Miljoonien tietomurrot
Vuonna 2021 Yhdysvalloissa raportoitiin yli 45 miljoonan potilastiedon vaarantuneen, vastaavan luvun ollessa 34 miljoonaa vuonna 2020 ja 14 miljoonaa vuonna 2018. Pelkästään syyskuussa 2020 raportoitiin 95 erillistä tapausta ja nämä 95 tietomurtoa koskettivat yli 9,7 miljoonaa ihmistä. Asiantuntijat uskovat, että tapauksia on vuoden aikana enemmän kuin raportoituja. Tämä johtuu osittain COVID-19 aiheuttamasta kiireestä terveydenhuollon toimijoissa ja myös tyypillisistä havainnointiajoista. IBM:n julkaiseman tutkimuksen mukaan tietomurto havaitaan ja eristetään keskimäärin 287 päivän kuluttua tapahtuneesta. Aika on huomattavan pitkä ja se antaa kuvan toimijoiden kyvykkyydestä havainnoida tapahtumia omassa toimintaympäristössään. Samassa raportissa IBM arvioi keskimääräisen kustannuksen tapahtuneelle tietomurrolle terveydenhuoltotoimijoilla olevan noin 9,23 miljoonaa USD, mikä on selvästi korkeampi kuin millään muulla toimialalla. Esimerkiksi rahoitusalalla vastaava luku on 5,85 miljoonaa USD. Kustannuksissa otetaan huomioon tietomurron aiheuttamien välittömien kustannusten lisäksi esimerkiksi mahdolliset viranomaisten määräämät sanktiot ja myös tapahtuman aiheuttamat mainehaitat sekä liiketoiminnan tappiot. Tämä on tärkeä huomio. Tietomurron kustannusvaikutukset jakautuvat pidemmälle ajalle ja niitä syntyy merkittävästi myös tapahtuneen tietomurron jälkeen. Lisäksi on arvioitu, että COVID-19 aiheuttamat muutokset tulevat kasvattamaan sekä tietomurrosta aiheutuvia kustannuksia, että havainnointiaikoja. Tämä on jo nyt nähtävissä mm. aiemmin mainittujen yhdysvaltalaisten terveydenhuoltotoimijoiden raportoitujen tapausten määrässä.
Potilastietoja voidaan hyödyntää laajasti
Miksi terveys- ja potilastiedot ovat kiinnostavia kohteita rikollisille? Usein puhutaan luotto- tai maksukortteihin liittyvistä rikoksista ja niihin liittyvistä välittömistä riskeistä. Luottokorttivarkaudet ovat toki vaikeita ja niihin kohdistuu erityisesti taloudellisia uhkia. Niihin liittyviin varkauksiin on kuitenkin rakennettu varsin toimivia hallinnointikeinoja, kuten sulkupalveluita, vahvempaa tunnistautumista ostosten yhteydessä ja myös mahdollisia maa- tai aluerajoituksia maksukortin tarjoajan puolelta. Valmiudet liittyvät osin toimialan kehittyneempään ymmärrykseen kyberriskeistä. Potilastietojen kohdalla tilanne on toinen. Menetetty tieto saattaa pitää sisällään mm. henkilötietoja, maksutietoja sekä potilaskertomuksia ja mahdollisia lääkemääräyksiä tai jopa diagnooseja.Tiedoista riippuen niillä voidaan vahingoittaa uhria monin tavoin. Lisäksi potilastiedot ovat luonteeltaan erilaisia kuin maksutiedot.
Tietomurto havaitaan
ja eristetään keskimäärin
287 päivän kuluttua tapahtuneesta
Ne ovat henkilökohtaisia ja myös osiltaan pysyviä. Siinä missä maksukortin voi uusia tai joissain maissa jopa henkilötunnuksen vaihtaa, potilas- ja terveystiedot pysyvät. Tietoja voidaan käyttää kiristykseen ja niitä pystytään hyödyntämään uusien tietojen kalastelussa muilta sidosryhmiltä, identiteettivarkauksissa tai joissain tapauksissa tietoja voidaan käyttää jopa vaikuttamiseen. On arvioitu, että yksittäinen potilastieto, riippuen sen laajuudesta, voi olla yli 10 kertaa arvokkaampi kuin luottokorttitieto. Joissain tapauksissa arviot ovat huomattavasti tätäkin korkeampia.Mikäli potilas- ja terveystiedot ovat sekä haluttuja, että arvokkaita, niin miksi tietoja ei pystytä suojaamaan paremmin? Potilastietojen hallintaan sovelletaan useita lakeja, asetuksia ja ohjeita. Nämä voivat vaihdella alue- ja maakohtaisesti. Yleisesti EU-alueella sovelletaan henkilötietoon EU:n tietosuoja-asetusta ja lisäksi maakohtaisia lakeja esimerkiksi potilasasiakirjoista sekä tietosuojasta. Ongelmana on, että nämä asetukset ja lait koskevat usein ainoastaan potilastietojärjestelmää ja niiden tila tarkastetaan dokumentaation tai haastattelujen perusteella. Välttämättä ympäristön tietoteknistä ratkaisua ei puolestaan todenneta riittävällä tasolla. Tai pahimmassa tapauksessa sitä ei todenneta lainkaan. Toimijoiden ympäristöt voivat olla erittäin monimutkaisia ja saattavat pitää sisällään useita eri järjestelmiä sekä laitteita, joiden tilaa ei valvota tai ylläpidetä. Esimerkiksi sairaalaympäristössä olevien lääkintä- sekä mittalaitteiden pääsynhallinta voi olla puutteellista.
