Tietomurtojen kustannukset lasketaan miljoonissa ja niiden määrä kasvaa vuosittain, mutta kenellä on vastuu?

Vuonna 2021 Yhdysvalloissa raportoitiin yli 45 miljoonan potilastiedon vaarantuneen, vastaavan luvun ollessa 34 miljoonaa vuonna 2020 ja 14 miljoonaa vuonna 2018. Pelkästään syyskuussa 2020 raportoitiin 95 erillistä tapausta ja nämä 95 tietomurtoa koskettivat yli 9,7 miljoonaa ihmistä. Asiantuntijat uskovat, että tapauksia on vuoden aikana enemmän kuin raportoituja. Tämä johtuu osittain COVID-19 aiheuttamasta kiireestä terveydenhuollon toimijoissa ja myös tyypillisistä havainnointiajoista. IBM:n julkaiseman tutkimuksen mukaan tietomurto havaitaan ja eristetään keskimäärin 287 päivän kuluttua tapahtuneesta. Aika on huomattavan pitkä ja se antaa kuvan toimijoiden kyvykkyydestä havainnoida tapahtumia omassa toimintaympäristössään.

Samassa raportissa IBM arvioi keskimääräisen kustannuksen tapahtuneelle tietomurrolle terveydenhuoltotoimijoilla olevan noin 9,23 miljoonaa USD, mikä on selvästi korkeampi kuin millään muulla toimialalla. Esimerkiksi rahoitusalalla vastaava luku on 5,85 miljoonaa USD. Kustannuksissa otetaan huomioon tietomurron aiheuttamien välittömien kustannusten lisäksi esimerkiksi mahdolliset viranomaisten määräämät sanktiot ja myös tapahtuman aiheuttamat mainehaitat sekä liiketoiminnan tappiot. Tämä on tärkeä huomio. Tietomurron kustannusvaikutukset jakautuvat pidemmälle ajalle ja niitä syntyy merkittävästi myös tapahtuneen tietomurron jälkeen. Lisäksi on arvioitu, että COVID-19 aiheuttamat muutokset tulevat kasvattamaan sekä tietomurrosta aiheutuvia kustannuksia, että havainnointiaikoja. Tämä on jo nyt nähtävissä mm. aiemmin mainittujen yhdysvaltalaisten terveydenhuoltotoimijoiden raportoitujen tapausten määrässä.

Miksi terveys- ja potilastiedot ovat kiinnostavia kohteita rikollisille? Usein puhutaan luotto- tai maksukortteihin liittyvistä rikoksista ja niihin liittyvistä välittömistä riskeistä. Luottokorttivarkaudet ovat toki vaikeita ja niihin kohdistuu erityisesti taloudellisia uhkia. Niihin liittyviin varkauksiin on kuitenkin rakennettu varsin toimivia hallinnointikeinoja, kuten sulkupalveluita, vahvempaa tunnistautumista ostosten yhteydessä ja myös mahdollisia maa- tai aluerajoituksia maksukortin tarjoajan puolelta. Valmiudet liittyvät osin toimialan kehittyneempään ymmärrykseen kyberriskeistä. Potilastietojen kohdalla tilanne on toinen. Menetetty tieto saattaa pitää sisällään mm. henkilötietoja, maksutietoja sekä potilaskertomuksia ja mahdollisia lääkemääräyksiä tai jopa diagnooseja.Tiedoista riippuen niillä voidaan vahingoittaa uhria monin tavoin. Lisäksi potilastiedot ovat luonteeltaan erilaisia kuin maksutiedot.

Tietomurto havaitaan ja eristetään keskimäärin
287 päivän kuluttua tapahtuneesta

Ne ovat henkilökohtaisia ja myös osiltaan pysyviä. Siinä missä maksukortin voi uusia tai joissain maissa jopa henkilötunnuksen vaihtaa, potilas- ja terveystiedot pysyvät. Tietoja voidaan käyttää kiristykseen ja niitä pystytään hyödyntämään uusien tietojen kalastelussa muilta sidosryhmiltä, identiteettivarkauksissa tai joissain tapauksissa tietoja voidaan käyttää jopa vaikuttamiseen.

On arvioitu, että yksittäinen potilastieto, riippuen sen laajuudesta, voi olla yli 10 kertaa arvokkaampi kuin luottokorttitieto. Joissain tapauksissa arviot ovat huomattavasti tätäkin korkeampia.Mikäli potilas- ja terveystiedot ovat sekä haluttuja, että arvokkaita, niin miksi tietoja ei pystytä suojaamaan paremmin? Potilastietojen hallintaan sovelletaan useita lakeja, asetuksia ja ohjeita. Nämä voivat vaihdella alue- ja maakohtaisesti. Yleisesti EU-alueella sovelletaan henkilötietoon EU:n tietosuoja-asetusta ja lisäksi maakohtaisia lakeja esimerkiksi potilasasiakirjoista sekä tietosuojasta.

Ongelmana on, että nämä asetukset ja lait koskevat usein ainoastaan potilastietojärjestelmää ja niiden tila tarkastetaan dokumentaation tai haastattelujen perusteella. Välttämättä ympäristön tietoteknistä ratkaisua ei puolestaan todenneta riittävällä tasolla. Tai pahimmassa tapauksessa sitä ei todenneta lainkaan. Toimijoiden ympäristöt voivat olla erittäin monimutkaisia ja saattavat pitää sisällään useita eri järjestelmiä sekä laitteita, joiden tilaa ei valvota tai ylläpidetä. Esimerkiksi sairaalaympäristössä olevien lääkintä- sekä mittalaitteiden pääsynhallinta voi olla puutteellista.

Tietosuoja ja tietoturva ovat molemmat keskeisessä osassa kyberturvallisuuden kokonaisuuden hallintaa. Ne ovat myös keskeisessä roolissa potilas- ja terveystietojen suojaamisessa. Tämän päivän digitaalisessa toimintaympäristössä yritykset ja toimijat ovat yhteydessä internetiin ja siten myös alttiita kyberhyökkäyksille. Kun kokonaisuutta tarkastellaan julkisuuteen tulleiden tapausten myötä, on selvää, että kyberympäristöön liittyviin uhkakuviin ei suhtauduta riittävällä vakavuudella. Kyseessä ei kuitenkaan välttämättä ole välinpitämättömyys tai edes vaaditut investoinnit, vaan yksinkertaisesti kyse voi olla ymmärtämättömyydestä.

Ymmärtämättömyys ei kuitenkaan poista vastuuta potilasturvallisuudesta tai henkilötiedoista. Vastuu on aina viime kädessä ylimmällä johdolla ja hallituksella. Tämä ei kuitenkaan tarkoita ymmärryksen kerryttämistä ainoastaan ylimpään johtoon, vaan ymmärryksen kehittäminen tulisi nähdä koko organisaation läpi menevänä kehityskohteena. Ymmärrys kulminoituu usein osaamiseen ja juuri osaamisen kehittäminen läpi organisaatiorakenteen on yksi johdon tärkeimpiä tehtäviä, kun pyritään varautumaan digitalisaation tuomiin uhkakuviin.

Lokakuu 2020, 9.7 miljoonaa:
https://www.hipaajournal.com/october-2020-healthcare-data-breach-report

IBM:
https://www.ibm.com/security/data-breach

2021 H2 Healthcare Data Breach Report:
https://cybersecurity.criticalinsight.com/2021_H2_HealthcareDataBreachReport

Artikkelin kirjoittaja Markku Korkiakoski on kyberturvallisuuden asiantuntija ja operatiivinen johtaja Netox Oy:llä.