Keskiviikkona 21.10.2020 tuli julkisuuteen rikos, jonka on arvioitu koskettavan jopa 40 000 henkilöä. Kyseessä on tietomurto, joka kohdistui psykoterapiapalveluita tarjoavaan yritykseen ja sen tietojärjestelmään. Rikos on poikkeuksellinen jo pelkästään sen kohteena olevan tiedon vuoksi, mutta myös sen toimintamallin takia. Varastettujen tietojen avulla on pyritty kiristämään ensin yritystä ja sen epäonnistuttua suoraan yksittäisiä henkilöitä.
Lokakuun 2020 loppuun mennessä tapauksesta on tehty jo yli 25 000 rikosilmoitusta. Vaikka tietomurron kohde on poikkeuksellinen, rikos ei ainutlaatuinen. Marraskuussa 2020 yhdysvaltalainen mielenterveyspalveluiden tarjoaja ilmoitti joutuneensa tietomurron kohteeksi keväällä 2020. Tässäkin tapauksessa on vaarantunut potilastietoja, mutta myös taloustietoja. Palveluntarjoajan oman ilmoituksen mukaan tietomurto koskee 27 500 henkilöä. (1)
Vastaavia tapauksia, joissa terveydenhuoltotoimija on joutunut tietomurron kohteeksi, on useita. Yksin Yhdysvalloissa vuonna 2019 raportoitiin 1,4 yli 500 käyttäjää koskevaa tietomurtotapausta päivittäin. Tilastojen mukaan määrä on vähentynyt vuoden 2020 ensimmäisellä puoliskolla, mutta pelkästään syyskuussa raportoitiin 95 tapausta. Nämä 95 tietomurtoa koskettivat yli 9,7 miljoonaa ihmistä. (2)
Asiantuntijat uskovat, että tapauksia on vuoden aikana sattunut enemmän kuin niitä on raportoitu. Tämä johtuu COVID-19-viruksen aiheuttamasta kiireestä terveydenhuollossa ja tyypillisesti pitkistä havainnointiajoista. IBM:n julkaiseman tutkimuksen (3) mukaan tietomurto terveydenhuollossa havaitaan ja eristetään keskimäärin 329 päivän kuluttua tapahtuneesta. Aika on huomattavan pitkä ja antaa kuvan toimijoiden kyvykkyydestä havainnoida tapahtumia omassa toimintaympäristössään. Vastaava aika rahoitusalalla on 233 päivää.
IBM:n arvion mukaan tietomurto maksaa terveydenhuoltoalan toimijoille keskimäärin noin 6,5 miljoonaa euroa, mikä on selvästi korkeampi luku kuin millään muulla toimialalla. Esimerkiksi rahoitusalalla vastaava luku on 5,3 miljoonaa euroa. Kustannuksissa otetaan huomioon tietomurron aiheuttamien välittömien kustannusten lisäksi esimerkiksi mahdolliset viranomaisten määräämät sanktiot, tapahtuman aiheuttamat mainehaitat ja liiketoiminnan tappiot.
Tämä on tärkeä huomio. Tietomurron kustannusvaikutukset jakautuvat pidemmälle ajalle, ja niitä syntyy merkittävästi myös tapahtuneen tietomurron jälkeen. Lisäksi on arvioitu, että COVID-19:n aiheuttamat muutokset tulevat kasvattamaan sekä tietomurrosta aiheutuvia kustannuksia että havainnointiaikoja. Tämä on jo nyt nähtävissä muun muassa aiemmin mainittujen yhdysvaltalaisten terveydenhuoltotoimijoiden raportoitujen tapausten määrässä.
Mutta miksi terveys- ja potilastiedot ovat kiinnostavia kohteita rikollisille?
