Tietoturvaan liittyen johdanto
Digitalisoituvassa maailmassa tietomurtoyritysten määrä on valitettavasti kasvanut. Näiden tekojen taustalla on useimmiten pyrkimys kiristää yrityksiltä rahaa tai siihen verrattavissa olevia hyödykkeitä. Viime päivinä on uutisoitu tietomurrosta, jonka kohteeksi on joutunut eräs terveydenhuoltoalan yritys. Vaikka yritys ei ole meidän asiakkaamme, tapauksesta johtuen meille on tullut asiaan liittyviä kysymyksiä, joihin nyt pyrimme vastaamaan parhaamme mukaan.
Terveyteen liittyvät tiedot voivat olla luonteeltaan erittäin arkaluontoisia, minkä vuoksi niiden suojaaminen on aina ollut ja tulee jatkossakin olemaan tärkeässä asemassa Ajas-järjestelmän tuotekehityksessä ja toiminnassa. Sama koskee myös muita tietoja.
Julkisuuteen tulleista tapauksissa ja saatujen tietojen perusteella on arkaluonteinen tieto vuotanut, koska tiedon tallennuksessa on tehty alkeellisia virheitä ja järjestelmän pääsalasanat on jätetty oletusasetusten mukaiseksi. Tällaiset virheet eivät ole Ajas-järjestelmässä mitenkään mahdollisia ja kaikki palvelimen salasanat on muutettu monimutkaisiksi.
HUOM! Ajas tietoturvakäytännöt on myös ulkoisesti auditoitu KPMG IT sertitifioinnin toimesta.
Taustaa
Tekniikan kehittyessä vanhojen järjestelmien murtaminen nopeutuu ja nykyään moni viime vuosikymmenen salauksista murtuu hetkessä. Nykytiedon valossa ainoastaan ”Vernam cipher” nimellä tunnettu salausalgoritmi on matemaattisesti ja käytännössä murtamaton salaustapa. Käytettävyyssyistä johtuen kyseistä algoritmia ei ole voitu toistaiseksi hyödyntää tietojärjestelmässä, jota käyttää useampi henkilö vaan salaukset perustuvat yleensä siihen että mahdollinen murtaminen veisi mahdollisimman monta vuosisataa nykytekniikalla. Siksi ei ole olemassa 100% aukotonta järjestelmää ja jos joku niin väittää, todennäköisesti valehtelee. Jokaisen käyttäjän on siksi tärkeää tiedostaa että hyvän tietoturvan eteen on tehtävä jatkuvasti töitä sekä päivityksiä, jotta järjestelmä on turvallinen ja uusilta uhkakuvilta voidaan suojautua. Työskentelemme jatkuvasti tietoturvan ylläpitämiseksi, parantamiseksi ja pitämiseksi mahdollisimman korkeana.
A- ja B-luokan tietojärjestelmät
Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B.
Luokka A: ”Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät jotka on tarkoitettu liitettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta”
Ajas on liitetty Kanta-palveluun teknisen välityspalvelun kautta
Alkaen 5.9.2022, Ajas on sertifioitu A1 luokan potilastietojärjestelmä, joka käyttää Atostekin eRA -välityspalvelua Kanta-liitynnän toteuttamiseen.
Ajas-järjestelmässä oletusarvoisesti potilastietomerkinnät tallentuvat vain Kantaan. Jos Ajas-järjestelmään tallennetaan esimerkiksi luonnoksia palveluntarjoajan tarpeen niin edellyttäessä, se tallentuu kryptattuna ja kryptausavaimet säilytetään erillään. Potilaskirjaukset ja henkilötiedot ovat näin erillään toisistaan.
Luokka B: Kaikki muut tietojärjestelmät
Järjestelmät, jotka eivät liity Kantaan, ovat B-luokituksen piiriin kuuluvia.
Vastuuasiat
Ajas vastaa järjestelmän tietoturvasta GDPR-asetuksen ja lainsäädännön mukaisesti. Ajas vakuuttaa järjestelmän olevan turvallinen ja järjestelmä on myös ulkoisesti auditoitu.
Ajas-järjestelmän suojausperiaatteita mm.
Turvallisuus on meille erittäin tärkeä asia!