Viimastel aastatel on tervishoiuvaldkonna IT-lahenduste tähtsus kasvanud hüppeliselt. Eriti ilmne on see E-ITSi (Eesti infoturbestandard) ja GDPRi (Euroopa Liidu isikuandmete kaitse üldmäärus) valguses, mis kirjeldavad, kuidas hoida nii meditsiiniasutuste kui ka patsientide andmeid maksimaalselt kaitstuna.
Esmapilgul võivad nõuded tunduda liiast, ent tegelikult on need loodud meid ennetavalt kaitsma – seda nii bürokraatlike sekelduste, avaliku häbi kui ka kopsakate rahaliste kahjude eest, mis võivad kaasneda küberjuhtumiga. Terviseandmed on küberkurjategijatele ahvatlev sihtmärk, sest nende abil saab korda saata palju kahju, alates väljapressimisest kuni identiteedivarguseni.
Autor: Kristjan Krass, IT-magister ja Prevent IT juhataja ning IT-lahenduste ekspert, kelle südameasjaks on perearstikeskuste andmete turvalisus ning töökindla taristu loomine.
Olen oma töös puutunud korduvalt kokku probleemidega, mis oleksid minimaalse ennetusega lihtsalt välditavad. Paroolikleebised sülearvuti kaanel, aegunud operatsioonisüsteemid, avalikud Wifi-võrgud, mille ligipääs kõigile teada – iga selline näiliselt “väike” viga võib kujuneda massiivseks riskiks.
Näiteid pole vaja kaugelt otsida: piisab, kui meenutame 2023. aastal toimunud lunavararünnakut Perearstikeskusele või häkkerite katseid halvata haiglaid. Näiteks meenub 2021. aastast Ida-Tallinna Keskhaigla andmelekke juhtum, kus rünnakute käigus pandi seisma digitaalsed patsientide broneerimissüsteemid ja isegi elutähtis aparatuur. Need pole enam kauged ohud – küberkuritegevus tabab just neid, kes arvavad, et “meie väike asutus ei paku kellelegi huvi”.
E-ITS ja GDPR – kohustused, mis võivad hoopis sind ennast kaitsta
Nii mõnelgi inimesel võiks tekkida küsimus, miks on vaja süveneda sellistesse kohustuslikesse raamistikesse nagu E-ITS või GDPR. Tõsi, need võivad esmapilgul tunduda kui järjekordne bürokraatlik takistus, mida “peab” täitma, ent samas võivad need olla loodud just suuremate probleemide ennetamiseks.
E-ITSi (mida haldab Riigi Infosüsteemi Amet, RIA) puhul võiks eesmärgiks olla tagada tervishoiusektori miinimumturvalisus ühtlaselt kõrgel tasemel. Näiteks võib E-ITS sätestada nõude regulaarselt korraldada turvaauditeid, pidada arvestust IT-varade üle või seada paika täpsed ligipääsuõigused. Need tegevused võivad argipäeval tunduda ajamahukad või liigsed, kuid tõsisema küberjuhtumi korral võiksid need päästa nii raha, aega kui ka asutuse mainet.
GDPR keskendub seevastu isikuandmete, sealhulgas terviseinfo kaitsele. Kuna meditsiinilised andmed võivad olla kurjategijate jaoks eriti väärtuslik “kaup”, võib ühestainsast lekkest alata nii väljapressimine kui ka identiteedivargus. Paljudele tundub, et “meie väike asutus ei paku kellelegi huvi”, kuid tegelikkus võib olla vastupidine: just väikesed organisatsioonid võivad näida küberkurjategijatele kergem saak. Seepärast on GDPRi üldine põhimõte, et ennetamine tuleb sageli soodsam kui hilisem kahjude likvideerimine. Lisaks võib Andmekaitse Inspektsioonil (AKI) olla õigus määrata trahve ning avalikkuse tähelepanu või mainekahju terviseandmete lekkimise korral võib pikas plaanis osutuda veelgi kulukamaks.
