6. lokakuuta 2007

Terveysalan tietoturvassa ongelmia

Tietokoneita käytetään miltei kaikkialla potilastietojen käsittelyyn. Käytännössä suuremmissa sairaaloissa potilastietoja käsitellään vain ja ainoastaan erillisellä ohjelmistolla, esim Pegasos ja Oberon. Paperiset potilastiedot ovat jääneet tai jäämässä historiaan. Raportit, lääkitykset, tutkimustilaukset ja tulokset, lääkärinlausunnot, hoito-ohjeet, lähetteet - kaikki tehdään useinmiten tietokoneella...

Tietokoneisiin ja ohjelmistoihin liittyy tietysti tietoturvaongelmia. "Potilastiedot" ja "ongelma" eivät ole mitenkään potilasturvallisuutta edistävä yhdistelmä. Yksityisyydensuojasta nyt puhumattakaan.

Kenties suurin yksittäinen ongelma on, että terveydehuollon tietoverkot ja tietokoneet eivät ole eristettyjä omaan verkkoonsa (kuten esimerkiksi Puolustusvoimilla on). Samalta koneelta, jolla käsitellään potilastietoja, pääsee vaivatta surffaamaan esimerkiksi internettiin ja lukemaan sähköposteja. Fyysisesti erotetun verkon, tai edes virtuaalisesti erotetun verkon, rakentaminen olisi tietoturvan kannalta ehdottomasti tehtävä. Muuten on vaarana, että koneisiin voidaan tunkeutua netin kautta tai ne voivat saastua netissä surffailusta ja järjestelmä potilastietoineen vaarantuu tai jopa muuttuu käyttökelvottomaksi!

Koska työpaikoilla yleensä on tapana surffata netissä ja useinmiten se on jopa varsin hyödyllistäkin, olisi tämä mahdollistettava siten, että esimerkiksi osastoa kohden hankitaan erikseen tietokone ja tulostin tätä tarkoitusta varten. Ja sitten tämä tietokone ja tulostin liitetään vaikka ADSL:n kautta nettiin. Näin potilastiedot pysyvät kaikissa tilanteissa verkon sisällä eivätkä voi päästä vuotamaan nettiin mitenkään. Eikä mikään uhka netistä voi päästä leviämään sisäisessä tietoverkossa ja aiheuttamaan tuhoa.

Tämän lisäksi pitäisi tietysti muutenkin tietoturvasta huolehtia. Virustentorjunta ja päivitykset pitäisi olla viimeisen päälle kunnossa, sekä myös käyttöoikeudet. Valitettavasti näin on harvoin asian laita. Itsekin olen poistanut useilta sosiaali- ja terveysalan käytössä olevilta tietokoneilta mm. vakoiluohjelmia ja viruksia...siis samoilta koneilta, joissa käsitellään koko ajan potilas/asiakastietoja!

On totta, että elektronisissa potilaskertomuksissa on selviä etuja paperiversioihin nähden. Suurin etu on se, että saman potilaan tietoja voidaan joustavasti lukea eri paikoissa ja osastoilla, joissa hän on. Viivettä ei tule ja aikaisemmat tiedot saadaan nopeasti esille. Jahka tietokoneiden ja ohjelmien käyttö ja itse härvelit kehittyvät vielä, myös tehokkuus paranee. (Tällä hetkellä ohjelmistot lähinnä hidastavat hoitohenkilökunnan toimintaa monimutkaisuutensa ja epäsopivuutensa vuoksi.)

Riskit sen sijaan on syytä pitää mielessä. Ei ole mitenkään tuomiopäivänskenaario ajatella, että joku kaunis päivä yksi verkossa oleva kone saastuu vaikkapa nettisurffailun kautta. Tämä saastunut kone saastuttaa verkon kautta muita koneita ja koko potilastietojärjestelmän. Seurauksena voi olla, että tärkeitä tietoja potilaista ei saada mitenkään selville (koska paperiversioita ei enää ole). Lisäksi potilastiedot voivat sekaantuvat toisiinsa huomaamattomastikin ja väärät potilaat saavat väärät lääkkeet ja määräykset ja tutkimukset! Pelkästään sähkökatkokin pysäyttää kummasti normaalinkin osaston toiminnan kun tietoja ei saada ulos mistään. Puhumattakaan tietokoneiden häiriöistä.

