Kari Lilja, TkT, Erikoistutkija; Sirpa Sandelin, TkT, Yliopettaja; Sanna Lindgren, projektityöntekijä
Tietoturva – tai oikeastaan tietoturvattomuus – on noussut otsikoihin tavalla, jota vain kyynisimmät pessimistit osasivat odottaa. Kymmenien tuhansien ihmisten – siis oikeiden ihmisten, ei kasvottomien asiakkaiden – tietoja, on joutunut vääriin käsiin, ja tietoja, tai ainakin tietoa niiden vuotamisesta, on yritetty hyödyntää kylmällä ja häikäilemättömällä tavalla. Maan hallituskin on kokoontunut pohtimaan, miten rikoksen uhreja voitaisiin suojella enemmiltä rikoksilta, kuten identiteettivarkauksilta ja kiristyksiltä. Samaan aikaan poliisi yhdessä valkohattuhakkereiden kanssa kerää tiedonmurusia jotka saattaisivat auttaa tietomurtajan ja kiristäjien kiinni saamisessa.
Taistelevat aikaa vastaan.
Jos murto olisi havaittu heti, tai siitä olisi ilmoitettu poliisille heti, kun epäilys murrosta hiipi ensimmäisen työntekijän mieleen, mahdollisuus tekijän kiinni saamiseen ja varsinaisen vuodon estämiseen olisivat olleet paljon suuremmat. Nyt jäljet, joita jokainen internetissä tehty liike jättää, ovat heikentyneet, sekoittuneet miljardeihin muihin jälkiin ja osin tuhoutuneet lopullisesti.
Mutta miksi juuri Suomessa?
Kohtalon ivaa on se, että murto tapahtui Suomessa, ja kohdistui nimenomaan terveystietoihin. Kohtalon ivaa siksi että Suomi viivästyi Euroopan Unionin GDPR-asetuksen täytäntöönpanosta usealla kuukaudella. Direktiivin mukaan maiden olisi tullut harmonisoida lainsäädäntönsä vastaamaan direktiivin vaatimuksia 25.5.2018 mennessä. Suomi saattoi kuitenkin oman lainsäädäntönsä voimaan vasta 1.1.2019. Syitä viivästelyyn esitettiin monia, mm. puutteellinen lainvalmistelu, joka johti ristiriitoihin perustuslain kanssa. Sama syntipukki, joka tuotiin esille mm. edellisen SOTE-uudistuksen kanssa, ja joka kummittelee myös korona-ajan kiireellisten lakiesitysten ja jopa uuden SOTE-uudistuksen taustalla.
Kumma kyllä, aika moni edellä sanotuista esimerkeistä liittyy tavalla tai toisella terveydenhuoltoon ja lääkärien vallan vs ihmisten (=potilaiden) oikeuksien väliseen tasapainottamiseen.
Terveydenhuollon eri ammattiryhmien suhtautuminen tietotekniikkaan on jo pitkään ollut kaksijakoinen. Meillä on nuori lääkäripolvi, joka vannoo tietotekniikan, tekoälyn ja yhteisen tiedon nimiin, ja toisaalta meillä on vanhaa lääkärikuntaa, jonka edustaja pahimmillaan kirjoittaa muistiinpanot ja reseptin pahvilapulle, antaa lapun asiakkaan mukaan ja pyytää antamaan vastaanoton tytöille. ”Tytöt kirjatkoon tämän koneelle, sitä varten he siellä ovat” sanoi muuan vanhaan koulukuntaan kuuluva minulle ei niin kauan aikaa sitten. Meillä on myös iso joukko turhautuneita hoitajia, jotka haluaisivat tehdä sitä työtä, johon heillä on koulutus – hoitaa ihmisiä, mutta joiden aika menee raportointiin ja päätetyöskentelyyn, ja toisaalta meillä on kasvava joukko nuoria hoitajia, jotka ovat enemmän sinuja koneiden kuin ihmisten kanssa. Vaikka psykoterapiamaailma onkin ollut villimpää ja vapaampaa, voin kuvitella, että suhde ohjelmiin ja järjestelmiin ei sielläkään ole ollut ongelmaton.