Samas pole haruldane, et nii E-ITSi kui ka GDPRi nõuete juriidilis-tehniline keelekasutus tekitab meditsiinispetsialistides segadust. See võib tuleneda püüdest vältida tõlgendamisvigu ja tagada kõrge turvalisuse tase igas asutuses. Vajaduse korral tasuks seega kaasata IT- või õigusspetsialiste, et nad raamistiku praktiliselt lahti mõtestaksid, näiteks selgitaksid, millised nõuded on tõesti hädavajalikud, kuidas neid igapäevatöösse integreerida ning milliseid tehnilisi või korralduslikke vahendeid kasutada. Nii võiksid E-ITS ja GDPR osutuda pigem ennetavateks abinõudeks kui tülikaks bürokraatiaks – see tähendab suuremat kindlustunnet nii asutusele endale kui ka neile, kelle andmeid kaitsta tahetakse.
Korralik haldus on parem kui hiline kustutustöö
Oma kogemusest võin kinnitada, et hoolsalt hallatud IT-taristu tähendab perearstikeskuse argipäevas nii sujuvat töövoogu kui ka suuremat turvalisust. Tihti arvame, et IT-teenuse roll piirdub vaid n-ö helpdesk’iga ehk kui printer streigib või Windows keeldub käivitumast, helistame spetsialistile ja loodame kiiret lahendust. Tegelikult seisneb tõeline IT-haldus pidevas ennetustegevuses. Nii ei teki probleeme üleöö, sest süsteeme jälgitakse pidevalt, turvauuendused paigaldatakse õigeaegselt ja vajadusel antakse kasutajatele nõu.
Ennetav tõrkeotsing on kõige kindlam viis hoida ära olukordi, kus ootamatult enam miski ei tööta. Iga uuendus või konfiguratsioonimuudatus tehakse teadlikult ja õigeaegselt, nii et näiteks printeri rikete oht või võrguühenduse katkestused minimeeritakse. Lisaks on oluline kasutajate nõustamine: kuigi alati võib juhtuda inimlikke apsakaid, vähendab igapäevane teadvustamine ja koolitamine (nt paroolipoliitika, õngitsuskirjade äratundmine) enamikku lihtsaid turvariske.
Oluline on ka juurpõhjuste kõrvaldamine. Mõnikord tundub, et kiire restart või möödalibisev parandus lahendab tõrke, kuid samas võib tõrge hiljem korduda. Korralik haldus tähendab, et me otsime välja tegeliku probleemiallika. Kui süsteemil on turvaauk, tuleb see lappida. Kui arvutis pole uuendusi tehtud, teeme need ära. Nii ennetame tulevikus tekkivaid suuremaid sekeldusi.
Samuti on kriitilise tähtsusega varundus ja taaste, sest tänapäeva küberkuritegevuse valguses ei pruugi ühestki asutusest lunavararünnakud mööda minna. Võib juhtuda, et kaob arvuti või keegi krüpteerib failid. Kuid kui meil on toimiv varundus- ja taasteplaan, saab isegi kõige drastilisem olukord lahenduse – töötamine ei peatu ning andmeid ei pea nullist uuesti koguma.
Lõpetuseks: korralik turvahaldus nõuab ennetust ja reaalaja ohtude hindamist. Näiteks Prevent IT kasutab Atera haldusplatvormi. Tegu on rahvusvaheliselt tuntud lahendusega, mis võimaldab ohtude tuvastamist ja maandamist – pidev turvamonitooring ja analüütika võimaldavad ennetada võimalikke rünnakuid. Selle abil on igal hetkel selge ülevaade, mis rakendused ja seadmed perearstikeskusel on ning kuidas need toimivad.
Mida perearstikeskus reaalselt võidab?
Esiteks – rahu ja kindlustunde. Teadmine, et isegi kui mõni seade kaob või printer üles ütleb, on kõik terviklikult hallatud ning kriisiolukorras ei toimu paanilist tormijooksu.
Teiseks – sujuv tööprotsess. Ennetav hooldus tähendab vähem ootamatusi ja katkestusi, töötajate aeg kulub meditsiinilistele ülesannetele.
Kolmandaks – kvaliteetne riskihaldus. Mida varem on turvalisuse alused paigas, seda vähem pead hiljem maksma, kui peaks tekkima ulatuslikum rike või küberintsident.
Neljandaks – patsientide usaldus. Terviseandmete lekked tekitavad pahameelt ja hirme. Kui aga sõnumiks on: “Meie keskuses on kõik andmed kaitstud”, avaldub see pikas plaanis tugevamas maines ja patsientide suuremas rahulolus.