Asiaan liittyviä artikkeleita vaikkapa tässä, tässä, tässä, tässä ja tässä.

6 kommenttia:

Kumitonttu kirjoitti...

Eikö myös palomuurilla voisi ohjata? Voitais myös päättää mille sivuille saa mennä (pankit, lääkelaitos, vakuutusyhtiöt, lääkeyhtiöt jne jne). Pääsy estettäis hotmailiin, googleen jne sekä muille sivuille joille ei anneta oikeutta. Oikeuden vois tietty hakea atk-tuesta, joka päättäis asiasta annettujen tietoturvaohjeiden mukaan.

Kaikissa oloissa potilasdata pitäis silti käyttää omassa, ulkopuolisilta suljetussa verkossa. Unix ja tyhmät päätteet takas julkishallintoon.

Markus Jansson kirjoitti...

> Eikö myös palomuurilla voisi
> ohjata?

Voisi toki, mutta ongelmana on, että toisinaan haetaan tietoa netistä sellaisista paikoista, jotka voisivat olla palomuurilla estetyt. Esim. Googlea käytetään kyllä tiedonhakulähteenä. Ylipäätään se, että jonnekin nettiin pääsee ja sähköposteja pääsee netistä koneelle voi vaarantaa koneen tietoturvan.

Kumitonttu kirjoitti...

Mä en ole törmänny omassa duunissa että kukaan olis ohittanu muurin, mutta toisaalta on aika kilttejä duunareita.

Oletko muuten nähnyt että Soininvaaran blogissa joku "tiedemies" kävi kimppuusi (http://www.soininvaara.fi/wordpress/2007/10/02/suhteellinen-etu/#comments)aikalailla kommenttiosion loppupäässä?

Luin sen perusteella tiedemiehen blogia, ja aika hurjaa henkipois-meininkiä näytti olevan. Soininvaaran blogissa tiedemies tietenkin kiisti kaiken.

Jaakko Fagerlund kirjoitti...

Olisikohan terveysalan aika vaihtaa käyttöjärjestelmää ja ohjelmistoa, niin pääsisi niistä suurimmista ongelmista/uhista eroon?

Markus Jansson kirjoitti...

> Oletko muuten nähnyt että
> Soininvaaran blogissa joku
> "tiedemies" kävi kimppuusi

Jaa, en mä ainakaan löytänyt sieltä semmoista. En tietääkseni ole Soininvaaran blogiin koskaan kirjoittanutkaan. Ehkä pitäisi mennä muutama vihreä valhe kumoamaan... ;)

Tommi kirjoitti...

Okei! Eihän se nyt kaikkialla noin läpinäkyvää ole, kun Markus antaa ymmärtää.
Rahastahan kaikki on kiinni ja sen takia ei viitsitä rakentaa täysin erillistä verkkoa.
Mielestäni esim. turun seudulla kannattaisi pysähtyä hetkeksi ja miettiä ihan oikeasti miten voitaisiin turvallisesti tehdä liittyminen julkiseen ja yksityiseen verkkoon.

Palomuuri ja virusturva, silloin kun ne hälyttää niin kukaan ei voi sanoa mitä sieltä on jo nettiin hävinnyt.

Ennemminkin kannattaisi terminoida vaikka Citrixillä, X-llä tms. tuo internet surffaus ihan omalle sovelluspalvelimelle. Näin olisi ainakin vähän turvatumpi ympäristö kun ei suoraa ip-pohjaista yhteyttä koneista nettiin ole(okei, ip:llähän noikin kommunikoi, mutta...). Tottamaar tuo terminointikin on "haavoittuvaa", mutta ei varmasti niinkään kun suorat yhteyden kaikkialle jonkun esim. tyksin nattimuurin takaa.