Osaamisen kehittäminen osana varautumista
Tietosuoja ja tietoturva ovat molemmat keskeisessä osassa kyberturvallisuuden kokonaisuuden hallintaa. Ne ovat myös keskeisessä roolissa potilas- ja terveystietojen suojaamisessa. Tämän päivän digitaalisessa toimintaympäristössä yritykset ja toimijat ovat yhteydessä internetiin ja siten myös alttiita kyberhyökkäyksille. Kun kokonaisuutta tarkastellaan julkisuuteen tulleiden tapausten myötä, on selvää, että kyberympäristöön liittyviin uhkakuviin ei suhtauduta riittävällä vakavuudella. Kyseessä ei kuitenkaan välttämättä ole välinpitämättömyys tai edes vaaditut investoinnit, vaan yksinkertaisesti kyse voi olla ymmärtämättömyydestä. Ymmärtämättömyys ei kuitenkaan poista vastuuta potilasturvallisuudesta tai henkilötiedoista. Vastuu on aina viime kädessä ylimmällä johdolla ja hallituksella. Tämä ei kuitenkaan tarkoita ymmärryksen kerryttämistä ainoastaan ylimpään johtoon, vaan ymmärryksen kehittäminen tulisi nähdä koko organisaation läpi menevänä kehityskohteena. Ymmärrys kulminoituu usein osaamiseen ja juuri osaamisen kehittäminen läpi organisaatiorakenteen on yksi johdon tärkeimpiä tehtäviä, kun pyritään varautumaan digitalisaation tuomiin uhkakuviin.
Lue lisää
Lokakuu 2020, 9.7 miljoonaa:
https://www.hipaajournal.com/october-2020-healthcare-data-breach-report
IBM:
https://www.ibm.com/security/data-breach
2021 H2 Healthcare Data Breach Report:
https://cybersecurity.criticalinsight.com/2021_H2_HealthcareDataBreachReport
Teksti: Markku Korkiakoski
Artikkelin kirjoittaja Markku Korkiakoski on kyberturvallisuuden asiantuntija ja operatiivinen johtaja Netox Oy:llä. Markku Korkiakoski on myös aktiivisesti mukana kyberturvallisuustoimialan kehittämisessä, tutkimuksessa sekä kansainvälisessä yhteistyössä.
Netox on TIVIA-kumppani.
Lue lisää TIVIA-kumppanuudesta
TIVIA News on TIVIAn jäsenlehti, jonka ensimmäinen numero ilmestyi kesäkuussa 2016. Lehti ilmestyy myös osana painettua Tivi-lehteä.
TIVIA Newsin artikkelit julkaistaan myös digitaalisina versioina TIVIAn verkkosivustolla, jossa ne ovat myös vapaasti luettavissa. Lisäksi TIVIA Newsin digitaalinen näköislehti on vapaasti luettavissa TIVIAn verkkosivustolla.
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
Omat tagit
TIVIA ry - Asiantuntijat ja yhteyshenkilöt
TIVIA ry - Muita referenssejä
TIVIA ry - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
- Laura - Hankinta-asiantuntija, tietohallinto
- Laura - Development Manager, Operations
Premium-asiakkaiden viimeisimmät referenssit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
- Kisko Labs Oy - Sanoma Pro: Multimediasisältöjen hallinnan uudistaminen
- Kisko Labs Oy - Svean helppokäyttöinen palvelu asiakkaan verkko-ostosten hallintaan
- Kisko Labs Oy - Yhtenäinen käyttöliittymä luovien alojen ammattilaisille
- Codemate - Digitaalisen murroksen nopeuttaminen Flutterin avulla
Tapahtumat & webinaarit
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
- 27.11.2024 - Digitaalisen asiakaskokemuksen uusi aikakausi
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
Premium-asiakkaiden viimeisimmät bloggaukset
- Kisko Labs Oy - Heroku: Millaisiin projekteihin se sopii ja mitkä ovat sen todelliset hyödyt ja haitat?
- Zimple Oy - Pipedrive vai Hubspot? Kumpi kannattaa valita?
- SC Software Oy - Jatkuvat palvelut – asiakaslähtöistä kumppanuutta projekteista ylläpitoon
- Timeless Technology - Ohjelmoitavat logiikat (PLC): Ratkaisevat työkalut automaatioon ControlByWebiltä.
- Kisko Labs Oy - Heroku: Ohjelmistokehittäjän ykköstyökalu skaalautuvien sovellusten rakentamiseen
- SD Worx - Näin luot vakuuttavan Business Casen palkkahallinnon ulkoistukselle
- Timeless Technology - Kyberriskien tunnistaminen Profitap IOTA verkkoanalysaattorin avulla.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |