https://www.is.fi/politiikka/art-2000006701053.html
12:58
Kommentti: Poliitikot sössivät hoiva-alan tietoturvan – pahempi moka kuin sähkömarkkinalaki
Poliitikot ovat järkyttyneitä Vastaamo-tietomurrosta. Syytä on ollakin, kirjoittaa pääkirjoitustoimittaja Timo Paunonen.
Kuva: Lehtikuva
Timo Paunonen
Vastaamo-tietomurto ja sen käsittely julkisuudessa ovat levittäneet eteemme kauhukuvan hoiva-alan yhtiöiden tietoturvasta.
Ovatko potilastietoni turvassa on enemmän kuin aiheellinen kysymys.
Saattavat olla tai saattavat olla olematta, vastaisi savolainen. Valitettavasti tuohon vastaukseen joutuu päätymään, vaikka ei olisi savolainenkaan. Varsinkin kun valitettava totuus on, että täysin aukotonta, sataprosenttista tietoturvaa ei voida taata. Sitä ei siis ole olemassakaan, mutta erilaisia vaikeustasoja on.
Suomessa sosiaali- ja terveydenhuollossa toimivat yritykset ja laitokset jaetaan tietoturvassa kahteen ryhmään: A ja B. A-ryhmään kuuluvilta edellytetään korkeaa tietoturvaa, sitä valvotaan ja tarkastetaan ja sen alla toimii kaikille tuttu, potilastietoja rekisteröivä Kanta-palvelu.
Sitten on ryhmä B, jonka tietoturva on – heidän omissa käsissään. Oma ilmoitus Valviralle riittää.
Vastaamo kuuluu tähän ryhmään.
Kymmenientuhansien suomalaisten tietojen karkaaminen kiristäjälle tai kiristäjille on käynnistänyt ison poliisioperaation, mutta myös kiihkeän keskustelun vastuusta.
Vastuuta täytyy etsiä keskuksen toimivasta johdosta, toimitusjohtajasta, mutta myös yhtiön hallituksesta, jonka tietysti täytyy valvoa toimivan johdon tekemisiä. Kuka tiesi ja mitä ja – mikä tärkeintä – milloin kahdesta tietomurrosta. Asiat ehkä selviävät aikanaan, viimeistään käräjäoikeudessa.
Nyt poliisi tutkii Vastaamo-tapausta törkeänä tietomurtona, törkeänä kiristyksenä ja törkeänä yksityiselämää loukkaavan tiedon levittämisenä. Rikosnimikkeitä voi tulla vielä lisääkin tutkinnan edetessä.
Poliitikot laidasta laitaan ovat ymmärrettävästi järkyttyneitä.
Uhreille luvataan kaikki mahdollinen apu.
Hyvä niin, kunhan muistetaan, että poliitikot ovat lainsäätäjinä ainakin moraalisessa vastuussa tapahtuneesta. Eduskunnan säätämä laki sallii löperön tietoturvan, ja mikä hurjinta, säätäessään lakia poliitikot osoittivat valvontaan ”huikean” resurssin: yhden virkamiehen. Kyllä, luit oikein, yhden. Hänen pitäisi huolehtia koko hoitoalan tietoturvakentästä. Tämä kävi ilmi Ylen A-studiossa maanantai-iltana, jossa valvovan viranomaisen Valviran ylijohtaja Markku Henriksson vastasi kysymykseen hoiva-alan tietoturvan viranomaisvalvonnasta.
Työsarkaa riittää.
Virkamiehen vastuulle kuuluu yli 300 tietojärjestelmää, pelkästään B-ryhmässä on 260 toimijaa.
Hoiva-alan tietoturvan päätösprosessi ei juuri eroa surullisenkuuluisasta sähkömarkkinalaista. Lainsäätäjä ei nähnyt sähkölaissa eikä hoiva-alan tietoturvassa sitä, mitä laki tarkoittaa käytännössä kansalaisille. Kuluttajien sähkölaskut räjähtivät nousuun, ja tietoturvan vaatimaton valvontaresurssi sekä sääntely mahdollistavat suoranaiset rikokset. Kansalaisten on saatava huolellisempaa lainvalmistelua, kiitos.
Muutenkin tuntuu että poliitikkojen lainsäädäntö ei aina osu oikeisiin asioihin.
B-kategorian hoivayhtiö voi rakennella potilasrekisteriään halpojen, helposti murrettavien ohjelmistojen varaan säästösyistä. Nakkikioskista haaveileva pienyrittäjä joutuu taas sellaiseen byrokratian viidakkoon ja valvontaan, että ei ole mitään rajaa. Lomakkeita ja selvityksiä riittää – viranomaisen yllätystarkastuksista puhumattakaan.
Tutkimusten mukaan suomalaisten luottamus poliitikkoihin ja puolueisiin on rapautunut.
Eikä ihme.
https://www.iltalehti.fi/digiuutiset/a/ ... f1de196c7b
Näkökulma: Skandaali on kaatamassa koko Vastaamon – Suomen yritysten on nyt tunnistettava tietoturvan merkitys
Tänään klo 13:21
Suomen yrityssektorin tietoturva ei pärjää hyvin EU-vertailussa. Psykoterapiakeskus Vastaamo on joutunut liiketoimintaansa uhkaavaan skandaaliin.Suomen yrityssektorin tietoturva ei pärjää hyvin EU-vertailussa. Psykoterapiakeskus Vastaamo on joutunut liiketoimintaansa uhkaavaan skandaaliin.
