JavaScript is currently disabled.Please enable it for a better experience of Jumi. ECF

Kyberturvapalveluita ja myös organisaatioiden tietoturvan auditointeja tekevä ohjelmistotalo Nixu kertoo, että suomalaisten terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen. Vastaamon tapauksen pitäisi herättää keskustelu siitä, miten terveystietojen tietoturvaa jatkossa auditoidaan.

Nixun mukaan terveystietojen tietoturvavaatimusten vertailupohjaksi voisi ottaa maksukorttiturvaan liittyvät standardit sekä viranomaisen turvaluokitellun tiedon suojaukseen liittyvät kriteeristöt. Kaikkia näitä tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.

Terveystietoa käsittelevät tietojärjestelmät on jaettu kahteen luokkaan, A- ja B-luokan järjestelmiin. A-luokan järjestelmillä tarkoitetaan niitä tietojärjestelmiä, jotka liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon eli Kantaan. B-luokan järjestelmät eivät ole liittyneet Kantaan, eli ne toimivat paikallisesti.

A-luokan järjestelmille on THL:n määrittelemät tietoturvavaatimukset. Sen sijaan B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Järjestelmää käyttävä palvelutuottaja joutuu kuitenkin tekemään omavalvontasuunnitelman tietoturvan osalta.

Julkisesti saatavilla olevien tietojen mukaan Vastaamo käytti B-luokan järjestelmää. Tällaista järjestelmää ei siis tarvitse auditoida, vaan sen osalta suoritetaan ns. omavalvonta, eli palveluntuottaja täyttää ainoastaan omavalvontalomakkeen. Tämä menettely ei selvästi riitä takaamaan arkaluontoisen datan turvallisuutta.

Maksukorttitietojen turvallista käsittelyä kauppiaiden ja palveluntarjoajien osalta säätelee kansainvälinen standardiperhe nimeltä PCI (Payment Card Industry). Sen tunnetuin standardi on PCI DSS (PCI Data Security Standard), joka asettaa vaatimuksia tiedon käsittelylle, siirrolle ja tallennukselle.  PCI DSS syntyi maksukorttiyhtiöiden yhteistyön tuloksena.

Viranomaisten turvaluokitellun tiedon suojausta voidaan arvioida Katakrilla, joka on kansallinen turvallisuusauditointikriteeristö vuodelta 2015. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakria käytetään arvioitaessa viranomaisten tietojärjestelmien turvallisuutta, mutta sitä käytetään myös viranomaisten puolesta tietoa käsittelevien palveluntarjoajien, kuten IT palvelutalojen, arvioinnissa. Näin pyritään varmistamaan, että organisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

Toisin kuin maksukorttidatan PCI, Katakri sisältää turvatasoja sen mukaan, miten kriittistä tietoa suojataan. Alin taso on turvaluokka TL IV ja ylin taso TL I. Turvaluokkia voidaan pitää positiivisena asiana, sillä tiedon ylisuojaaminen on kallista ja vaikeuttaa tiedon käyttöä. Samalla varmistetaan, ettei arkaluontoista tietoa alisuojata.

Ylläolevaan taulukkoon on koostettu edellä mainittujen tietoturvakriteeristöjen erot. PCI-vaatimusten täyttäminen on useimmiten työlästä, mikä tarkoittaa samalla merkittäviä kustannuksia. Seurauksena tästä on ollut se, että valtaosa kauppiaista on luopunut maksukorttitiedon käsittelystä. Maksukorttitiedon käsittely on siirtynyt palveluntarjoajille, jolloin kauppiaalla ei ole enää edes pääsyä arkaluontoiseen tietoon.

Myös Katakri-vaatimuksenmukaisuuden saavuttaminen ja siihen liittyvä auditointi on raskas prosessi, johon kuluu paljon aikaa, mikä taas osaltaan nostaa kustannuksia. Samalla tavalla kuin PCI, myös Katakri ohjaa välttämään turvaluokitellun tiedon tarpeetonta käsittelyä.