Luuloja ja vilpitöntä uskoa toimittajan lupauksiin on ehkä ollut enemmän kuin tietoa, taitoa ja halua järjestelmälliseen ja sääntöjen mukaiseen toimintaan, mitä turvallinen tietojen käsittely aina vaatii.
Väitetyn tietomurron ajankohta on sekin mielenkiintoinen, katsoo sitä sitten GDPR-direktiivin voimaantulon tai yrityskauppajärjestelyn tunnettujen päivämäärien valossa. Ja kun tähän lisää julkisuudessa olleen tiedon vääriin käsiin joutuneen tietomäärän koosta – kymmeniä gigatavuja – joutuu kysymään, voiko kyse todella olla ulkopuolisesta hakkerista. Jos on varastettu kokonainen tietokanta, hakkerilla täytyy olla hyvin nopea ja luotettava yhteys palvelimeen, kymmenien gigojen lataaminen kun ei ole läpi minuutissa eikä kahdessa, ja jokainen tunti kasvattaa yhteyden katkeamisen tai kiinni jäämisen riskiä. Lisäksi hänellä pitää olla keinot avata tuo kanta päästäkseen käsiksi ihmisten tietoihin. Jos järjestelmän toimittaja ei ole ollut täysin tumpelo, täytyy tietää myös tietokannan salasana.
Puriko oma koira?
Pikemminkin, tähän mennessä saatujen tietojen valossa, tuntuu siltä, että murtautuja on ehkä kenties saanut käsiinsä varmuuskopion, joka todennäköisesti on ollut tietokantadumppi, jossa kokonainen tietokanta on purettu tekstimuotoon, ilman salasanoja tai tiedon salausta. Tällainen dumppi syntyy joillakin tietokannoilla esimerkiksi, jos tietokannan rakennetta muutetaan, tietokantaa kasvatetaan, tai tietokanta halutaan syystä tai toisesta muuten luoda kokonaan uudestaan. Dumpin kopiointi usb-tikulle tai -levylle on helppo ja nopea operaatio, jos tekijällä on pääsy palvelimelle tai työasemalle, jolla dumppi on. Kopioinnista ei myöskään välttämättä jää jälkeä, ellei erikseen ole tiettyjä käyttöjärjestelmätason lokeja pantu päälle. Ennen kuin kukaan pillastuu, korostan, että edellä esitetty on vain valistunut arvaus. Yhden vanhan totuuden edellä esitetty kuitenkin nostaa jälleen kerran tapetille.
Hyvin monissa tapauksissa tietovuotaja löytyy oman organisaation sisältä.
Sen vuoksi jokaisen organisaation tulee panostaa tietoturvan (Safe and secure data processing) lisäksi myös tietosuojaan (Data protection) ja varmistaa, että tiedon käsittelyssä on vallalla vähintään samat periaatteet kuin rahan käsittelyssä: Selvät rajat sille, mitä yksi ihminen voi yksin tehdä, vältetään vaarallisia toimenkuvia, eli esimerkiksi tietosuojavastaava ja pääkäyttäjä eivät voi olla yksi ja sama henkilö, huolehditaan sekä sisäisestä että ulkoisesta valvonnasta ja kontrollista, ja pidetään huolta siitä, että asenteet, osaaminen, tekniikka ja järjestelmät ovat ajan, tilanteen ja käsiteltyjen tietojen vaatimalla tasolla.
Artikkeli on kirjoitettu Euroopan unionin Erasmus + -ohjelman rahoittaman KAforHR -hankkeen puitteissa. Vastuu artikkelissa esitetyistä näkemyksistä on yksinomaan kirjoittajilla.