Suomen yrityssektorin tietoturva ei pärjää hyvin EU-vertailussa. Psykoterapiakeskus Vastaamo on joutunut liiketoimintaansa uhkaavaan skandaaliin. ROOSA BRÖIJER
Psykoterapiakeskus Vastaamon skandaali runtelee suomalaisten luottamusta koko yksityiseen terveydenhuoltoalaan.
Lokakuun tapahtumat merkitsevät niin yrityksille kuin kansalaisille herätystä kyberturvallisuusasioissa. Suomi on ollut vanhastaan luottamusyhteiskunta, jossa kesämökin avaimet voi jättää ovimaton alle ja antaa puhelimelle kaikki käyttöoikeudet omiin tietoihin, jotta Googlen kuvapalvelu voi muistuttaa mukavan ulkomaanmatkan vuosipäivästä. ”Kyllä tietoturvakin on kunnossa, jos kerran niin sanotaan ja pienellä präntätty teksti jatkuu kolme sivua.”
Näin ei ole. Yksityishenkilön tietoturvan ylläpito vaatii jatkuvaa valppautta, jatkuvia toimenpiteitä ja niiden tarkistelua. Siitäkin huolimatta merkittävä osa yksilön tietoturvasta jää niiden toimijoiden käsiin, jotka kansalaisista pitävät tietorekistereitä.
Vastaamo näyttää menettäneen edellytyksensä jatkaa liiketoimintaa millään tavalla. Psykoterapiassa kerrottavat tiedot ovat arkaluonteisinta kuviteltavissa olevaa sisältöä, jota annamme itsestämme jollekin toiselle taholle. Luottamus on psykoterapian ydintuote, ja se on nyt pettänyt täydellisesti. Syyt selviävät poliisitutkinnassa ja mahdollisesti tuomioistuimessa, mutta yrityksen omalla osallisuudella ei liene merkitystä lopputuloksen kannalta. Kuinka kävisi autonrengasvalmistajalle, jonka kaikki tuotteet puhkeavat samaan aikaan tien päällä ja aiheuttavat asiakkaille 10 000 liikenneonnettomuutta?
Skandaali langettaa varjon myös muiden alan toimijoiden ylle. Yksityisten palveluntarjoajien on alettava julkaista avoimia ulostuloja, joissa tietoturvan tasosta – ja sen parantamisesta – kerrotaan. Itse asiassa ihmisten on syytä olla huolissaan terveystietojen ohella mistä tahansa yrityksille annetuista henkilötiedoista. Digibarometri 2020 -tutkimuksen mukaan keskisuurten ja suurten yritysten tietoturva on Suomessa heikompaa kuin EU:ssa keskimäärin. Suomi on jäämässä kärkimaiden vauhdista lisää.
– Data on monen suomalaisen yrityksen suurin yksittäinen tunnistamaton riskitekijä, barometri toteaa.
Suomessa on myös potilasrekisterien sääntelyyn liittyviä ongelmia, jos ja kun julkisella puolella tietoturvan vaatimukset ovat yksityissektoria merkittävästi edellä.
Vastaamon kiristystapaus uhkaa tuhansien suomalaisten mielenterveyttä, ja jos tapauksella haluaa spekuloida, se voi johtaa merkittäviin yhteiskunnallisiin kustannuksiin esimerkiksi sairauslomina ja eläkkeelle joutumisina. Hyvässä tapauksessa psykoterapeutit voivat vaihtaa työnantajaa ja säilyttää potilaille hedelmälliset terapiasuhteet, mutta luottavatko asiakkaat enää uuden firman tietoturvaan? Huonoimmassa tapauksessa tuhannet, valmiiksi pahoinvoivat ihmiset lopettavat terapiasuhteitaan ja alkavat etsiä uusia. Jos ihmiset ovat menettäneet luottamuksensa kyberturvallisuuteen, he suuntaavat julkisen puolen suurjonoihin ja ajautuvat kärsimään yksin.
Ylempänä mainittu yritysten tietoturvaviestintä on varsin kova haaste, kun kohteena on yksityisyytensä menettänyt terapia-asiakas. Jos olisin Vastaamon tietomurron uhri, en hyväksyisi sen enempää vakuuttelua uuden palveluntarjoajan tietoturvan pitävyydestä kuin toisenlaistakaan toteamusta, jossa rekisterinpitäjä ilmoittaa, että tietomurtojen ehkäisemiseksi ei voi tehdä määräänsä enempää. Keskeistä on nimenomaan se, mitä tehdään tietoturvan parantamiseksi.
Kuten Vastaamon tapauksesta voidaan todeta, tietoturvan pettäminen voi uhata koko yrityksen toimintaa. Vaikka vuodot eivät johtaisi tuotteen uskottavuuden menettämiseen, pelkät laiminlyönneistä tulevat sanktiot voivat kaataa pienen tai keskisuuren yrityksen. Viime aikoina on heitelty eri suuntiin ”yhteiskuntavastuu” -nimistä tikaria, mutta tässä asiassa firmoilla lienee myös suora taloudellinen intressi petrata tietoturvaansa.
Solmu Salminen