Tietoturvallisuus - HaiPro

Tietoturvallisuus- haaste tiedonhallinnassaKaija Saranto, professoriSosiaali- ja terveydenhuollon tietohallintoSosiaali- ja terveysjohtamisen laitos

Sosiaali- ja terveydenhuollontietohallinnon koulutusohjelma•ainoa laatuaan Suomessa, vuodesta 2000•alkoi muuntokoulutuksena, vakinaistettiin 2005•monitieteinen, sosiaali- ja terveydenhuollontiedonhallintaa ja palvelujärjestelmää laaja-alaisestihahmottava maisteriohjelma•valmistuneita yli 80•sivuaineopiskelijoita useilta laitoksilta•jatko-opiskelijoita 162

Maisterikoulutuksen tavoitteena• antaa valmiuksia– sosiaali- ja terveydenhuollon tietoresurssienhyväksikäytön suunnitteluun, johtamiseen,toteutukseen ja seurantaan– tietotekniikan ja tietojärjestelmien kehittämiseensosiaali- ja terveysalan erityispiirteet huomioiden– monialaisiin tutkimus- ja kehittämistehtäviinSHIFTEC - Social and Health Information TechnologyResearch Unithttp://www.uef.fi/stj/3

Tiedonhallinnan tutkimuskohteita

Esityksen sisältöTietoturvallisuus käsitteenäTietoturvallisuuden osatekijätTietoturvallisuuden vahvistaminenTutkimustuloksia

Tietojen turvaaminen, mitä se on?– Tietojen turvaaminen on organisaation toiminnan turvaamista– Tietojen turvaaminen on henkilöiden oikeuksien turvaamista– Tietojen turvaaminen on jokaisen henkilön velvollisuus– Tietojen turvaaminen on edellytys, joka pitää täyttäävoidaksemme ylläpitää sivistyneen yhteiskunnan6

Tietoturvallisuus käsitteenä•Tietosuojalla on perinteisesti ymmärretty henkilötietolainhenkilötietojen käsittelyä koskevien vaatimusten huomioonottamista yksityisten henkilöiden yksityisyyden ja oikeusturvanvarmistamiseksi.•Tietosuojan tarkoituksena on näin ollen turvata tiedon kohteen(data subject) yksityisyys sekä edut ja oikeusturva.Ylipartanen A. 20107

Tietoturvallisuus käsitteenä..•Tietoturvalla tarkoitetaan toimenpiteitä, joilla yksityisyydensuojaamiseen pyritään. Näitä ovat ennen muuta tiedon laadun jaeheyden koskemattomuuden (integriteetin) säilyttäminen sekäsuojaaminen teknisin keinoin.•Tietoturvalla tarkoitetaan toisin sanoen niitä käytännöntoimenpiteitä, joilla pyritään tietosuojan toteuttamiseen, kutentoimitilojen turvaaminen, vakuutukset, jatkuvuussuunnittelu jahallinto.Ylipartanen A. 20108

Tietoturvallisuuden johtaminen•Organisaation johdon vastuulla•Lainsäädännön tuki kehittymässäTietoturvallisuuden kypsyystasot:•aloittava,•toistettava, ei organisoitu ( tässä on pääosa julkisista organisaatioista)•määritelty ja organisoitu•hallittu•optimoituva

Laki sosiaali- ja terveydenhuollonasiakastietojen sähköisestä käsittelystä(9.2.2007/159)•6 luku, Erinäiset säädökset20 §, Ohjaus, valvonta ja seuranta:"Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavanjohtajan tulee antaa kirjalliset ohjeet «asiakastietojen» käsittelystäja noudatettavista menettelytavoista sekä huolehtiahenkilökunnan riittävästä asiantuntemuksesta ja osaamisesta«asiakastietojen» käsittelyssä.Lisäksi jokaisella palvelujen antajalla, Kansaneläkelaitoksella jaTerveydenhuollon oikeusturvakeskuksella on oltava seurantajavalvontatehtävää varten tietosuojavastaava".

