Ads 468x60px

perjantai 27. kesäkuuta 2014

KPMG:n ja kumppaneiden tietoturvaristeily 21.8.-22.8.2014









KPMG:n ja kumppaneiden tietoturvaristeily 21.8.-22.8.2014



 




Toivotamme teidät lämpimästi tervetulleeksi perinteiselle tietoturvaristeilylle joka järjestetään Silja Europalla. Tarjolla
on tuttuun tapaan kattaus ajankohtaisia tietoturva-asioita ja mielenkiintoisia keskusteluja, verkostoitumista KPMG:n asiantuntijoiden ja kumppanien kanssa, mukavaa yhdessäoloa unohtamatta!


Laiva on Silja Europa, kokoonnumme klo 16.30 lippujen jakoon Länsiterminaalin  toiseen kerrokseen. Laivaan siirtyminen klo 17 alkaen.
Hinta osallistujille  250 € + alv / henkilö.

Osallistujamaksu sisältää laivamatkat, hytit ja ohjelmaan sisältyvät ruokailut, ruokajuomat sekä seminaariohjelman.

Katso tarkempi ohjelma tästä!

Viimeinen ilmoittautuminen maanantaina 14.7.2014


Ilmoittautuminen




 
Yhteistyökumppani
 






 
Yhteistyökumppani 
 
   




 
Yhteistyökumppani
 
   
 
     




Facebook
LinkedIn
Blogi
Youtube



Mikäli et halua jatkossa KPMG:n sähköistä markkinointipostia, ilmoitathan siitä meille tästä.
Osoitelähde: KPMG:n asiakas- ja markkinointirekisteri
© 2014 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.



torstai 26. kesäkuuta 2014

Vuonna 1984/2014

"Juuri nyt ajomatka kohteeseen Töölönlahdenkatu kestäisi 16 minuuttia." - iPhone-käyttäjät saivat iOS 7 -päivityksen myötä liudan uusia ominaisuuksia, joista tuo edellä mainittu sitaatti ilmoituskeskuksesta on yksi esimerkki. Kiva ja hyödyllinen uusi ominaisuus, vai mitä?

"Juuri nyt ajomatka kotiin kestäisi 10 minuuttia." - Hetkinen, kuka kertoi puhelimelleni missä asun? Todennäköisesti ei kukaan, vaan puhelimeni on päätellyt asian siitä missä nukun yöni. Tämä muuttaa em. ominaisuuden jo asteen pelottavammaksi. Lisäksi puhelimeni tietää, että maanantaisin ja tiistaisin en yleensä olekaan menossa Töölönlahdenkadulle, vaan toiseen osoitteeseen.

Tokihan voisin iPhonen asetuksista kääntää pois päältä sijaintipalveluiden käytön, mutta tarvitsen niitä muihin tarkoituksiin, joten en tee niin, vaan jatkan käyttöä.

Seuraavaksi törmään asiaan käytyäni bisneslounaalla erään asiakkaan edustajan kanssa. Lounaan jälkeen huomaan että puhelimeni facebook-sovellus ehdottaa minulle ihmisiä, joita saatan tuntea. Listalla on asiakkaan edustaja, jonka kanssa juuri olin lounaalla. Johtuuko tämä siitä, että:

a) olemme Linkedin -kontakteja
b) hän kävi ennen tai jälkeen lounaan katsomassa julkisen facebook-profiilini
c) puhelimemme sijaintitiedot kertoivat että viivyimme tasan saman aikaa samassa paikassa puolen metrin etäisyydellä toisistamme vai
d) kaikkien edellisten yhdistelmästä?

En hyväksy sovelluksen ehdotusta, koska emme tunne kuitenkaan henkilökohtaisella tasolla riittävän hyvin. Meillä ei ole facebookissa yhteisiä tuttuja, joten epäilen sen johtuneen myöskään yksistään b)-kohdasta. Todennäköisesti puhelimemme, joku kolmannen osapuolen sovellus tai mainosoperaattori on yhdistellyt sijaintitietojamme muihin tietoihin.

