Case Vastaamo – onko tämä vasta alkua?

Tämän viikon LAK-blogissa tietoturva-asiantuntijamme Anssi Ennevaara, ottaa kantaa hyvin akuuttiin kriisiin. Anssi toimii myös Suomen Tietosuoja ry:n hallituksessa. (Finnish Data Protection Association).

Hallituksen ministeriryhmä kokoontui sunnuntaina 25.10.2020 istuntoon Vastaamo-tapauksen osalta, joten sinisilmäisen suhtautumisen ja viattomuuden aika on ohi nyt yhteiskunnassamme.

“Me emme tarvitse mitään tietoturvaheppuja”

Tämä sitaatti voidaan helposti kytkeä Vastaamon tapaukseen, joka on siirtynyt alun pienestä uutisesta isoksi valtakunnalliseksi esimerkiksi siitä, miten asioita ei tule tehdä.

Me ja lukemattomat kollegamme olemme todellakin huolissamme, jos tietoturvallisuuden perusasioihin ei saada resursseja, aikaa ja rahaa. Niillä resursseilla voidaan ennakoida ja estää tällaisia valtakunnallisen mittasuhteen saaneita tapauksia. Tätäkin ikävää esimerkkiä voidaan hyödyntää, kun suunnitellaan tulevia suojaustoimia, jotka koskevat kaikkia tiedonhallinnan, luottamuksellisen materiaalin sekä näihin rinnastettavien tietojen kanssa työskenteleviä.

Peruslähtökohtana on rekisterinpitäjän vastuu luottamuksellisen tiedon säilyttämisestä, sekä sen asianmukaisesta käsittelystä. Pelkät GDPR-korvauksetkin saattavat olla jopa 5 % yrityksen liikevaihdosta. 

Tässä tapauksessa, kun tietoa ei ole säilytetty eikä käsitelty huolella, tragedia on lähes mittaamaton. Osa tietomurron kohteista on lähes puolustuskyvyttömiä henkilöitä ja kohteena kaikista arkaluontoisimpia ja luottamuksellisimpia potilastietoja.

Ongelma on lisäksi siinä, että olemassa olevat asiakkaat kuten HUS, TayKS, Pirkanmaan Sairaanhoitopiiri ja Kela joutuvat myös vastuuseen, koska heillä on velvoite varmistaa että rekisterinpitäjä huolehtii lakisääteisesti riittävästä potilastietojen tietoturvasta.

Vastaamo on yhtiön toimintakertomusten 2017 ja 2018 mukaan lisännyt toimia tietosuojan osalta voimakkaan orgaanisen kasvun yhteydessä. Ensimmäisen tietomurron on arvioitu tapahtuneen jo 2018 ja toisen 2019 maaliskuun aikana.

F-Securen tietoturvajohtaja Erka Koivunen arvioi, että Vastaamon tapauksessa näyttää siltä ettei tietoja ole edes yritetty suojata asianmukaisesti. Käyttäjiä ei ole valvottu eikä tietojen vuotamiseen ole ollut kunnollisia teknisiä esteitä. (HS 25.10.2020)

”Oliko se sittenkin kaikki turvallisuusteatteria?”

Anssi Ennevaara

Anssi ja muut LAK-asiantuntijat löytyvät täältä!

Lue seuraavaksi:

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Back to top