Usein puhutaan luotto- ja maksukortteihin liittyvistä rikoksista ja niiden välittömistä riskeistä. Luottokorttivarkaudet ovat toki vaikeita, ja niihin kohdistuu erityisesti taloudellisia uhkia. Mutta korttien varkauksien varalle on rakennettu varsin toimivia hallinnointikeinoja, kuten sulkupalveluita, vahvempaa tunnistautumista ostosten yhteydessä ja mahdollisia maa- tai aluerajoituksia maksukortin tarjoajan puolelta. Valmiudet liittyvät osin toimialan kehittyneempään ymmärrykseen kyberriskeistä.
Potilastietojen kohdalla tilanne on toinen. Menetetty tieto saattaa pitää sisällään henkilötietoja, maksutietoja sekä potilaskertomuksia ja mahdollisia lääkemääräyksiä tai jopa diagnooseja. Lisäksi potilastiedot ovat luonteeltaan erilaisia kuin maksutiedot. Ne ovat henkilökohtaisia ja osiltaan pysyviä.
Maksukortin voi uusia ja joissain maissa henkilötunnuksen vaihtaa, mutta potilas- ja terveystiedot pysyvät. Tietoja voidaan käyttää kiristykseen, mutta niitä pystytään myös hyödyntämään identiteettivarkauksissa tai uusien tietojen kalastelussa muilta sidosryhmiltä. Joissain tapauksissa tietoja voidaan käyttää jopa vaikuttamiseen. On arvioitu, että yksittäinen potilastieto, riippuen sen laajuudesta, voi olla jopa 40 kertaa arvokkaampi kuin luottokorttitieto. (4)
Potilastietojen suojeleminen on lainsäädännöllinen haaste
Potilas- ja terveystiedot ovat siis sekä haluttuja että arvokkaita. Miksi tietoja ei sitten pystytä suojaamaan paremmin? Potilastietojen hallintaan sovelletaan useita lakeja, asetuksia ja ohjeita. (5) Nämä vaihtelevat alue- ja maakohtaisesti.
Yleisesti EU:n alueella sovelletaan henkilötietoihin EU:n tietosuoja-asetusta ja lisäksi maakohtaisia lakeja esimerkiksi potilasasiakirjoista ja tietosuojasta. Ongelmana on, että nämä asetukset ja lait koskevat usein ainoastaan potilastietojärjestelmää ja niiden tila tarkastetaan dokumentaation tai haastattelujen perusteella. Ympäristön tietoteknistä ratkaisua ei välttämättä todenneta riittävällä tasolla. Pahimmassa tapauksessa sitä ei todenneta lainkaan.
Toimijoiden ympäristöt ovat usein erittäin monimutkaisia ja saattavat pitää sisällään useita eri järjestelmiä ja laitteita, joiden tilaa ei valvota tai ylläpidetä. Esimerkiksi sairaalaympäristössä olevien lääkintä- ja mittalaitteiden pääsynhallinta voi olla puutteellista. Tämän osoittivat myös Ben-Gurionin yliopiston tutkijat vuonna 2019 tehdyssä kokeessa, jossa he onnistuivat muokkaamaan sekä tietokonekerroskuvausten (CT) että magneettikuvausten (MRI) tuloksia. (6)
Tutkijat saivat luvan yrittää tietomurtoa aidossa sairaalaympäristössä. He onnistuivat murtautumaan järjestelmään odotustilasta käsin ja pystyivät muokkaamaan jokaista suoritettua CT-kuvausta. Tekoälypohjaisen ohjelmiston avulla tutkijat lisäsivät ja poistivat kuvista muun muassa syöpäkasvaimia.
Sitten tutkijat pyysivät radiologeja diagnosoimaan tuloksia kuvien pohjalta. Kun radiologit luulivat kuvia aidoiksi, he diagnosoivat väärin 99 prosenttia kuvista, joissa näkyi kasvaimia, ja 94 prosenttia niistä, joissa kasvaimet oli poistettu. Kun radiologeille kerrottiin kuvamanipulaatiosta, vastaavat luvut olivat 60 prosenttia ja 87 prosenttia.