Tietoturvallisuuden osatekijät•Tietojen saatavuus (availability)– Varajärjestelyt– Käyttötarkoitus•Tietojen oikeellisuus ja eheys (integrity)•Tietojen luottamuksellisuus (confidentiality)– Valtuudet (authorisation)– Henkilöiden tunnistaminen (identification)– Todentaminen (authentication)– Valtuuksien määrittely (priviledge management)•Tietojen käyttöjäljitettävyys (logging, audit trail)tarkastettavuus (auditability)tilivelvollisuus (accountability)Tammisalo 2005

Tietoturvan osa-alueetTietoturva (ISO/IEC17799*; Tammisalon soveltamana)TietoturvapolitiikkaTietoturvallisuuden hallinnointi ja organisaatioOmaisuuden hallintaHenkilöstöturvallisuusFyysisen ympäristön turvallisuusTietojärjestelmien käytön ja tiedonvälityksen turvallisuusPääsynhallintaTietojärjestelmien kehitys ja ylläpitoToiminnan jatkuvuusLaillisuus ja sääntöjen mukaisuusPoikkeustilanteet* Code of Practice for Information Security Management

Tietoturvapolitiikka•Johdon kannanotto ja julkilausuma organisaationtietoturvallisuuden toteuttamiseen•Tietojenkäsittelyn turvaamisen tavoitteet, periaatteet ja mitenturvaamistoiminta käytännössä hoidetaan

Tietoturvallisuuden hallinnointi•"truismit":1.Käyttäjät tekevät huolimattomuusvirheitä2.Käyttäjät eivät omaksu kaikkia toimintatapoja ja ohjeita vaankäyttävät oikoteitä3.Pääkäyttäjät voivat olla ”pahantahtoisia”4.Verkkohyökkäyksiä yritetään5.Työasemia käytetään siten, että mahdollisuus erilaisten virustenleviämiseen on mahdollista

..truismit6. järjestelmissä on toimintahäiriöitä7. järjestelmät sijaitsevat paikassa x, varmistusmediat paikassa y8. kaikki ulkoinen tietoliikenne on suojattu palomuurilla9. työasemissa ei ole korppu- tai cd-asemia, muistitikkuja vapaasti10. toimitiloissa on käytössä kulunvalvonta11. kiinteistössä ei voi liikkua ilman kulkukorttia

Tietoturvallisuuden vahvistaminenTero Tammisalo (2005).Sosiaali- ja terveydenhuollontietojärjestelmien tietoturvan jatietosuojan hallinnan periaatteetja hyvät käytännöt. Stakes.Helsinki. Verkkojulkaisu:http://www.stakes.fi/verkkojulkaisut/raportit/Ra5-2005.pdf.

Henkilöstöturvallisuus•Tarkastukset työsuhteen solmimisen yhteydessä•Sopimukselliset velvoitteet•Tietoturvavastuiden määrittäminen•Tietoturvavastuista tiedottaminen•Tietoturvatietoisuus, -osaaminen ja -koulutus•Toiminta tietoturvaloukkauksissa•Toimenpiteet työsuhteen loppuessa

Henkilöstöturvallisuus..•Tietojen rakenteet ja työskentelytilojen ympäristö•Kulunvalvonta•Toimistotilojen ja työhuoneiden suojaus•Työskentely korkean turvallisuuden tiloissa•Laitteistojen huolto•Laitteistojen sijoitus ja suojaus organisaation tiloissa•Lastaus- ja purkualueet

Tietojärjestelmien käytön ja tiedonvälityksenturvallisuus•Prosessikuvaukset, toimintaohjeet ja käyttöohjeet•Muutoksen hallinta•Kolmansien osapuolten palvelut•Tietojärjestelmien ja tietoverkkojen hoito•Käyttäjien velvollisuudet•Haittaohjelmista suojautuminen•Turvatekniikat: kryptografia ja PKI