Lõppkokkuvõttes on korralik IT-haldus investeering, mis tasub end korduvalt tagasi. See pole tühi kulu, vaid garantii, et perearstikeskus toimib igapäevaselt tõrgeteta, vastab E-ITSi ja GDPRi nõuetele ning kaitseb nende tuumväärtust – patsientide usaldust.
Allikad:
- E-tervise turvalisuse (E-ITS) meetmed (RIA):
https://eits.ria.ee/ - GDPR – Euroopa Liidu üldine andmekaitsemäärus (EU 2016/679):
https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=et - Riigi Infosüsteemi Amet (RIA):
https://www.ria.ee/et.html - Andmekaitse Inspektsioon (AKI):
https://www.aki.ee/et
Aktuaalsed ohud – miks on löögi all just tervishoiu IT?
- Tundlikud patsiendiandmed. Terviseinfo on kõige väärtuslikum isikuandmete tüüp, sest see avab ukse identiteedivargustele ja väljapressimistele. Kui kliiniku süsteemid on kergesti haavatavad, võib pahatahtlik isik saadud infot edasi müüa või kasutada mainekahju tekitamiseks.
- Rahalised väljapressimised. Maailmas on sagenenud juhtumid, kus rünnatakse sihipäraselt just meditsiiniasutusi. Ründajad teavad, et patsientide ravi ei saa seiskuda, seega on haiglad ja perearstikeskused sageli nõus maksma, et kiiresti oma andmetele taas ligi pääseda või et rünnak avalikkuse ette ei lekiks.
- Konfliktide mõju küberruumis. Geopoliitiliste pingete ajal otsivad riiklikult toetatud rühmitused võimalusi vastaspoole elutähtsate teenuste rivist välja löömiseks. Tervishoid – üks põhitalasid – on seetõttu eriti tõsiseltvõetav sihtmärk.
- Inimlik eksimus. Tihti polegi vaja geeniusest häkkerit: piisab, kui töötaja klikib petuskeemi lehe linkidel või hoiab ühel paroolil kõiki andmeid “admin” aastast 2003. IT-turvalisus algab inimesest, mitte ainult tehnilistest kaitsemehhanismidest.
Prevent IT arvutitöökoha teenus – mida see sisaldab?
- Kõikide töökohaseadmete haldus – arvutid, monitorid, printerid, ruuterid, tahvelarvutid, nutitelefonid, isegi robotid – kui see on võrgus, haldame ja turvame seda.
- Ennetav töökindluse tagamine – paneme erilist rõhku IT-infrastruktuuri püsivale tööle, ennetame probleeme, avastame need kiirelt ja kõrvaldame juurpõhjused.
- Kasutajate igakülgne nõustamine – alates lihtsatest “Kuidas uuendada veebilehitsejat?” küsimustest kuni keerukamate andmete varundamise või paroolihalduse lahendusteni.
- Infosüsteemi parendamise nõuanded – tegeleme pidevalt kvaliteetse tugiteenuse pakkumisega, tuues välja võimalusi, kuidas IT-d muuta veel turvalisemaks ja efektiivsemaks.
- Altera tarkvara rakendamine – kasutame selleks spetsiaalselt tervishoiusektorile sobivaid vahendeid, et teil oleks täielik ülevaade nii riist- kui ka tarkvarast, sh monitooring turvanõrkuste kiireks avastamiseks.
Kutsun sind astuma esimest sammu turvalisuse poole
Kui soovid oma perearstikeskuse IT-taristut ajakohaseks ja turvaliseks muuta, on siin kaks võimalust.
- Küsi nõu! Pakume esmalt tasuta 30-minutilist konsultatsiooni, et kaardistada tähtsamad riskid (paroolid, seadmed, uuendused) ja anda konkreetsed soovitused.
- Liitu meie Arvutitöökoha teenusega! Võta kogu IT-haldus ühe katuse alla, nii et sul on üks usaldusväärne partner kõikide tehniliste murede lahendamiseks.
Võta ühendust meie meeskonnaga ning koostame turvalahenduse, mis kaitseb sinuga seotud patsientide andmeid, võtab maha IT-mured ning täidab E-ITSi ja GDPRi nõudeid. See kõik säästab sinu väärtuslikku aega ning saad keskenduda kõige olulisemale – patsientide tervisele.