Eihän ihmisten valvonta ja profilointi sekä tietojen kerääminen ja yhdistely mitään ihmeellistä nykypäivänä ole. Edward Snowden toi tasan vuosi sitten julki koko maailmalle NSA:n systemaattisen tietojen keräämisen ja valvonnan (Blogissamme esitellyt NSA:n vakoilutyökalut), jonka tietoturva-ammattilaiset ja monet muut ovat tienneet jo vuosikausia. Itse kuulin ensimmäisen kerran Echelon-ohjelmasta jo 90-luvulla. Yhdysvallat kielsi Echelonin ja NSA:n (No Such Agency) olemassaolon vielä vuoteen 2000 asti. Toki isonveljen valvonta ja NSA sai lisäpuhtia ja resursseja 911-iskujen jälkeen 26.10.2001 säädetyn Patriot Actin kautta. Kirjoitin jo ennen Snowdenin paljastuksia huhtikuussa 2013 blogitekstin, jossa viittasin ongelmiin mitä saattaa syntyä pilvipalvelujen käytöstä ja tietojen luovuttamisesta yhdysvaltain viranomaisille Patriot Act:in mukaan. Orwell tiesi asian jo vuonna 1948 kirjoittaessaan otsakkeessa viitattua kirjaansa.

Kerron vielä yhden esimerkin, joka viimeistään konkretisoi sijaintipalveluiden käytön ja tietojen yhdistelyn pahimmat puolet. Ystäväni kysyi minulta, miksi facebook ehdottaa hänelle arvostelua  Jorvin lastentautien poliklinikasta samana päivänä, kun hänen vaimonsa on käyttänyt heidän lastaan paikassa. Hän itse ei ollut käynyt lähelläkään Jorvia kyseisenä päivänä, eikä edes lähiaikoina. Hänen vaimonsa ei ole facebookissa, ja heillä on eri merkkiset puhelimet (iPhone ja Lumia). Voihan asia ja ehdotus olla sattumaakin, mutta ainakin itse mietin tapahtuneen jälkeen facebookin ehdotuksia ja suosituksia ihan eri tavalla kuin aiemmin. Yllättävän moni tietää missä olet tänä kesänä!

Hyvää kesää kaikille blogimme lukijoille!

perjantai 13. kesäkuuta 2014

Pettikö eResepti oikeasti?


Sosiaalisessa mediassa on herännyt paljon keskustelua eilen julkaistun artikkelin pohjalta, jossa käsiteltiin eReseptin väärinkäytöstä. Artikkelin mukaan tuntematon henkilö oli onnistunut nostamaan toiselle henkilölle kuuluvia lääkkeitä ilman asianomaisen hyväksyntää. Apteekkariliiton farmaseuttisen johtajan Sirpa Peuran mukaan tapaus olisi Suomen ensimmäinen eReseptiin liittyvä petosepäilys.

Kaikkialla Suomessa ollaan vaiheittain siirtymässä käyttämään sähköistä eReseptiä. Lääkärin määrätessä sähköisen reseptin, reseptin tiedot tallennetaan reseptikeskukseen. Lääkärin vastaanotolla potilaalle tulostetaan paperinen potilasohje, johon on merkitty määrättyjen lääkkeiden nimet ja annosteluohjeet sekä potilaan nimi ja syntymäaika.

Apteekissa asioidessa henkilön on mahdollista nostaa sähköisessä reseptissä olevat lääkkeet näyttämällä lääkkeisiin kirjoitettu potilasohje tai Kela-kortti. Myös toisen henkilön on mahdollista hakea lääkkeet apteekista henkilön puolesta, kun hänellä on mukanaan potilaan Kela-kortti tai lääkkeisiin kirjoitettu potilasohje.

Mahdollisuus eReseptin väärinkäytökseen voi syntyä esimerkiksi potilaan heittäessä saamansa potilasohjeen paperinkeräykseen, josta sen joku löytää ja käy luvattomasti nostamassa lääkkeet apteekista. Kela-kortin esittäminen lääkkeitä haettaessa ei ole pakollista, sillä se oikeuttaa ainoastaan Kela-korvaukseen. Kela-korttia ei siis käytetä henkilön tunnistamiseen. Heittäessäsi potilasohjeen paperinkeräykseen ennen lääkkeiden nostoa on siis täysin mahdollista, että joku käy lunastamassa lääkkeet ennen sinua.

