Tietoturvallisuus - haaste tiedonhallinnassa Kaija Saranto, professori Sosiaali- ja terveydenhuollon tietohallinto Sosiaali- ja terveysjohtamisen laitos
Sosiaali- ja terveydenhuollon tietohallinnon koulutusohjelma ainoa laatuaan Suomessa, vuodesta 2000 alkoi muuntokoulutuksena, vakinaistettiin 2005 monitieteinen, sosiaali- ja terveydenhuollon tiedonhallintaa ja palvelujärjestelmää laaja-alaisesti hahmottava maisteriohjelma valmistuneita yli 80 sivuaineopiskelijoita useilta laitoksilta jatko-opiskelijoita 16 2
Maisterikoulutuksen tavoitteena antaa valmiuksia sosiaali- ja terveydenhuollon tietoresurssien hyväksikäytön suunnitteluun, johtamiseen, toteutukseen ja seurantaan tietotekniikan ja tietojärjestelmien kehittämiseen sosiaali- ja terveysalan erityispiirteet huomioiden monialaisiin tutkimus- ja kehittämistehtäviin SHIFTEC - Social and Health Information Technology Research Unit http://www.uef.fi/stj/ 3
Tiedonhallinnan tutkimuskohteita
Esityksen sisältö Tietoturvallisuus käsitteenä Tietoturvallisuuden osatekijät Tietoturvallisuuden vahvistaminen Tutkimustuloksia
Tietojen turvaaminen, mitä se on? Tietojen turvaaminen on organisaation toiminnan turvaamista Tietojen turvaaminen on henkilöiden oikeuksien turvaamista Tietojen turvaaminen on jokaisen henkilön velvollisuus Tietojen turvaaminen on edellytys, joka pitää täyttää voidaksemme ylläpitää sivistyneen yhteiskunnan 6
Tietoturvallisuus käsitteenä Tietosuojalla on perinteisesti ymmärretty henkilötietolain henkilötietojen käsittelyä koskevien vaatimusten huomioon ottamista yksityisten henkilöiden yksityisyyden ja oikeusturvan varmistamiseksi. Tietosuojan tarkoituksena on näin ollen turvata tiedon kohteen (data subject) yksityisyys sekä edut ja oikeusturva. Ylipartanen A. 2010 7
Tietoturvallisuus käsitteenä.. Tietoturvalla tarkoitetaan toimenpiteitä, joilla yksityisyyden suojaamiseen pyritään. Näitä ovat ennen muuta tiedon laadun ja eheyden koskemattomuuden (integriteetin) säilyttäminen sekä suojaaminen teknisin keinoin. Tietoturvalla tarkoitetaan toisin sanoen niitä käytännön toimenpiteitä, joilla pyritään tietosuojan toteuttamiseen, kuten toimitilojen turvaaminen, vakuutukset, jatkuvuussuunnittelu ja hallinto. Ylipartanen A. 2010 8
Tietoturvallisuuden johtaminen Organisaation johdon vastuulla Lainsäädännön tuki kehittymässä Tietoturvallisuuden kypsyystasot: aloittava, toistettava, ei organisoitu ( tässä on pääosa julkisista organisaatioista) määritelty ja organisoitu hallittu optimoituva
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (9.2.2007/159) 6 luku, Erinäiset säädökset 20, Ohjaus, valvonta ja seuranta: "Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet «asiakastietojen» käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta «asiakastietojen» käsittelyssä. Lisäksi jokaisella palvelujen antajalla, Kansaneläkelaitoksella ja Terveydenhuollon oikeusturvakeskuksella on oltava seurantaja valvontatehtävää varten tietosuojavastaava".
Tietoturvallisuuden osatekijät Tietojen saatavuus (availability) Varajärjestelyt Käyttötarkoitus Tietojen oikeellisuus ja eheys (integrity) Tietojen luottamuksellisuus (confidentiality) Valtuudet (authorisation) Henkilöiden tunnistaminen (identification) Todentaminen (authentication) Valtuuksien määrittely (priviledge management) Tietojen käyttö jäljitettävyys (logging, audit trail) tarkastettavuus (auditability) tilivelvollisuus (accountability) Tammisalo 2005
Tietoturvan osa-alueet Tietoturva (ISO/IEC17799*; Tammisalon soveltamana) Tietoturvapolitiikka Tietoturvallisuuden hallinnointi ja organisaatio Omaisuuden hallinta Henkilöstöturvallisuus Fyysisen ympäristön turvallisuus Tietojärjestelmien käytön ja tiedonvälityksen turvallisuus Pääsynhallinta Tietojärjestelmien kehitys ja ylläpito Toiminnan jatkuvuus Laillisuus ja sääntöjen mukaisuus Poikkeustilanteet * Code of Practice for Information Security Management
Tietoturvapolitiikka Johdon kannanotto ja julkilausuma organisaation tietoturvallisuuden toteuttamiseen Tietojenkäsittelyn turvaamisen tavoitteet, periaatteet ja miten turvaamistoiminta käytännössä hoidetaan
Tietoturvallisuuden hallinnointi "truismit": 1.Käyttäjät tekevät huolimattomuusvirheitä 2.Käyttäjät eivät omaksu kaikkia toimintatapoja ja ohjeita vaan käyttävät oikoteitä 3.Pääkäyttäjät voivat olla pahantahtoisia 4.Verkkohyökkäyksiä yritetään 5.Työasemia käytetään siten, että mahdollisuus erilaisten virusten leviämiseen on mahdollista
..truismit 6. järjestelmissä on toimintahäiriöitä 7. järjestelmät sijaitsevat paikassa x, varmistusmediat paikassa y 8. kaikki ulkoinen tietoliikenne on suojattu palomuurilla 9. työasemissa ei ole korppu- tai cd-asemia, muistitikkuja vapaasti 10. toimitiloissa on käytössä kulunvalvonta 11. kiinteistössä ei voi liikkua ilman kulkukorttia
Tietoturvallisuuden vahvistaminen Tero Tammisalo (2005). Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt. Stakes. Helsinki. Verkkojulkaisu: http://www.stakes.fi/verkkojulkai sut/raportit/ra5-2005.pdf.
