Kyberturvapalveluita ja myös organisaatioiden tietoturvan auditointeja tekevä ohjelmistotalo Nixu kertoo, että suomalaisten terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen. Vastaamon tapauksen pitäisi herättää keskustelu siitä, miten terveystietojen tietoturvaa jatkossa auditoidaan.
Nixun mukaan terveystietojen tietoturvavaatimusten vertailupohjaksi voisi ottaa maksukorttiturvaan liittyvät standardit sekä viranomaisen turvaluokitellun tiedon suojaukseen liittyvät kriteeristöt. Kaikkia näitä tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.
Terveystietoa käsittelevät tietojärjestelmät on jaettu kahteen luokkaan, A- ja B-luokan järjestelmiin. A-luokan järjestelmillä tarkoitetaan niitä tietojärjestelmiä, jotka liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon eli Kantaan. B-luokan järjestelmät eivät ole liittyneet Kantaan, eli ne toimivat paikallisesti.
A-luokan järjestelmille on THL:n määrittelemät tietoturvavaatimukset. Sen sijaan B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Järjestelmää käyttävä palvelutuottaja joutuu kuitenkin tekemään omavalvontasuunnitelman tietoturvan osalta.
Julkisesti saatavilla olevien tietojen mukaan Vastaamo käytti B-luokan järjestelmää. Tällaista järjestelmää ei siis tarvitse auditoida, vaan sen osalta suoritetaan ns. omavalvonta, eli palveluntuottaja täyttää ainoastaan omavalvontalomakkeen. Tämä menettely ei selvästi riitä takaamaan arkaluontoisen datan turvallisuutta.
Maksukorttitietojen turvallista käsittelyä kauppiaiden ja palveluntarjoajien osalta säätelee kansainvälinen standardiperhe nimeltä PCI (Payment Card Industry). Sen tunnetuin standardi on PCI DSS (PCI Data Security Standard), joka asettaa vaatimuksia tiedon käsittelylle, siirrolle ja tallennukselle. PCI DSS syntyi maksukorttiyhtiöiden yhteistyön tuloksena.
Viranomaisten turvaluokitellun tiedon suojausta voidaan arvioida Katakrilla, joka on kansallinen turvallisuusauditointikriteeristö vuodelta 2015. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakria käytetään arvioitaessa viranomaisten tietojärjestelmien turvallisuutta, mutta sitä käytetään myös viranomaisten puolesta tietoa käsittelevien palveluntarjoajien, kuten IT palvelutalojen, arvioinnissa. Näin pyritään varmistamaan, että organisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.
Toisin kuin maksukorttidatan PCI, Katakri sisältää turvatasoja sen mukaan, miten kriittistä tietoa suojataan. Alin taso on turvaluokka TL IV ja ylin taso TL I. Turvaluokkia voidaan pitää positiivisena asiana, sillä tiedon ylisuojaaminen on kallista ja vaikeuttaa tiedon käyttöä. Samalla varmistetaan, ettei arkaluontoista tietoa alisuojata.
Ylläolevaan taulukkoon on koostettu edellä mainittujen tietoturvakriteeristöjen erot. PCI-vaatimusten täyttäminen on useimmiten työlästä, mikä tarkoittaa samalla merkittäviä kustannuksia. Seurauksena tästä on ollut se, että valtaosa kauppiaista on luopunut maksukorttitiedon käsittelystä. Maksukorttitiedon käsittely on siirtynyt palveluntarjoajille, jolloin kauppiaalla ei ole enää edes pääsyä arkaluontoiseen tietoon.
Myös Katakri-vaatimuksenmukaisuuden saavuttaminen ja siihen liittyvä auditointi on raskas prosessi, johon kuluu paljon aikaa, mikä taas osaltaan nostaa kustannuksia. Samalla tavalla kuin PCI, myös Katakri ohjaa välttämään turvaluokitellun tiedon tarpeetonta käsittelyä.
Kanta-tietoturva-auditoinnit ovat sen sijaan nopeita suorittaa. Ne kohdistuvat tyypillisesti vain sovellustoimittajaan eivät käyttöympäristöön, jota valvotaan yleensä vain omavalvonnan kautta. Kevyt auditointi, joka perustuu pääasiassa haastatteluihin, dokumentaation katselmointiin ja havainnointiin, johtaa todistukseen, joka on voimassa jopa viisi vuotta ilman kunnollista seurantakäytäntöä. Tämä ei ole paras mahdollinen lähtökohta, kun puhutaan arkaluontoisesta terveystiedosta.
Nixu katsoo, että terveystietojärjestelmien tietoturvan auditointiin pitäisi kiinnittää huomiota asiakastietolain ja sote-uudistuksen yhteydessä, ja tämän myötä nykyiset auditointikäytännöt tulisi päivittää vastaamaan tämän päivän vaatimuksia.
Englantilainen Pickering Interfaces esitteli Electronica-messuilla uuden sukupolven yksipaikkaisen sulautetun PXIe-ohjaimensa mallimerkinnältään 43-920-002. Uutuus on markkinoiden kompaktein ja tehokkain 3U-ohjain PXI Express -alustalle.
Barcelonalainen ignion esitteli Electronica-messuilla uutta OMNIA mXTEND -komponenttiaan, joka yhdistää kolme antennia yhteen innovatiiviseen ratkaisuun. Virtuaaliseksi antenniksi kutsuttu moduuli muuttaa piirikortin kolmen eri radion säteileväksi antenniksi.
ETNdigi 2/2024 -lehti käsittelee laajasti elektroniikka-alan innovaatioita, erityisesti sulautettuja järjestelmiä ja kehittyvää tekoälyä. Lehdessä esitellään esimerkiksi LUMI-supertietokoneen roolia tekoälymallien kehittämisessä Suomessa. Uutiskattauksen lisäksi mukana on useita syvemmälle eri tekniikoihin sukeltavia artikkeleita.
NordPass on julkaissut kuudetta kertaa vuotuisen 200 yleisintä salasanaa -tutkimuksensa, joka paljastaa kansainvälisesti suositut salasanat sekä 44 eri maan salasanat. Maailmalla yleisin salasana on nerokas ”123456” ja Suomen yleisimpänä jatkaa kestosuosikki ”qwerty123”.
Tulevaisuuden autot nojaavat yhä tiukemmin nopeaan datansiirtoon. Tämän dataväylän pitää perustua standardiin. Sellainen on PCIe-väylä, kertoo Microchip.