Nixu: luottokortti on paremmin suojattu kuin terveystiedot

Tietoja

Kyberturvapalveluita ja myös organisaatioiden tietoturvan auditointeja tekevä ohjelmistotalo Nixu kertoo, että suomalaisten terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen. Vastaamon tapauksen pitäisi herättää keskustelu siitä, miten terveystietojen tietoturvaa jatkossa auditoidaan.

Nixun mukaan terveystietojen tietoturvavaatimusten vertailupohjaksi voisi ottaa maksukorttiturvaan liittyvät standardit sekä viranomaisen turvaluokitellun tiedon suojaukseen liittyvät kriteeristöt. Kaikkia näitä tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.

Terveystietoa käsittelevät tietojärjestelmät on jaettu kahteen luokkaan, A- ja B-luokan järjestelmiin. A-luokan järjestelmillä tarkoitetaan niitä tietojärjestelmiä, jotka liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon eli Kantaan. B-luokan järjestelmät eivät ole liittyneet Kantaan, eli ne toimivat paikallisesti.

A-luokan järjestelmille on THL:n määrittelemät tietoturvavaatimukset. Sen sijaan B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Järjestelmää käyttävä palvelutuottaja joutuu kuitenkin tekemään omavalvontasuunnitelman tietoturvan osalta.

Julkisesti saatavilla olevien tietojen mukaan Vastaamo käytti B-luokan järjestelmää. Tällaista järjestelmää ei siis tarvitse auditoida, vaan sen osalta suoritetaan ns. omavalvonta, eli palveluntuottaja täyttää ainoastaan omavalvontalomakkeen. Tämä menettely ei selvästi riitä takaamaan arkaluontoisen datan turvallisuutta.

Maksukorttitietojen turvallista käsittelyä kauppiaiden ja palveluntarjoajien osalta säätelee kansainvälinen standardiperhe nimeltä PCI (Payment Card Industry). Sen tunnetuin standardi on PCI DSS (PCI Data Security Standard), joka asettaa vaatimuksia tiedon käsittelylle, siirrolle ja tallennukselle.  PCI DSS syntyi maksukorttiyhtiöiden yhteistyön tuloksena.

Viranomaisten turvaluokitellun tiedon suojausta voidaan arvioida Katakrilla, joka on kansallinen turvallisuusauditointikriteeristö vuodelta 2015. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakria käytetään arvioitaessa viranomaisten tietojärjestelmien turvallisuutta, mutta sitä käytetään myös viranomaisten puolesta tietoa käsittelevien palveluntarjoajien, kuten IT palvelutalojen, arvioinnissa. Näin pyritään varmistamaan, että organisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

Toisin kuin maksukorttidatan PCI, Katakri sisältää turvatasoja sen mukaan, miten kriittistä tietoa suojataan. Alin taso on turvaluokka TL IV ja ylin taso TL I. Turvaluokkia voidaan pitää positiivisena asiana, sillä tiedon ylisuojaaminen on kallista ja vaikeuttaa tiedon käyttöä. Samalla varmistetaan, ettei arkaluontoista tietoa alisuojata.

Ylläolevaan taulukkoon on koostettu edellä mainittujen tietoturvakriteeristöjen erot. PCI-vaatimusten täyttäminen on useimmiten työlästä, mikä tarkoittaa samalla merkittäviä kustannuksia. Seurauksena tästä on ollut se, että valtaosa kauppiaista on luopunut maksukorttitiedon käsittelystä. Maksukorttitiedon käsittely on siirtynyt palveluntarjoajille, jolloin kauppiaalla ei ole enää edes pääsyä arkaluontoiseen tietoon.

Myös Katakri-vaatimuksenmukaisuuden saavuttaminen ja siihen liittyvä auditointi on raskas prosessi, johon kuluu paljon aikaa, mikä taas osaltaan nostaa kustannuksia. Samalla tavalla kuin PCI, myös Katakri ohjaa välttämään turvaluokitellun tiedon tarpeetonta käsittelyä.

Kanta-tietoturva-auditoinnit ovat sen sijaan nopeita suorittaa. Ne kohdistuvat tyypillisesti vain sovellustoimittajaan eivät käyttöympäristöön, jota valvotaan yleensä vain omavalvonnan kautta. Kevyt auditointi, joka perustuu pääasiassa haastatteluihin, dokumentaation katselmointiin ja havainnointiin, johtaa todistukseen, joka on voimassa jopa viisi vuotta ilman kunnollista seurantakäytäntöä. Tämä ei ole paras mahdollinen lähtökohta, kun puhutaan arkaluontoisesta terveystiedosta.

