Tietoturvan puutteet ovat usein inhimillisiä

On inhimillistä, että tietoturvasta pyritään helposti oikaisemaan, kun varsinaisen hoitotyönkin kanssa on kiire.

Tietoturvan puutteet ovat usein inhimillisiä Kuva 1 / 1 Kuva: Laura Vesa

Jokaisella terveystietoja työssään käsittelevällä on tänä syksynä käynyt mielessä salasanan päivittäminen, ihan ilman sitä tietohallinnosta kolmen kuukauden välein tulevaa muistutussähköpostia. Vaikka aina silloin tällöin uutisissa kerrotaan potilastietojen salauksen pettämisestä, on psykoterapiapalvelu Vastaamon tietomurto ollut laajuudeltaan järkyttävämpi kuin mitä olisi uskonut olevan mahdollista.

Väitän, että jokaisella ammattihenkilöllä on tiedossaan tietoturvaan liittyviä puutteita, joihin olisi mahdollista vaikuttaa omalla toiminnalla. Vastaamon tapauksessa ihmisten potilastietoihin on ilmeisesti päästy puutteellisen teknisen suojauksen ja oletussalasanojen käyttämisen vuoksi. Suurimmasta osasta potilastietojärjestelmistä ei löytyne yhtä törkeitä puutteita, vaan pääsääntöisesti potilastietojärjestelmien tekninen suoja lienee kunnossa. Huomattavasti useammin puutteita on ihmisten toiminnassa ja työpaikan kulttuurissa.

Hyvä esimerkki on paperien käyttö. Siinä missä muu yhteiskunta on jo vuosia sitten siirtynyt paperittomiin toimistoihin, liikkuu terveydenhuollossa valtava määrä salaista tietoa paperilla. Lausunnot, potilaslistat, muistiinpanot ja virka-apupyynnöt tulostetaan edelleen pääsääntöisesti tavalliselle A4:lle. Syy on yleensä käytännönläheinen: varsinkin huonoimpiin potilastietojärjestelmiin verrattuna paperin käyttöliittymä on erinomainen.

Samaan aikaan tietoturva on onneton, sillä paperit voi lukea ilman lokimerkintää kuka vain. Papereilla on myös käsittämätön tapa jäädä lojumaan pöydälle, tulostua väärään paikkaan ja mennä hukkaan. Aina silloin tällöin potilaspapereita myös löytyy sellaisista avoimista roskalaatikoista, joihin ne eivät todellakaan kuuluisi.

Toinen keskeinen puute liittyy siihen, että potilastietoja puhutaan usein muiden potilaiden tai hoitoon osallistumattomien ammattihenkilöiden kuullen. Joskus tämä on käytännön sanelema pakko. Esimerkiksi vuodeosastokierrolla tai päivystyksessä on käytännössä mahdotonta järjestää jokaiselle potilaalle yksityinen tila asioiden keskusteluun. Samoin kiireellisissä tilanteissa potilas on hoidettava ja viestinnän on toimittava kuulijoista riippumatta. Toisaalta usein tietoturva olisi parannettavissa pienillä toimenpiteillä ja ennakoinnilla. Monella vuodeosastolla on otettu käyttöön kuulosuojaimet, joita muut potilaat käyttävät sen ajan, kun käsitellään huonekaverin asioita.

Kolmas yleinen tietoturvaongelma on tietokoneiden yhteiskäyttötunnukset ja saman salasanan käyttö kaikissa eri sovelluksissa. Paradoksaalisesti tämä on usein seurausta liian hyvistä teknisistä ratkaisuista: kun jokaiseen ohjelmaan tarvitaan erillinen 16 merkkiä ja 3 erikoismerkkiä sisältävä salasana, ei kukaan pysty keksimään tai muistamaan määräänsä enempää pitäviä salasanoja. Ratkaisuna on saman salasanan käyttäminen jokaisessa palvelussa kuukaudesta toiseen. Myös salasanojen tematiikka pyörinee perinteiseen tapaan perheenjäsenten nimien ja syntymäpäivien ympärillä.

On helppo huomata, että inhimilliset puutteet tietoturvassa liittyvät usein tilanteisiin, joissa tietoturvan asianmukainen noudattaminen vaatisi lisää työtä tai se hankaloittaisi varsinaisen hoitotehtävän toteutumista. On inhimillistä, että tietoturvasta pyritään helposti oikaisemaan, kun varsinaisen hoitotyönkin kanssa on kiire. Siksi tietoturvan suunnittelussa olisi tärkeää pyrkiä avoimeen dialogiin tiedon käyttäjien kanssa. Tietoturvan voidaan olettaa toteutuvan täydellisesti vain silloin, kun tietoturvallinen tapa toimia on myös helpoin tapa toimia.

Joel Kontiainen

Kirjoittaja on tamperelainen kuudennen vuosikurssin lääketieteen kandidaatti.

Kirjoitus on julkaistu aiemmin Lääkärilehden verkkosivuilla.

Oletko jo lukenut nämä?