Kanta-tietoturva-auditoinnit ovat sen sijaan nopeita suorittaa. Ne kohdistuvat tyypillisesti vain sovellustoimittajaan eivät käyttöympäristöön, jota valvotaan yleensä vain omavalvonnan kautta. Kevyt auditointi, joka perustuu pääasiassa haastatteluihin, dokumentaation katselmointiin ja havainnointiin, johtaa todistukseen, joka on voimassa jopa viisi vuotta ilman kunnollista seurantakäytäntöä. Tämä ei ole paras mahdollinen lähtökohta, kun puhutaan arkaluontoisesta terveystiedosta.

Nixu katsoo, että terveystietojärjestelmien tietoturvan auditointiin pitäisi kiinnittää huomiota asiakastietolain ja sote-uudistuksen yhteydessä, ja tämän myötä nykyiset auditointikäytännöt tulisi päivittää vastaamaan tämän päivän vaatimuksia.

 

Suomen suurin valtti kybersodassa on luottamus

Teknologia19 – Aalto-yliopiston kyberturvallisuusprofessori Jarno Limnéll uskoo, että luotettavuudesta voi tulla suomalaisten yritysten suurin myyntivaltti tulevaisuudessa. – Tärkein kysymys on tulevaisuudessa, kehen ja mihin voimme luottaa. Luottamuksesta on tulossa hyvin arvokas aineeton pääoma yrityksille, Limnéll sanoi eilen messukeskuksessa.

Lue lisää...

Korteilla vauhtia IoT-kehitykseen

Sulautetun laitteen kehitys onnistuu useimmiten helpoiten valmiiden moduulien avulla. Nykyään niitä saa myös tehokkailla Apollo Lake -sarjan prosessoreilla varustettuna.

Lue lisää...
 
 
ETN_fi @realBillWalter Could the IPAA concept be used for adding mmWave support to a site? Would it make any sense or is t… https://t.co/pgOmw057W0
ETN_fi The latest ETNdigi is out. Get your free dose of security in embedded here: https://t.co/VLVZaNX1S1https://t.co/deUEocqAVa
ETN_fi Design is a crucial part of Nokia phones. See: Muotoilu tekee Nokia-puhelimen https://t.co/7jA68JT30v @HMDGlobal @miika_mahonen
ETN_fi Where there is code, there are vulnerabilities. https://t.co/gcjwCunTE1 @TrendMicro @rik_ferguson
ETN_fi DDR5 is here. SK hynix Launches World’s First DDR5 DRAM https://t.co/CV5gLNFlwX


Sponsors


congatec is a leading supplier of industrial computer modules using the standard form factors COM Express, Qseven and SMARC as well as single board computers and EDM services. congatec’s products can be used in a variety of industries and applications, such as industrial automation, medical, entertainment, transportation, telecommunication, test & measurement and point-of-sale.



Presentors


We offer custom, cost-effective solutions to help you fulfil your project. With our wealth of technology expertise, we can provide expert technical support and guidance at every stage of your design.



AFRY (previous ÅF Pöyry) offers customized SW, HW and mechatronics services to the embedded and industrial IoT-markets. Based on your needs we deliver requirement specification, design, implementation, manufactured product and maintenance for your intelligent and connected systems. AFRY has many years' experience in providing air-born products with high demands on quality and traceability, robust end-to-cloud solutions as well as cost-efficient end user products. We also provide expert consultants.



Exhibitors


DATA MODUL stands behind its claim as a worldwide leading supplier of professional “visual solutions” and is a reliable premier choice partner in the areas of display, touch, embedded and monitor solutions.



Kontron is a global leader in embedded computing technology (ECT). As a part of technology group S&T, Kontron offers a combined portfolio of secure hardware, middleware and services for Internet of Things (IoT) and Industry 4.0 applications. With its standard products and tailor-made solutions based on highly reliable state-of-the-art embedded technologies, Kontron provides secure and innovative applications for a variety of industries.




Rutronik has developed from a “one-man-company” into one of the worldwide leading broadline distributors, employing more than 1,600. In the electronic components market, Rutronik currently ranks 11th worldwide and is the third largest European distributor. The product range includes semiconductors, passive and electromechanical components as well as embedded boards, storage technologies, displays and wireless products.





ECF template