Tietoturvaan liittyen johdanto
Digitalisoituvassa maailmassa tietomurtoyritysten määrä on valitettavasti kasvanut. Näiden tekojen taustalla on useimmiten pyrkimys kiristää yrityksiltä rahaa tai siihen verrattavissa olevia hyödykkeitä. Viime päivinä on uutisoitu tietomurrosta, jonka kohteeksi on joutunut eräs terveydenhuoltoalan yritys. Vaikka yritys ei ole meidän asiakkaamme, tapauksesta johtuen meille on tullut asiaan liittyviä kysymyksiä, joihin nyt pyrimme vastaamaan parhaamme mukaan.
Terveyteen liittyvät tiedot voivat olla luonteeltaan erittäin arkaluontoisia, minkä vuoksi niiden suojaaminen on aina ollut ja tulee jatkossakin olemaan tärkeässä asemassa Ajas-järjestelmän tuotekehityksessä ja toiminnassa. Sama koskee myös muita tietoja.
Julkisuuteen tulleista tapauksissa ja saatujen tietojen perusteella on arkaluonteinen tieto vuotanut, koska tiedon tallennuksessa on tehty alkeellisia virheitä ja järjestelmän pääsalasanat on jätetty oletusasetusten mukaiseksi. Tällaiset virheet eivät ole Ajas-järjestelmässä mitenkään mahdollisia ja kaikki palvelimen salasanat on muutettu monimutkaisiksi.
Taustaa
Tekniikan kehittyessä vanhojen järjestelmien murtaminen nopeutuu ja nykyään moni viime vuosikymmenen salauksista murtuu hetkessä. Nykytiedon valossa ainoastaan ”Vernam cipher” nimellä tunnettu salausalgoritmi on matemaattisesti ja käytännössä murtamaton salaustapa. Käytettävyyssyistä johtuen kyseistä algoritmia ei ole voitu toistaiseksi hyödyntää tietojärjestelmässä, jota käyttää useampi henkilö vaan salaukset perustuvat yleensä siihen että mahdollinen murtaminen veisi mahdollisimman monta vuosisataa nykytekniikalla. Siksi ei ole olemassa 100% aukotonta järjestelmää ja jos joku niin väittää, todennäköisesti valehtelee. Jokaisen käyttäjän on siksi tärkeää tiedostaa että hyvän tietoturvan eteen on tehtävä jatkuvasti töitä sekä päivityksiä, jotta järjestelmä on turvallinen ja uusilta uhkakuvilta voidaan suojautua. Työskentelemme jatkuvasti tietoturvan ylläpitämiseksi, parantamiseksi ja pitämiseksi mahdollisimman korkeana.
A- ja B-luokan tietojärjestelmät
Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B.
Luokka A: ”Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät jotka on tarkoitettu liitettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta”
Ajas on liitetty Kanta-palveluun. Ajas käyttää Kanta-liityntään A-luokituksen omaavaa Atostekin eRA -järjestelmää liitynnän toteuttamiseen.
Luokka B: Kaikki muut tietojärjestelmät
Ajas-ominaisuudet, jotka eivät liity Kanta-liityntään, ovat B-luokituksen piiriin kuuluvia.
Oletusarvoisesti tieto tallentuu vain Kantaan. Jos Ajas-järjestelmään tallennetaan tietoa palveluntarjoajan tarpeen vaatiessa, se tallentuu kryptattuna ja kryptausavaimet säilytetään erillään. Potilaskirjaukset ja henkilötiedot on näin erillään toisistaan.
Vastuuasiat
Ajas vastaa järjestelmän tietoturvasta GDPR-asetuksen ja lainsäädännön mukaisesti. Ajas vakuuttaa järjestelmän olevan turvallinen.
Ajas-järjestelmän suojausperiaatteita
Turvallisuus on meille erittäin tärkeä asia!