Receptumin tietoturvapäivillä selvisi, mitkä ovat apteekkien tyypillisimmät tietoturvauhat ja miten niihin pitää varautua. Omavalvontasuunnitelman tietoteknisiin selvityksiin osallistujat saivat hyvät eväät. Lue yhteenvetomme päivän annista.
Tietoturvasta huolehtiminen ei ole pelkkää virusten torjuntaa tai salasanojen miettimistä. Digitalisoituvissa apteekeissa tietoturvallisuusuhat tulevat niin etu- kuin takaovesta ja välillä jopa työntekijöiden kotisohvalta tai lastenhuoneesta. Uhkien jatkuva ennakointi ja torjunta on nykypäivää. Myös apteekkien omavalvonta liittyy olennaisena osana tietoturvaan.
Päivä antoi rautaisannoksen tietoa niin tämän päivän tietoturvauhkista apteekeissa kuin Receptumin niihin tarjoamista ratkaisuista.
Mitä haittaohjelman saastuttama valvontakamera voisi tehdä?
Yleisöä herätteli kahviakin tehokkaammin heti aamusta F-Securen tietoturva-asiantuntija Harri Ruusinen. Hän esitti konkreettisin esimerkein, mitä huonosti hoidetusta tietoturvasuojauksesta voi seurata:
Yrityksestä voi löytyä hyvinkin arkoja tietoja netistä, jos niitä ei ole suojattu: näimme, miten osaava tekijä voi kaivaa sairaalavuoteen valvontaruudunkin verkosta. Kuulimme myös, kuinka haittaohjelman saastuttama lypsykone oli lähettänyt tekstiviestejä maksulliseen numeroon. Voisiko esimerkiksi suojaamaton valvontakamera riehaantua tilaamaan pizzoja tekstiviesteillä? Villeimätkin visiot voivat olla tulevaisuudessa arkipäivää.
”Haittaohjelmien määrä kasvaa hurjaa vauhtia ja ne ovat yhä kehittyneempiä, siksi hyvä suojaus on fiksua ennakointia”, Ruusinen neuvoi.
Käyttäjä on suurin uhka
Apteekeissa ei voida tuudittautua siihen, että työasemat olisivat turvassa haittaohjelmilta ilman tehokkaita tietoturvasuojauksia. Eikä fiksuinkaan yritys aina säästy huijauksilta, koska kiire ja inhimilliset erehdykset ovat arkea. Tämän takia hyvän suojauksen lisäksi koulutus on tärkeää.
”Suurin uhka ovat käyttäjät”, Harri Ruusinen painottaa.
Ihmiset voivat huolimattomuuttaan tai sinisilmäisyyttään laittaa maksuun huijauslaskuja. He saattavat napata haittaohjelman koneelleen käymällä turvalliseksi uskomallaan verkkosivulla, jonka verkkomainokset ovat saastuneet. Jos tietoturva ei ole kunnossa, ovela haittaohjelma voi asentua jopa itsekseen.
Perhekin voi olla tietoturvauhka, jos esimerkiksi lapset käyttävät suojaamatonta työkonetta tai lähettävät siihen postissa liitteitä tai linkkejä. Siksi on tärkeää suojata paitsi työpaikan myös kodin tietokoneet.
Ohjelmistojen päivitysten on hyvä olla ajan tasalla kotona, muistutti tietoturvapalveluvastaava Helena Ruotsalainen Receptumilta. Jos päivitys on tekemättä, haittaohjelmat voivat hiipiä sisään automaattisesti ohjelman haavoittuvuuksia hyväksikäyttäen. Receptum huolehtii tietoturvapalvelut tilanneiden apteekkien tietoturva- ja muiden oheisohjelmistojen päivityksistä automaattisesti, mutta kotikoneista huolehtiminen suojelee myös työkoneita.
Koulutukseen Myyrmannin apteekista saapunut farmaseutti Kari Kuronen pohti tauolla jatkuvan koulutuksen tärkeyttä, koska koulutuksesta huolimatta henkilökunnan osaaminen saattaa olla eritasoista. ”Tietoturvan suhteen mikään ei ole koskaan valmista, prosessi on jatkuva.”
Willan Kehrä Apteekin proviisori ja tietoturvapäällikkö Kaisa Hartikainen-Herranen mielestä koulutus on paikallaan: ”Tietoturvaosaaminen ei ole apteekkien ydinosaamista, mutta silti joudumme olemaan sen suhteen todella tarkkoja. Siksi on hienoa, että saamme toimintaohjeita ja -malleja sellaiseenkin, mikä ei olisi tullut edes mieleen tai mistä emme niin paljon tiedä.”
Tietoturvauhka voi kävellä sisään
Jos käyttäjät ovat suuri tietoturvauhka, sitä ovat myös apteekeissa vierailevat ihmiset. Helena Ruotsalainen kehottikin apteekkeja tunnistamaan ja valvomaan apteekin takatiloissa vierailevat.
