Siirry suoraan sisältöön

Julkaistu 09.12.2016

Terveyden­huollon riskipommi: Tietoturva

Tietojärjestelmien turvallisuus on entistä enemmän esillä mediassa ja saamme usein lukea hyökkäyksistä, jotka lamauttavat tai vähintään häiritsevät monien organisaatioiden päivittäistä työtä.
Kirjoittaja
Kirjoittajan profiilisivu: Pauli Marttila
Johtava asiantuntija, Pääomasijoitukset ja riskienhallinta, Sitra
Pauli Marttila on rakentamassa uusia Sitran strategisia hankkeita ja kehittämässä Sitran henkilöstöä. Hän on myös tienaamassa hankkeissa tarvittavia pääomia Sitran sijoitustoiminnan johtoryhmässä sekä vastuussa valituista kohdeyrityksistä ja rahastoista.

”Kaikki järjestelmät, jotka on kytketty Internetiin, voidaan hakkeroida” kirjoitin blogissani Rod Beckstromin sanomana jo vuonna 2014. Aiemmin hyökkäyksiä tehtailivat pääasiassa tietokoneosaamistaan osoittaneet teinit, mutta nyt hyökkäysten luonne on muuttunut.

Suurin osa hyökkäyksistä tietojärjestelmiin on suunniteltua toimintaa, jonka tarkoituksena on tehdä rahaa tai muuta hyötyä tekijöille. Näitä rahaa kiristäviä ohjelmia liikkuu Suomessakin jo teknologiayhtiö Ciscon mukaan paljon (HS 28.11.2016, A29). Tyypillistä havaituille hyökkäyksille on se, että organisaatiot havaitsevat ne vasta keskimäärin yli puoli vuotta myöhemmin, kuin ne on tehty.

”Pahantahtoiset hakkerit haluavat vaikuttaa suoraan ihmisiin”

”Seuraavat suuria ongelmia aiheuttavat tietomurrot tehdään terveydenhuollon järjestelmiin”, sanoi Ralph Echemendia puhuessaan kansainvälisessä World of Health IT-konferenssissa Barcelonassa marraskuun loppupuolella.

Hän on tietoturvaan perehtynyt ja monien yritysten käyttämä asiantuntija, joka tunnetaan myös nimellä The Ethical Hacker. Hän on yritysten ja organisaatioiden toimeksiannosta testannut tietojärjestelmiä ja yrittänyt tiiminsä kanssa murtautua niihin Internetin kautta. ”Emme ole koskaan vielä epäonnistuneet” hän totesi tylysti. ”Pahantahtoiset hakkerit haluavat vaikuttaa suoraan ihmisiin ja se toteutuu tehokkaasti murtautumalla ihmisten potilastietoihin”. Potilastietoja voidaan tuhota, niitä voidaan levittää tai niiden avulla voidaan kiristää. Mikään näistä ei kuulosta kovin mukavalta.

Konferenssissa oli esillä myös paljon puhuttu Internet of Things (IOT), joka kattaa kaikki Internetiin kytketyt itsenäiset laitteet ja niiden muodostaman verkon. Sairaaloihin ja terveydenhuollon laboratorioihin asennetaan valtava määrä uusia hoito- ja mittalaitteita, jotka ovat kytkettynä verkkoon niiden etäohjauksen tai tiedonsiirron takia. Kaikkien näiden tietoturva ei vielä kestä kohdistettuja hyökkäyksiä. Hyökkäykset voivat kulkea myös sellaisten laitteiden kautta, joita ei aina tule ajatelleeksi tietoturvan kannalta haavoittuviksi. Esimerkkeinä olivat erään verkkohyökkäyksen välittäjänä ollut viattomalta vaikuttava turvakamera ja pitkän selvitysten jälkeen laajaan palvelunestohyökkäyksen välittäjäksi löydetty syyllinen: toimiston nurkassa nököttävä kopiokone-printteri!

Tietoturvan heikointa lenkkiä voidaan vahvistaa

Onko Suomen terveydenhoitojärjestelmä turvassa? Ei ole. Kaikki järjestelmät ovat päivittäin monien hyökkäysten kohteena. Näitä hyökkäyksiä tekevät ohjelmarobotit, jotka etsivät helppoja aukkoja järjestelmistä. Hyvänä esimerkkinä ovat kokemukset Etelä-Pohjanmaan sairaanhoitopiiristä, jossa hyökkäyksiä on päivittäin (Ilkka 4.12.2016, s.2). On kuitenkin hienoa, että Suomessa uhat on pääosin tunnistettu ja järjestelmiä kehitetään aktiivisesti.

Monissa artikkeleissa ja keskusteluissa tulee esille kuitenkin se kaiken tietoturvan heikoin lenkki: Käyttäjä itse. Oikeanlaista suhtautumista tietoturvaan ja riskeihin havahtumista pitää vain entistä enemmän toistaa. Ihan kaikille.

Mistä on kyse?