Second Nature Security Oy / Tiedote 25.10.2020
Maamme terveydenhuollon tietoturvan taso on liian vaihtelevaa, varoittaa yksityisten yritysten ja julkishallinnon toimijoiden tietoturva-aukkoja tutkiva Second Nature Security Oy. Yhtiö tekee vuosittain kymmenien koti- ja ulkomaisten yritysten tilaamina hakkerointeja niiden omiin internetsivustoihin sekä muihin verkkopalveluihin ja tietojärjestelmiin.
– Tilanne on aivan liian vaihteleva eri terveydenhuollon palveluntarjoajien välillä. Usein kiinnitetään kyllä mittavaa huomiota vahvasti säänneltyihin potilastietojärjestelmiin, mutta muu tietoturva jää helposti heitteille, toteaa Second Nature Security Oy:n teknologiajohtaja Juho Ranta.
– Kyse on kuitenkin kokonaisuudesta. Ei auta, että potilastietojärjestelmä on turvallinen, jos lääkärien työasemat ovat turvattomia tai jos vaikkapa varmuuskopioita säilytetään turvattomasti, Ranta korostaa. – Säännösten pitäisi olla paljon nykyistä kattavampia erityisesti potilastietoja käsittelevien organisaatioiden osien kohdalla. Regulaation pitäisi olla tarkempaa ja kaikilta toimijoilta tulisi vaatia esimerkiksi kansainvälisen standardisoimisjärjestön ISO 27001 -mukainen tietoturvan ja -suojan johtamisjärjestelmä, Ranta painottaa.
ISO on julkaissut hiljattain uuden laajennoksen tietoturvan johtamisjärjestelmän standardiinsa. Monilla yrityksillä on jo käytössä ISO 27001 -mukainen tietoturvan johtamisjärjestelmä, mutta uusi ISO/IEC 27701 -laajennos liittää siihen nyt mukaan myös tietosuojan.
– Uusi lisäosa on niin tuore, etteivät kaikki yritykset ja yhteisöt ole sitä vielä huomioineet. Se on kuitenkin erittäin tärkeä kaikille sellaisille tahoille, joiden liiketoimintaan kuuluu henkilötietojen käsittely, koska se kattaa EU:n tietosuoja-asetuksen, GDPR:n, tuomat vaatimukset, Ranta korostaa.
– Jos terveydenhuollon organisaatioiden tietoturvaa ei saada kuntoon, tulemme näkemään isoja ja pienempiä murtoja myös jatkossa. Surullisinta on se, että suurimman riskin kantaa aina asiakas, jonka tiedot varastetaan. Siksi tarvitaan ehdottomasti kattavampaa sääntelyä, jotta terveydenhuollon asiakas voi olla varma, että hänen tietojensa käsittely täyttää vastuullisen käsittelyn kriteerit, Juho Ranta painottaa.
Second Nature Security Oy tutkii yritysten ja julkishallinnon toimijoiden tietoturva-aukkoja tekemällä niiden digitaalisiin palveluihin hallittuja hakkerointi-iskuja. Yhtiön suorittamat hakkeroinnit ovat kohdistuneet satojen koti- ja ulkomaisten yritysten internetsivustoihin sekä muihin verkkopalveluihin ja tietojärjestelmiin. Yhtiö on tehnyt kaikkiaan yli tuhat onnistunutta tietoturvaprojektia ja palvelee yli sataa asiakasta koti- ja ulkomailla. Yhtiö on myös erikoistunut ISO 27701 -vaatimuksenmukaisuuksiin ja niiden mittaamiseen.