perjantai 16. joulukuuta 2011

Joko teillä on se Tietoturva?

Keskustelu tietoturvallisuudesta ahdistaa! Lähes aina se käynnistyy joko uutisissa olleen tietomurtohakkerointiepisodin jälkeen, jonkun konsultin täytettyä monivalintatehtävän tai "asiantuntijan" kirjoituksesta tietoturvan tärkeydestä. 

Riippuen keskustelun käynnistäjästä, päivitellään joko hakkerien taitoa ja pahuutta tai sitten todetaan tietoturvan olevan meille todella todella todella tärkeä asia, ihan johtoa myöten se koetaan tärkeäksi. Seuraavaksi sitten unohdetaankin koko juttu koska eihän niitä hakkereita kiinnosta meidän tiedot ja onhan se tietoturva on niin vaikeaa ja kallista. Jos joku oikeasti sattui kiinnostumaan asiasta, niin ensimmäisenä ryhdytään miettimään salauksia, estoja, seurantaa ja kaikkea sellaista mystistä ja jännää. Pohdinnat liikkuvat kyllä tärkeissä salasanoissa, kännyköissä, kannettavien salauksessa ja palomuureissa mutta rajaavat ajatukset kapeaan putkeen. Kun on keksitty itselle sopiva ja kiinnostava kehityskohde, niin sitten rynnätään kauppaan ostamaan jotain ja asennetaan se käyttöön jotenkin. Lopuksi todetaan että meillä on nyt sitten se tietoturva ja kaikki ovat tyytyväisiä. Voidaan taputella toisiamme selkään ja julistaa muillekin kuinka turvallisia meillä ollaan. Ja tämä ahdistaa minua, se ahdistaa minua kuin entistä miestä. Miksi ihmeessä ketään ei kuitenkaan kiinnosta kunnollinen tietoturva? Siis sellainen käytännöllinen, konkreettinen ja järkeenkäypä tietoturva, millä saadaan oikeasti lisättyä turvallisuutta siellä missä sitä tarvitaan. Todellisia uhkia vastaan. Tarkoitan sellaista todellista turvallisuutta, mitä saadaan vasta, kun halutaan tunnistaa 

1. Mitä pitää suojata
2. Mikä suojattavaa kohdetta uhkaa
3. Miten uhilta suojaudutaan kustannustehokkaasti 

Olkoon tämä prosessi nimeltään mikä tahansa, yleensä se on riskienhallintaa, mutta ilman sitä ei kuitenkaan tietoturvaa voida kunnolla kehittää. Kaikki työ tietoturvan eteen ilman suojattavien kohteiden ja niihin kohdistuvien uhkien tunnistamista on kuin ampuisi haulikolla silmät kiinni. Panoksia kuluu rutkasti, osumat ovat täysin tuurista kiinni ja homma on kohtuullisen vaarallista kaikille. ...kylläpä helpotti!

perjantai 9. joulukuuta 2011

Tuloksellista tietoturvallisuutta USA:sta

Suomessa julkisuutta saaneista valelääkäreistä ja viranomaisvalvonnan puutteesta terveydenhuollon suurimmat ongelmat eivät ainakaan USA:ssa vaikuttaisi liittyvän viranomaisvalvontaan, vaan paljon käytännönläheisimpiin asioihin.

Tietovuodot ja niiden kautta tapahtuva potilastiedon vuotaminen ja joko suorat identiteettivarkaudet tai niiden mahdollistuminen vuotojen kautta on lisääntynyt. Jopa 96% terveydenhuollon palveluntarjoajista raportoi, että heillä on tapahtunut ainakin yksi tietovuoto viimeisen kahden vuoden aikana. Yhdysvalloissa terveydenhuollossa suurimmat ongelmat liittyvät turvattomiin mobiilipäätteisiin ja henkilökunnan tekemiin virheisiin. Suurimmat syyt ovat: 

  • Kadonneet tai varastetut laitteet (49%) 
  • Työntekijöiden epätarkoituksenmukainen toiminta (41%) 
  • Kolmansien osapuolten tekemät virheet (46%) 

Yhdysvalloissa on keskitytty viime vuosina lainsäädännön ja vaatimustenmukaisuuden parantamiseen terveydenhuollon ympäristössä. Työ on keskittynyt henkilöstön koulutukseen, toimintapolitiikoihin ja hallintoon. Yhä vähemmän luotetaan ad-hoc –prosesseihin ja pyritään suunnittelemaan turvallisuuden hallinta pitkäjänteisemmäksi ja mitattavaksi organisaatioksi. Työllä onkin ollut tuloksia, sillä yhä useampi ongelma havaitaan mm. työntekijöiden toimesta tehdyissä tarkastuksissa ja potilaiden, terveydenhuollon asiakkaiden, toimesta tehdyt havainnot ovat vähentyneet. Havaintojakson ollessa yhden vuoden, eivät muutokset vielä voikaan olla kovin suuria. Mutta tietoturvallisuuden pitkäjänteisellä ja kokonaisvaltaisella kehittämisellä saadaan siis tuloksia enemmän kuin esimerkiksi vain teknologiaan keskittymällä.

Kuitenkin viimeisin kolmesta on mielenkiintoinen ongelma Suomen näkökulmasta. Tutkimustuloksia ei voi johtaa suoraan Suomen toimintaympäristöön, mutta eräs tärkeä havainto meidänkin näkökulmasta löytyy. Tutkimukseen osallistunen henkilöstön osalta potilastiedon tärkeyden merkityksen ymmärtäminen ei vaikuta olevan kovin korkeaa tasoa. Esimerkiksi IT-henkilöstön osalta 58% sanoo, etteivät he ymmärrä potilastiedon tärkeyttä. Tämä yhdistettynä niihin 46 prosenttiin, joissa tietovuodon syynä on kolmas osapuoli antaa ajattelemisen aihetta. Suomessakin ollaan siirtymässä kansallisen lääketietokannan, reseptikeskuksen ja potilastiedon arkistojen käyttäjiksi. Tämä tarkoittaa väistämättä sitä, että potilastiedon kanssa alkaa olla tekemisissä yhä useampia organisaatioita terveydenhuollon ulkopuolelta esimerkiksi tietotekniikkapalveluiden kautta. Suomen terveydenhuolto on laadukasta ja työntekijöiden moraali on korkeaa. Mutta entä niissä yrityksissä, joille terveydenhuollon alan etiikka ei ole tuttua? Etenkin siirtymävaiheen aikana on muistettava kiinnittää huomiota myös siihen, että kolmansien osapuolten henkilöstö on osaavaa, motivoitunutta ja ymmärtää myös tiukkojen säädösten taustalla olevan tarkoituksen.

Olisiko heidät jopa syytä osallistaa vaikkapa tietoturvapoikkeamien hallintaan liittyviin prosesseihin palveluita ostavan terveydenhuollon organisaation toimesta? Ja kummanko organisaation laadun parantaminen on tällöin itse asiassa kyseessä? Ja miten se huomioidaan jo sopimustasolta lähtien?