Nixu katsoo, että terveystietojärjestelmien tietoturvan auditointiin pitäisi kiinnittää huomiota asiakastietolain ja sote-uudistuksen yhteydessä, ja tämän myötä nykyiset auditointikäytännöt tulisi päivittää vastaamaan tämän päivän vaatimuksia.

FOREVER # Till ECF-sajten
ALWAYS # congatec

ETNtv

Watch ECF videos

 

TECHNICAL ARTICLES

TekoÀlyn avulla robotteja voidaan ohjata puheella

ETN - Technical article

Generatiivisen tekoälyn vallankumous, joka tuo chatbotit asiakaspalveluun ja mahdollistaa älykaiuttimien kaltaiset laitteet, on vasta alkua. Sama teknologia, joka ymmärtää ihmisten puhetta, siirtyy nyt robotiikkaan, missä se auttaa kehittämään algoritmeja robottien liikkeiden ohjaamiseen ja politiikkojen toteuttamiseen tärkeiden tehtävien suorittamiseksi.

Lue lisÀÀ...

OPINION

SOM-ratkaisut ovat lÀÀketieteellisen elektroniikan luotettava tulevaisuus

Lääketieteellinen elektroniikka on yksi nopeimmin kasvavista teollisuudenaloista. Väestön ikääntyminen, erityisesti länsimaissa, ja terveydenhuollon teknologioiden jatkuva kehitys pitävät yllä kovaa kysyntää ja ohjaavat alan tutkimus- ja tuotekehitystä, kirjoittaa Digi Internationalin OEM-ratkaisuista Euroopassa vastaava johtaja Ronald Singh.

Lue lisÀÀ...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

 SPONSORS

 

Etteplan supports customers cross industries in digitalizing their business from requirement specifications to solution development and implementation. With over 30 years of experience, Etteplan has the needed expertise to develop a wide range of industrial applications, from large established companies to start-ups. We deliver complete turn-key solutions containing cross-discipline know-how.

 

CN Rood offers technical solutions in the field of testing and measurement. We aim to remain leaders in that regard. Our customers are often not looking for a product, but for a solution, and we all have the drive to work on that solution. What we love to do most is to continually work on the latest developments in the field of testing and measuring equipment. Now and in the future.

 


EBV Elektronik was founded in 1969 and is one of the leading specialists in European semiconductor distribution. This success is based on the underlying company philosophy, which was developed a long time ago and which still applies today: operational excellence, flexibility, reliability and execution – with the goal of achieving the highest degree of customer satisfaction.

 

Tria is a world leader in the design and manufacture of embedded computing for OEMs. We offer a broad range of off-the-shelf modules to fully customized systems built for our customers. With a global footprint and deep in-house expertise, we support innovators from design to delivery.

congatec is a rapidly growing technology company focusing on embedded and edge computing products and services. The high-performance computer modules are used in a wide range of applications and devices in industrial automation, medical technology, robotics, telecommunications and many other verticals.

 

Mespek was founded in 1989. Our main products are embedded electronic modules, industrial PCs with peripherals, KVM and server management products, as well as wireless solutions for IoT applications.

 

Since 1985, Digi International Inc. (Digi) has been a pioneer in wireless communication, forging the future for connected devices and responding to the needs of the people and enterprises that use them.

 

CVG Convergens is an ICT services company specialized in embedded systems, smart connected products and ICT systems and processes for SME businesses. Our mission is to help our clients, our team, and the society to improve and thrive by providing reliable and sustainable solutions, services, and products by creative and efficient application of technology.

 

BCC Solutions Oy is a Finnish company that, in addition to expert services, offers comprehensive equipment solutions for data transfer and telecommunication networks, as well as their analysis, testing and measurement. We broadly represent the industry's leading brands.

 

Acal BFi has trusted expertise in advanced electronics for 50 years. If you’re in search of a trusted technology solutions partner, your search ends here. Our extensive knowledge, cutting-edge portfolio, and worldwide capabilities are at your service to bring the future into reality.

 



© Elektroniikkalehti


ECF template