Toinen mahdollinen väärinkäytös voi syntyä jos potilas hukkaa tai häneltä varastetaan Kela-kortti. Lääkkeet kun on mahdollista nostaa pelkällä Kela-kortilla. Tällaisessa tapauksessa väärinkäyttäjän ei kuitenkaan ole mahdollista tietää onko henkilötunnukseen yhdistetty reseptejä. Kiinni jäämisen riski ei kuitenkaan ole kovin suuri, sillä on helppo syyttää järjestelmän toimimattomuutta ja väittää, että järjestelmässä pitäisi olla lääkkeitä.

Perinteiseen paperiseen reseptiin verrattuna eResepti tarjoaa erittäin suuren parannuksen väärennettyjen reseptien torjuntaan. Apteekit ovat lähivuosina ilmoittaneet satoja yrityksiä ostaa lääkkeitä väärennetyillä resepteillä. Paperisten reseptien vähentyessä myös väärennökset on helpompi huomata sillä sellaisen käyttö herättää enemmän huomiota. Sähköistä reseptiä käyttäessä reseptin tulee löytyä reseptikeskuksesta, muussa tapauksessa lääkkeitä ei voi nostaa. Reseptikeskuksen, apteekkijärjestelmien, potilastietojärjestelmien ja välittäjätahojen tietoturvallisuuden varmistamiseksi on näille määritelty auditointivaatimukset, jotka organisaatioiden ja järjestelmien tulee täyttää ennen kuin järjestelmä voidaan kytkeä kansalliseen terveysarkistoon (KanTa). Näin voidaan varmistua reseptitietojen muuttumattomuudesta ja sähköisen käsittelyn tietoturvallisuudesta. Väärinkäytöksien mahdollisuus on edelleen suurin apteekin päässä, jossa potilaan tunnistaminen on heikkoa.

Potilasohjeen merkitystä eReseptin käytössä on myös syytä pohtia. Väärinkäyttäjän on mahdollista saada yksittäisestä potilasohjeesta potilaan nimi, syntymäaika ja määrätyt lääkkeet, sekä nostaa nämä ilman erillistä tunnistautumista. Onko siis tarpeellista kertoa potilaalle määrätty lääkitys helposti hukattavassa paperi muodossa, kun samat tiedot on turvallisesti tallennettuna sähköiseen arkistoon? 


Väärinkäytöksien ehkäisemiseksi apteekkeja on ohjeistettu suorittamaan apteekkien auditointivaatimuksia koskeva itsearviointi, jossa vaatimuksessa 83 määritellään seuraavasti: "Ennen tietojen hakua reseptikeskuksesta lääkkeen ostajan tulee luotettavasti osoittaa, että hänellä on oikeus ostaa lääke." Tähän mennessä potilasohjetta tai Kela-korttia on pidetty tarpeeksi luotettavana osoituksena lääkkeen osto-oikeudesta. Väärinkäyttötapaus on selkeästi osoittanut, että tunnistaminen ei ole tarpeeksi vahva ja apteekit tulee ohjeistaa tunnistamaan reseptejä noutavat asiakkaat vahvantunnistuksen avulla ja estää lääkkeiden nostaminen pelkän potilasohjeen tai Kela-kortin avulla. Väärinkäytöksiä voidaan paremmin ehkäistä esimerkiksi käyttämällä tunnistamiseen virallista henkilöllisyystodistusta ja kirjaamalla lääkkeitä nostavan henkilön henkilötunnus sähköiseen järjestelmään. Toinen mahdollinen tapa on Kela-korttien päivittäminen tukemaan vahvaatunnistaumista sirulla ja PIN-koodilla, jolloin voidaan riittävällä tasolla varmistua, siitä että lääkkeiden nostaja on siihen valtuutettu.