Henkilöstöturvallisuus Tarkastukset työsuhteen solmimisen yhteydessä Sopimukselliset velvoitteet Tietoturvavastuiden määrittäminen Tietoturvavastuista tiedottaminen Tietoturvatietoisuus, -osaaminen ja -koulutus Toiminta tietoturvaloukkauksissa Toimenpiteet työsuhteen loppuessa
Henkilöstöturvallisuus.. Tietojen rakenteet ja työskentelytilojen ympäristö Kulunvalvonta Toimistotilojen ja työhuoneiden suojaus Työskentely korkean turvallisuuden tiloissa Laitteistojen huolto Laitteistojen sijoitus ja suojaus organisaation tiloissa Lastaus- ja purkualueet
Tietojärjestelmien käytön ja tiedonvälityksen turvallisuus Prosessikuvaukset, toimintaohjeet ja käyttöohjeet Muutoksen hallinta Kolmansien osapuolten palvelut Tietojärjestelmien ja tietoverkkojen hoito Käyttäjien velvollisuudet Haittaohjelmista suojautuminen Turvatekniikat: kryptografia ja PKI
Tietojärjestelmien kehitys ja ylläpito Vaatimukset tietojärjestelmien turvallisuudelle Tietojärjestelmien ja sovellusten sisäinen tietoturva Lähdekoodi Muutoksen hallinta
Laillisuus ja sääntöjen mukaisuus Noudatettavat lait Standardit ja muut säännöt Sopimukset, politiikat ja muut organisaation asiakirjat
Poikkeustilanteet Toiminnan määrittelyt Tietojärjestelmien tapahtumien, käytön ja vikojen kirjaaminen Muut valvontakeinot Seuranta Hälytykset ja raportointi Poikkeamien käsittely ja seuraamukset Mittaaminen ja kehittäminen
Uhkien ja riskien hallinta Tyypillisimpiä uhkia voidaan torjua: Organisoimalla ja vastuuttamalla, Tiedottamalla ja kouluttamalla Tarpeellisten standardien ja teknologioiden hyödyntämisellä Palautteen antamisella ja Solmituilla sopimuksilla
Tutkimustuloksia ja kehittämisehdotuksia
Tutkimustuloksia: organisaation tietoturvallisuuden kehittäminen* Tietoturvallisuuden alueella käsitteet ovat usein epäselviä Asioista yhteisistä pelisäännöistä sovittava Tietosuojalainsäädännön vaatimukset voidaan toteuttaa asianmukaisesti vain, jos toimivalta ja vastuukysymykset ovat selkeät Henkilöstöllä on muutamia mahdollisuuksia vaikuttaa valmisteltaviin asioihin, kuten tietoturvapolitiikkaan. *Reponen K 2007.
...Tutkimustuloksia* Potilastietojärjestelmän käytön valvontaa toteutetaan lainmukaisesti lokitiedostoa keräämällä ja siihen pistokokeita tekemällä Koulutuksen ja tiedottamisen tärkeys korostui haastatteluaineistossa Tietoturvarikkomusten ehkäisy, ei ainoastaan sanktiot ja niiden koventaminen käytössä Tietoturvallisuuden kehittämisen lähtökohta on kattavasti toteutettu riskianalyysitietoihin kohdistuvista uhista. *Reponen K. 2007
Yhteenveto Tietoturvallisuuteen yhdistettävät tapaukset aiheuttavat runsaasti lisätyötä yksiköille sekä harmia potilaille, omaisille jopa ulkopuolisille Vaitiolovelvollisuus vaarantuu Potilaan yksityisyyden suoja vahingoittuu Toisinaan tietojärjestelmän käyttöliittymä voi edesauttaa väärän potilaan valinnassa, haittana myös tietojärjestelmän käytön osaamattomuus Syynä useimmiten inhimillinen virhe, käytännöt ja sopimukset pettävät kun työprosessit ovat epäselvät
Tervetuloa Kuopioon potilasturvallisuuden tutkimuspäiville 26.1. 27.1.2011
Kiitos! kaija.saranto@uef.fi
Materiaalia Juhani Paavilainen (1998). Tietoturva. ATK-kustannus. Helsinki Irma Pahlman (toim.). (2005). Asiakirjajulkisuus ja tietosuoja sosiaali- ja terveydenhuollossa. Edita. Helsinki. Hannu Sorvari (2001). Asiakastiedon suoja sosiaalihuollossa. Kustannusosakeyhtiö Tammi. Helsinki. Tero Tammisalo (2005). Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt. Stakes. Helsinki. Verkkojulkaisu: http://www.stakes.fi/verkkojulkaisut/raportit/ra5-2005.pdf. Arto Ylipartanen (2010). Tietosuoja terveydenhuollossa. Tietosanoma, Helsinki. Tietosuojavaltuutetun nettisivusto