilastietojärjestelmiä. Ne eivät ole Kanta-palvelujen sisällä, vaan ne ovat yhteydessä Kantaan.
Toisin sanoen terveystietoja säilytetään kahdessa eri paikassa. Kun asiakas käy vaikka yksityisen lääkäriaseman psykoterapeutilla, käynnistä tehdään sen omaan potilastietojärjestelmään potilasasiakirja, joka tallennetaan myös Kannan Potilastiedon arkistoon.
Palveluntuottajat käyttävät potilas- ja asiakastietojärjestelmiä, joita ne ostavat sovellustoimittajilta.
Esimerkiksi psykoterapiaa tarjoavalla yrityksellä voi olla useita eri toimipisteitä, joissa kaikissa käytetään sovelluksilla yhtä ja samaa potilastietojärjestelmää.
Teknisessä käyttöympäristötestauksessa ulkopuolinen tietoturva-asiantuntija testaa toimipisteessä, kuinka sovellus on asennettu, miten työntekijät käyttävät sitä ja millainen on käyttöympäristön tekninen toteutus, esimerkiksi verkkoasetusten toteutus. Jos yrityksen toimipisteet ovat identtiset, testausta ei tarvitse tehdä jokaisessa. Otanta on aina tapauskohtaista.
Kelassa tietoturvasta huolehtimiseen kuuluu käyttöympäristön teknistä testaamista, mutta terveydenhuollon palvelunantajien tilanne on toinen.
Käytännössä niiden käyttämiä sovelluksia testaavat sovellustoimittajat omissa tiloissaan, minkä jälkeen palvelunantaja valvoo, että sovelluksen tietoturva-asiat ovat kunnossa.
Kela ei valvo sovellustoimittajien eikä palvelunantajien tietoturvaa vaan Valvira. Käytännössä palvelunantajien tietoturva on omavalvonnan varassa.
Terveystiedot irti henkilöllisyydestä?
Terveystietojen säilyttäminen pitkään on tietoturvan kannalta vaikeaa. Miten säilyttää tietoa niin, että se on varmasti saatavilla vielä vuosien päästä, mutta kuitenkin niin, että se pysyisi suojattuna?
Nixu Certificationin mielestä pääsyn hallinta on haasteellista tietoturvan kannalta etenkin järjestelmän ylläpitoon käytettävien tunnuksien osalta. Ylläpitoon voi osallistua myös alihankkijoita, joten tunnuksia voi olla monella eri organisaatiolla.
Nykyisellään terveyden- ja sosiaalihuollon sovellusten auditoinneissa edellytetyt tietoturvavaatimukset eivät kovin tarkasti ota kantaa, miten tunnuksien hallinta tulisi toteuttaa esimerkiksi henkilön poistuessa työtehtävästään. Vaikka ylläpitotunnuksilla ei pystyisikään hakemaan potilastietoja, luvattomasti käytettävillä tunnuksilla voidaan myös muilla keinoin aiheuttaa tietoturvariskejä potilastietojärjestelmän sisällä.
Kolmanneksi terveys- ja henkilötietojen säilyttämistä samoissa dokumenteissa ja tiedostoissa pidetään ongelmallisena.
Mikko Hyppösen mukaan terveystiedot pitäisi irrottaa henkilöllisyydestä aina kun mahdollista. Eli potilaskertomus potilaasta 8472347/4 ei sisältäisi potilaan nimeä tai muita henkilötietoja, vaan ne olisivat eri tietokannassa – jossa puolestaan ei olisi terveystietoja.
Itse asiassa monesti hoitavan lääkärin tai psykoterapeutin ei tarvitsisi edes tietää potilaan henkilötietoja. Ne tarvitaan laskutukseen, ja laskutuksen ei tarvitse tietää terveystietoja. Samoin reseptitiedot voivat olla omassa tietokannassaan. Tiedon jakaminen osastoihin tekisi sen turvaamisesta helpommin hallittavaa.
Kelan mielestä tiedon pilkkomista kannattaa pohtia.
Jutussa mainittujen henkilöiden lisäksi on haastateltu Kelan tietopalvelujen tietoturvapäällikkö Pertti Niemistä ja Kanta-palvelujen palvelutoiminnan päällikkö Outi Lehtokaria sekä Kyberturvallisuuskeskuksen erityisasiantuntija Juha Tretjakovia.