Farmaseutti Kari Kuronen kiitteli tilaisuudessa tullutta muistutusta, että kaikki tavarantoimittajat ja lääkejätekuljettajatkin pitäisi aina ”saattaa” sisään ja ulos turvallisuussyistä. ”Se on tärkeää myös asiakkaiden tietosuojan takia.”
Ruotsalainen ohjeisti sijoittamaan kriittiset serverit apteekin takatiloihin ja valvomaan niille pääsyä. Oikeisiin paikkoihin asennetuista turvakameroista on valvonnassa hänen mukaansa paljon apua.
Yhteisten salasanojen säilytyspaikoista suosituimmat saivat huutia: muistilaput pois näppiksen alta tai näytön reunasta. ”Jos on pakko jossain säilyttää, niin siten vaikka Intraan linkkipankkiin”, Ruotsalainen vinkkasi. Hän painotti myös, että henkilökohtaiset käyttäjätunnus- ja salasanaparit kannattaa laatia sellaisiksi, ettei niitä arvaa ensi yrittämällä.
Tietoliikenneasiantuntija Tuomas Miskala muistutti, että ”vieras” voi olla myös kolmannen osapuolen verkkolaite, kuten lääkerobotti tai kamerajärjestelmä. Kun sisäverkkoon asennetaan uusia laitteita, tietoturva-asiat on aina hyvä käydä läpi apteekkijärjestelmän edustajan kanssa, ettei portti jää auki vihulaisille.
Omavalvontasuunnitelman tekoon apua
Yksi tietoturvapäivän tärkeitä anteja oli proviisori Kaisa Hartikainen-Herrasen mielestä, että omavalvontasuunnitelman järjestelmien asennus- ja ylläpitovaatimuksia selitettiin konkreettisesti.
Iltapäivän aikana käytiin läpi, miten Receptum on toteuttanut viranomaisten vaatimusten mukaisesti mm. apteekkijärjestelmän, verkkoympäristön, tietoliikenteen, palomuurien ja tilojen valvonnan asennukset ja ylläpidon.
”Halusimme näyttää, miten omavalvontasuunnitelmassa vaaditut tietotekniset asiat on käytännössä hoidettu. Osallistujat saavat vielä ohjeet, miten ne suunnitelmaan kirjataan”, Helena Ruotsalainen lupasi.
”On todella tervetullutta saada työkaluja omavalvontasuunnitelman tekoon, sillä sen tekeminen vaatii myös tietoteknistä tietämystä, jota kaikilla ei apteekeissa ole. Olen tyytyväinen, että meillä on kaikki järjestelmät ja ylläpito viimeisen päälle viranomaisten suositusten mukaiset ja tämä hoituu avaimet käteen -periaatteella. Yksi huoli vähemmän arjessa”, Hartikainen-Herranen pohti.
Uudet käyttäjäroolit lisäävät tietoturvaa
Kehitysjohtaja Mika Weckström kertoi, että MAXXista saa kaikki tarvittavat faktat sähköisten asiakastietojen käsittelyistä tilanteessa kuin tilanteessa. Jos naapurin Maija epäilee farmaseutti Annan kurkistaneen omia eReseptejään, tapahtuneesta löytyy kyllä lokitieto, jos se on totta.
MAXXin lokitiedot auttavat myös käänteisesti. Jos Kelasta soitetaan, ettei tarvittavia tietoja ole haettu, voidaan lokitietojen avulla näyttää, jos haku on epäonnistunut esimerkiksi yhteyshäiriöstä johtuen.
Apteekkien tietoturvaa helpottavat myös uudet, tarkennetut käyttäjäroolien rajaukset MAXXissa.
Farmaseutti Kari Kuronen kertookin saaneensa koulutuksesta ajattelemisen aihetta käyttöoikeuksien rajaamiseen lyhyissä työsuhteissa. Tarvitseeko vuokratyöntekijä samanlaisia käyttöoikeuksia kuin vaikkapa annosjakelusta vastaava farmaseutti? Helmikuusta lähtien käyttöoikeuksia MAXXin eri toimintoihin voi rajata todellisten tarpeiden mukaan entistä tarkemmin.
Uusia koulutuksia luvassa
”Tämä on ollut todella hyödyllinen päivä. Oppia siitä, miten tietotekniset asiat pitää olla hoidettuna. Käytännönläheistä ja ratkaisukeskeistä heti aamusta alkaen. Tietoturva-asiat ja niihin liittyvät huolet ovat yhteisiä kaikille apteekeille. Tarvitsemme varmasti jatkossakin tällaisia koulutuksia”, sanoi proviisori Kaisa Hartikainen-Herranen.
”Tietoturvahallinta on jatkuva prosessi, joka ei koskaan pysähdy. Järjestämme aiheesta varmasti uusiakin koulutuksia jossain muodossa jatkossa”, lupasi Helena Ruotsalainen Receptumilta.