Koe ei osoittanut pelkästään kuvantamislaitteiden ja järjestelmien haavoittuvuutta vaan myös sairaalan tietoverkon haavoittuvuuden yleisesti. Kokeen aikana kuvantamislaitteet eivät olleet yhteydessä internetiin ja siksi niihin murtauduttiin odotustilasta käsin. Nykyisin useat järjestelmät ovat yhteydessä verkkoon, joten vastaava hyökkäys on mahdollista toteuttaa myös etänä. Osin edellä mainittujen tapausten myötä on noussut esille vaatimuksia potilastietojärjestelmien ja niiden ympäristöjen teknisen tietoturvan todentamisesta.
Osaamisen ja ymmärryksen kehittäminen on tärkeää
Tietosuoja ja tietoturva ovat keskeinen osa kybertuvallisuuden kokonaisuuden hallintaa. Ne ovat myös keskeisessä roolissa potilas- ja terveystietojen suojaamisessa. Tämän päivän digitaalisessa toimintaympäristössä yritykset ja toimijat ovat yhteydessä internetiin ja siten myös alttiita kyberhyökkäyksille. Kun kokonaisuutta tarkastellaan julkisuuteen tulleiden tapausten myötä, on selvää, että kyberympäristöön liittyviin uhkakuviin ei suhtauduta riittävällä vakavuudella.
Kyseessä ei kuitenkaan välttämättä ole välinpitämättömyys tai edes vaadittujen investointien puute, vaan yksinkertaisesti kyse voi olla ymmärtämättömyydestä. Ymmärtämättömyys ei kuitenkaan poista vastuuta potilasturvallisuuteen tai henkilötietoihin liittyen. Vastuu on aina viime kädessä ylimmällä johdolla ja hallituksella.
Ymmärryksen kehittäminen tulisi nähdä koko organisaation läpäisevänä kehityskohteena. Ymmärrys kulminoituu usein osaamiseen ja juuri osaamisen kehittäminen läpi organisaatiorakenteen on yksi johdon tärkeimpiä tehtäviä, kun pyritään varautumaan digitalisaation tuomiin uhkakuviin.
Osaamisen kasvattamisen tueksi on olemassa lukuisia julkaisuja ja työkaluja, jotka auttavat selvittämään ympäristön sen hetkisen kyberturvallisuustason. Esimerkiksi Euroopan kyberturvallisuusvirasto ENISA (7) on julkaissut erityisesti sairaaloiden johdolle suunnatun oppaan, joka auttaa heitä tunnistamaan toimintaympäristössä olevia riskejä ja uhkakuvia. Julkaisu kuvaa keskeiset haasteet älykkäässä sairaalaympäristössä ja avaa helposti ymmärrettävällä tavalla niihin liittyvät riskit ja hyökkäysmallit. Lisäksi oppaassa kerrotaan parhaita tietoturvakäytäntöjä sekä organisaation että teknologian näkökulmasta.
Tällaisten oppaiden lisäksi organisaatiot voivat hyödyntää kyberturvallisuuden tilaan kehitettyjä työkaluja, kuten Kyberturvallisuuskeskuksen (NCSC-FI) julkaisemaa Kybermittaria.(8) Työkalu pohjautuu yleisesti käytössä oleviin kansainvälisiin viitekehyksiin: NIST Cybersecurity Framework ja Cybersecurity Capability Maturity Model (C2M2).
Kybermittari ja siinä käytetyt viitekehykset on suunnattu ensisijaisesti huoltovarmuuden kannalta kriittisille toimijoille, mutta sitä on mahdollista hyödyntää myös laajemmin. Tämän kaltaisten työkalujen käytössä on syytä huomioida aiemmin mainitut tietoturva ja tietosuoja sekä niihin kytkeytyvät hallintakeinot ja käytänteet. Ohjeet ja työkalut on tarkoitettu organisaation tueksi oman ymmärryksen ja kybertuvallisuuden tilannekuvan hahmottamisessa. Ne eivät kuitenkaan korvaa osaamista ja sen kehittämistä.