Miksi suomalaisten terveystietojen tietoturvaa auditoidaan kevyemmin kuin luottokorttitietojen tietoturvaa?
Niki Klaus
Managing Director, Nixu Certification Oy
Tapaus Vastaamo herätti kylmän suihkun lailla koko yhteiskunnan pohtimaan terveystietojen tietoturvaa. Tässä kirjoituksessa kerron näkemykseni siitä, miten terveystietojen tietoturvaa Suomessa auditoidaan ja vertaan sitä muiden toimialojen tietoturvavaatimuksiin ja auditointeihin.
Vertailen maksukorttiturvaan liittyviä standardeja sekä viranomaisen turvaluokitellun tiedon suojaukseen liittyvää kriteeristöä terveystietojen vastaaviin käytänteisiin. Kaikkia kolmea tietoturvakriteeristöjä yhdistää se, että niiden tehtävä on suojata luottamuksellista tietoa.
Suoritan vertailun muutaman keskeisen periaatteen kautta, jotka määrittelen alla olevassa taulukossa.
Maksukorttitietojen turvallisuus ja PCI
Maksukorttitietojen turvallista käsittelyä kauppiaiden ja palveluntarjoajien osalta säätelee kansainvälinen standardiperhe nimeltä PCI (Payment Card Industry). Sen tunnetuin standardi on PCI DSS (PCI Data Security Standard), joka asettaa vaatimuksia tiedon käsittelylle, siirrolle ja tallennukselle.
PCI DSS syntyi maksukorttiyhtiöiden yhteistyön tuloksena (mm. Visa ja MasterCard), sillä ne halusivat luoda yhteisen standardin maksukorttitietojen suojaamiselle ja samalla siirtää vastuun tiedon suojauksesta sille, joka tietoa käsittelee. Maksukorttitietomurroista on uutisoitu paljon. Näissä uutisissa on käsitelty myös alan kovia sanktioita, mikä osaltaan motivoi standardin noudattamista.
Viranomaisten turvaluokiteltu tieto ja Katakri
Viranomaisten turvaluokitellun tiedon suojausta voidaan arvioida Katakrilla, joka on kansallinen turvallisuusauditointikriteeristö vuodelta 2015. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakria käytetään arvioitaessa viranomaisten tietojärjestelmien turvallisuutta, mutta sitä käytetään myös viranomaisten puolesta tietoa käsittelevien palveluntarjoajien, kuten IT palvelutalojen, arvioinnissa. Näin pyritään varmistamaan, että organisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.
Toisin kuin PCI, Katakri sisältää turvatasoja sen mukaan, miten kriittistä tietoa suojataan. Alin taso on turvaluokka TL IV ja yli taso TL I. Tätä voidaan pitää positiivisena asiana, sillä tiedon ylisuojaaminen on kallista ja vaikeuttaa tiedon käyttöä. Samalla varmistetaan, ettei hyvin arkaluontoista tietoa alisuojata. Näin ollen tiedon oikea luokittelu muodostuu tärkeäksi.
Terveystiedot ja Kanta tietoturvavaatimukset
Terveystietoa käsittelevät tietojärjestelmät on jaettu kahteen luokkaan, A- ja B-luokan järjestelmät. A-luokan järjestelmillä tarkoitetaan niitä tietojärjestelmiä, jotka liittyvät Kelan hallinnoimaan kansalliseen terveysarkistoon, eli Kantaan. B-luokan järjestelmät eivät ole liittyneet Kantaan, eli ne toimivat paikallisesti.
A-luokan järjestelmille on THL:n määrittelemät tietoturvavaatimukset, joita analysoin edellä mainittujen. periaatteiden kautta. Kutsun näitä vaatimuksia Kanta-tietoturvavaatimuksiksi.
B-luokan järjestelmille ei ole pakollista tietoturvatarkastusta. Järjestelmää käyttävä palvelutuottajan joutuu kuitenkin tekemään omavalvontasuunnitelman tietoturvan osalta.
On syytä huomioida, että julkisesti saatavilla olevien tietojen mukaan Vastaamo käytti B-luokan järjestelmää. Tällaista järjestelmää ei tarvitse auditoida, vaan niiden osalta suoritetaan ns. omavalvonta, eli palveluntuottaja täyttää ainoastaan omavalvontalomakkeen.
Vertailu
Alla olevaan taulukkoon on koostettu eroavaisuudet eri viitekehysten välillä.
Yhteenveto
PCI-vaatimusten täyttäminen on useimmiten työlästä, mikä tarkoittaa samalla merkittäviä kustannuksia. Seurauksena tästä on ollut se, että valtaosa kauppiaista on luopunut maksukorttitiedon käsittelystä. Maksukorttitiedon käsittely on siirtynyt palveluntarjoajille, jolloin kauppiaalla ei ole enää edes pääsyä arkaluontoiseen tietoon.
Myös Katakri-vaatimuksenmukaisuuden saavuttaminen ja siihen liittyvä auditointi on raskas prosessi, johon kuluu paljon aikaa, mikä taas osaltaan nostaa kustannuksia. Samalla tavalla kuin PCI, niin myös Katakri ohjaa välttämään turvaluokitellun tiedon tarpeetonta käsittelyä.
Kanta-tietoturva-auditoinnit ovat nopeita suorittaa. Ne kohdistuvat tyypillisesti vain sovellustoimittajaan, eivät käyttöympäristöön, jota valvotaan yleensä vain omavalvonnan kautta. Kevyt auditointi, joka perustuu pääasiassa haastatteluihin, dokumentaation katselmointiin ja havainnointiin, johtaa todistukseen, joka on voimassa jopa 5 vuotta ilman kunnollista seurantakäytäntöä. Tämä ei ole paras mahdollinen lähtökohta, kun puhutaan arkaluontoisesta terveystiedosta.
Tietojen joutuminen vääriin käsiin aiheuttaa aina eri asteisen vahingon eri toimijoille. Luottokorttitietojen suhteen on kyse pääasiassa rahasta ja vaivasta, joka maksukortin uusimiseen liittyy. Korttiyhtiöt ovatkin valmiita sietämään tietyn määrän väärinkäytöksiä vuositasolla, sillä niiden ehkäisy saattaisi maksaa enemmän kuin siitä saavutettava hyöty. Terveystietojen suhteen vahinko on useimmiten huomattavasti vakavampi, eikä helppoja korjaustoimenpiteitä ole olemassa. Toivoimmekin, että asiakastietolain ja sote-uudistuksen yhteydessä asiaan kiinnitetään huomiota, ja tämän myötä auditointikäytännöt päivitetään vastaamaan tämän päivän vaatimuksia.
Vuoden 2020 alkupuolella aloimme tarjota asiakkaillemme Kanta-auditointia, johon kuuluu THL:n vaatimusten auditoinnin lisäksi erilliset tekniset tarkastukset. Uskomme, että tietoturva on sovellustoimittajille niin tärkeä, että tällaiselle palvelulle on kysyntää ilman viranomaisvaatimustakin. Tarjoamme mielellämme myös palvelutoimittajille tarkastuksia, joilla voidaan selvittää käyttöympäristön tietoturvan taso. Tämä kannattaa tehdä ennen tietomurtoa, omavalvonnan hengessä, aivan kuten viranomainen palvelutoimittajilta odottaakin.