Ads 468x60px

maanantai 14. syyskuuta 2015

Potilastiedot alttiina hakkereille


Potilastiedot ovat nykyisin huomattavasti arvokkaampia tietomurtojen tekijöille kuin pankki- ja luottokorttitiedot sillä henkilötietojen muuttaminen ei ole yhtä yksinkertaista kuin luottokortin kuolettaminen. Tästä syystä kiinnostus potilastietojen anastamiselle on kasvanut eksponentiaalisesti, mutta sosiaali- ja terveydenhuollon palveluntarjoajien kyky tietojen suojaamiseen ei välttämättä ole kasvanut samaa tahtia.
 
KPMG:n (US) julkaiseman ”2015 KPMG Healthcare Cybersecurity” –tutkimuksen mukaan 80 prosenttia terveydenhuollon johtajista kertoo, että heidän organisaation tietoturva on vaarantunut haittaohjelman, palvelunestohyökkäyksen tai muun kyberhyökkäyksen seurauksena viimeisen kahden vuoden aikana.



Havaittujen hyökkäysten matala määrä kertoo siitä, että organisaatiot eivät ymmärrä, seuraa, raportoi tai hallitse uhkia tehokkaasti. Suurimmalla osalla organisaatiosta ei ole käytössä kehittyneitä poikkeamienhallinta prosesseja, jonka seurauksena uhkien hallinta ei ole riittävällä tasolla. Eräs KPMG:n asiakas raportoi poikkeama- ja haavoittuvuusraportointien kasvaneen 1000% sen jälkeen kun asiakas otti käyttöön kyberturvallisuudenhallintakeskuksen (SOC), jonka avulla uhkat pystytään havaitsemaan, tulkitsemaan ja raportoimaan tehokkaasti.

KPMG:n vuonna 2014 Suomessa tekemän ”Unknown Threat in Finland” –tutkimuksen perusteella puolessa tutkimukseen osallistuneista organisaatioista havaittiin aktiivisia merkkejä käynnissä olevista tietomurroista. KPMG Belgian juuri julkaiseman ”Unknown Threat in Belgium” –tutkimuksen mukaan 80 prosenttia tutkimukseen osallistuneista organisaatiosta oli aktiivisen tietomurron kohteena. Näissä tapauksissa organisaatiot eivät olleet edes tietoisia tietomurroista. KPMG Ruotsin vuonna 2014 tekemä ”Unknown Threatin Sweden” –tutkimus antoi vastaavia tuloksia organisaatioiden tietoturvan tilasta. Näiden tutkimusten tulosten perusteella voidaan suurella todennäköisyydellä olettaa, että myös ainakin osalla sosiaali- ja terveydenhuollon organisaatioista on käynnissä aktiivisia tietomurtoja, joita organisaatiot eivät ole vielä havainneet.


Suurimman haavoittuvuuden kyselyyn vastanneet uskoivat tulevan ulkopuolisista hyökkäyksistä sekä tietojen luovuttamisesta kolmansille osapuolille. Haittaohjelmat ja potilastietojen tietosuojan vaarantuminen nähtiin suurimpana huolena tietoturvan osalta. Tulosten perusteella näyttää vahvasti siltä, että organisaatioiden tulee jatkossa kehittää tietoturvaa tiedon koko elinkaaren ajalta ohjeistamalla omaa henkilöstöä sekä ulottamalla tietoturvavaatimukset koskemaan myös alihankkijoita. Alihankkijoiden tietoturvallisuutta tulee myös valvoa vaatimalla alihankkijoilta konkreettista näyttöä tietoturvallisuuden huomioon ottamisesta esimerkiksi ISO 27001 sertifikaatin tai ISAE 3402/3000 varmennuslausunnon kautta.


Suurin osa kyselyyn osallistuneista terveydenhuollon ja vakuutusalan organisaatiosta on viimeisen vuoden aikana keskustellut kyberturvallisuudesta johtoryhmä tasolla. Nykyisten uhkien ja lainsäädännöllisten vaatimusten osalta on kuitenkin huolestuttavaa huomata, että on vielä organisaatioita jossa tietoturva ja tietosuoja eivät vielä ole herättäneet tarpeeksi keskustelua ja saanut johdon tukea potilastiedon entistä paremmalle turvaamiselle. Väittämää tukee Suomessa myös Jaana Riikosen 2013 toteuttama Pro gradu –tutkielma johdon tuesta tietosuojavastaaville terveydenhuollon organisaatioissa. Tutkielman perusteella suurimmassa osassa organisaatioista johto on antanut tukensa tietosuojatyön tekemiselle, mutta poikkeuksiakin löytyy. Osalta tietosuojavastaavista kuitenkin puuttuivat kirjalliset kuvaukset vastuista ja valtuuksista tietosuojatyön osalta. Resurssien puute oli myös yksi tutkielmassa esiin nousut aihe, joka huomattiin myös KPMG:n tuottamassa tutkimuksessa.


”2015 KPMG Healthcare Cybersecurity” -tutkimukseen osallistui yli 220 tietohallintojohtajaa, teknologiajohtajaa, turvallisuusjohtajaa ja kehitys- ja laatujohtajaa USA:n merkittävimmistä terveydenhuollon ja vakuutusalan organisaatiosta.

Ei kommentteja:

Lähetä kommentti