Tietojärjestelmien kehitys ja ylläpito•Vaatimukset tietojärjestelmien turvallisuudelle•Tietojärjestelmien ja sovellusten sisäinen tietoturva•Lähdekoodi•Muutoksen hallinta

Laillisuus ja sääntöjen mukaisuus•Noudatettavat lait•Standardit ja muut säännöt•Sopimukset, politiikat ja muut organisaation asiakirjat

Poikkeustilanteet•Toiminnan määrittelyt•Tietojärjestelmien tapahtumien, käytön ja vikojen kirjaaminen•Muut valvontakeinot•Seuranta•Hälytykset ja raportointi•Poikkeamien käsittely ja seuraamukset•Mittaaminen ja kehittäminen

Uhkien ja riskien hallintaTyypillisimpiä uhkia voidaan torjua:•Organisoimalla ja vastuuttamalla,•Tiedottamalla ja kouluttamalla•Tarpeellisten standardien ja teknologioiden hyödyntämisellä•Palautteen antamisella ja•Solmituilla sopimuksilla

Tutkimustuloksia jakehittämisehdotuksia

Tutkimustuloksia: organisaationtietoturvallisuuden kehittäminen*•Tietoturvallisuuden alueella käsitteet ovat usein epäselviä•Asioista yhteisistä pelisäännöistä sovittava•Tietosuojalainsäädännön vaatimukset voidaan toteuttaaasianmukaisesti vain, jos toimivalta ja vastuukysymykset ovatselkeät•Henkilöstöllä on muutamia mahdollisuuksia vaikuttaavalmisteltaviin asioihin, kuten tietoturvapolitiikkaan.*Reponen K 2007.

...Tutkimustuloksia*•Potilastietojärjestelmän käytön valvontaa toteutetaanlainmukaisesti lokitiedostoa keräämällä ja siihen pistokokeitatekemällä•Koulutuksen ja tiedottamisen tärkeys korostuihaastatteluaineistossa•Tietoturvarikkomusten ehkäisy, ei ainoastaan sanktiot ja niidenkoventaminen käytössä•Tietoturvallisuuden kehittämisen lähtökohta on kattavastitoteutettu riskianalyysitietoihin kohdistuvista uhista.*Reponen K. 2007

Yhteenveto•Tietoturvallisuuteen yhdistettävät tapaukset aiheuttavat runsaastilisätyötä yksiköille sekä harmia potilaille, omaisille jopaulkopuolisille•Vaitiolovelvollisuus vaarantuu•Potilaan yksityisyyden suoja vahingoittuu•Toisinaan tietojärjestelmän käyttöliittymä voi edesauttaa vääränpotilaan valinnassa, haittana myös tietojärjestelmän käytönosaamattomuus•Syynä useimmiten inhimillinen virhe, käytännöt ja sopimuksetpettävät kun työprosessit ovat epäselvät

Tervetuloa Kuopioonpotilasturvallisuuden tutkimuspäiville26.1.–27.1.2011

Kiitos!kaija.saranto@uef.fi

Materiaalia•Juhani Paavilainen (1998). Tietoturva. ATK-kustannus. Helsinki•Irma Pahlman (toim.). (2005). Asiakirjajulkisuus ja tietosuojasosiaali- ja terveydenhuollossa. Edita. Helsinki.•Hannu Sorvari (2001). Asiakastiedon suoja sosiaalihuollossa.Kustannusosakeyhtiö Tammi. Helsinki.•Tero Tammisalo (2005). Sosiaali- ja terveydenhuollontietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet jahyvät käytännöt. Stakes. Helsinki. Verkkojulkaisu:http://www.stakes.fi/verkkojulkaisut/raportit/Ra5-2005.pdf.•Arto Ylipartanen (2010). Tietosuoja terveydenhuollossa.Tietosanoma, Helsinki.•Tietosuojavaltuutetun nettisivusto