Sosiaali- ja terveydenhuollon potilas- ja asiakastiedot ovat arvokkaita hakkerille

Tuntuu, että tietoturvamaailmassa asiat liikkuvat välillä erittäin nopeasti - yhtenä päivänä puidaan uutta nollapäivää, jolla hyökätään yrityksiin ja toisena isoa tietomurtoa. Kaikkien näiden keskiössä on kuitenkin se, että uhreina näissä ovat systemaattisesti aina ihmiset - yrityksen työntekijät tai loppukäyttäjät.

Etenkin viime vuoden hurjien tietoturvapoikkeamien jälkeen, kuten Vastaamon, minusta tuntuu, että monet organisaatiot ovat tajunneet sen, että heillä voi olla rikollisille hyvinkin arvokasta tietoa hallussaan, ja käyttäjien luottamuksen menettäminen ei ole välttämättä aina laastarilla paikattavissa.

Sosiaali- ja terveydenhuollon tietoturva on yksi tämän kevään Sosiaali- ja terveydenhuollon ATK-päivien teemoista. Ei ole toista toimialaa, joka käsittelisi samassa mittakaavassa arkaluonteisia henkilötietoja. Tietoturva vaatii jatkuvaa valvontaa ja kehittämistä. Keneen tai mihin hyökkäykset kohdistuvat?

Mustahattuhakkerit vs. valkohattuhakkerit 

Niin, mikä sitten herättää hyökkääjän mielenkiinnon ja keitä nämä hyökkääjät ovat? F-Securen mukaan rikollisesti toimivat hakkerit voivat varastettujen ja erittäin arka­luonteisten tietojen avulla muun muassa kiristää uhria. Rikollisesti toimivia hakkereita kutsutaan ns. mustahattuhakkereiksi.

Minun kaltaisia asiantuntijoita, jotka murtautuvat työkseen tai vapaaehtoisina tietojärjestelmiin ja paljastavat tietoturva-aukkoja, kutsutaan valkohattuhakkereiksi. Työskentelen F-Securelle, mutta toimin myös vapaa-ajalla tietoturvan parissa.

Tietoturvavuotojen yhtenä ratkaisuna läpinäkyvyys ja ongelmista puhuminen

Unelmoin siitä, että ihmiset voisivat luottaa teknologiaan ja sen tarjoamiin mahdollisuuksiin. Minun työssä merkityksellisintä on se, että pystyn auttamaan muita. Viime vuosien synkät tietoturvavuodot ovat muuttaneet yritysten tietoturva-aukkoihin liittyvää keskustelua.

Tuntuu, että nyt jo kytee sellainen trendi, että haavoittuvuuksista kerrotaan avoimemmin ja yritykset kutsuvat ulkopuolisia testaamaan sovelluksiaan haavoittuvuuspalkkio-ohjelmien kautta. Uskon, että läpinäkyvyys ja ongelmista puhuminen ovat tärkeä osa ratkaisua, ja me tarvitsemme vielä enemmän keinoja, miten osallistuttaa ja puhua tietoturvasta - etenkin ongelmakohdista.

Jaa tietoa ja panosta ammattilaisten osaamisen kehittämiseen

Organisaation tietoturvan ylläpitäminen vaatii panostusta ammattilaisten osaamisen kehittämiseen, valvontaan ja testaamiseen. Yhteistyön lisääminen ongelmanratkaisussa voisi olla tärkeä edistysaskel.  Erittäin kullanarvoista tietoa on se, jos organisaatiot voivat jakaa tiedon siitä, miten ovat ratkaisseet tietoturvaan liittyviä ongelmiaan. Useimmiten samojen ongelmien parissa tuskailevat monet muutkin tahot.

Toivoisin, että tulevaisuudessa tietoturvamaailmassa oltaisiin kehitetty teknologioita, jotka tuovat käyttäjäystävällisyyttä tietoturvaratkaisuihin ja automatisoidaan tietoturvaa mahdollisimman pitkälle. Uskon, että kun tietoturva nähdään osana hyvää designia eikä vain jarruna bisnekselle, päästään kohti turvallisempaa internetiä ja palveluita.

Kerron käytännön esimerkkejä tietoturvattomuudesta Sosiaali- ja terveydenhuollon ATK-päivillä 26.5.2021. 

Tutustu tästä Sosiaali- ja terveydenhuollon ATK-päivien ohjelmaan ja ilmoittaudu

Lue tästä, kuinka Mirella Miettisen ura vaihtui bioanalyytikosta tietoturvavastaavaksi