Yhteystiedot In English På Svenska Hae
21 joulukuun, 2022 |

Potilasrekisterinpitäjä sai huomautuksen salaamattomista levyasemista

Juhani Saarinen
OTM

Terveydenhuollossa tietokoneen sisältö on erikseen salattava – pelkkä salasana ei riitä!

Terveydenhuollon palveluntuottaja oli saanut apulaistietosuojavaltuutetulta huomautuksen, sillä tämän potilasrekisterin sisältävän tietokoneen sisältöä ei oltu erikseen salattu. Yritys oli joutunut varkauden uhriksi, ja tietokone oli hävinnyt.

Kuntoutusyrittäjät ry haluaa muistuttaa jäseniään potilastietoja sisältävien levyasemien erillisen salaamisen olevan pakollinen toimenpide. Jokainen yritys on itsenäisesti vastuussa omasta tietosuojastaan. Kuntoutusyrittäjät ei vastaa alla olevista neuvoista, mutta ne on tarkoitettu johdatukseksi tietoturvaan, mikäli tietokoneen sisältö on jäänyt huomioimatta.

Pelkkä tietokoneen suojaaminen salasanalla ei yleensä riitä – tietokoneen sisältö on myös salattava. Sama pätee kaikkiin kannettaviin laitteisiin, kuten matkapuhelimiin ja tabletteihin, joihin ulkopuolisilla voi varkauden tai muun vahingon seurauksena olla pääsy.

Miten tietokoneen tai muun laitteen sisältö voidaan salata?

Kannettavan tietokoneen, pöytämallisen tietokoneen sekä muiden laitteiden salaamisessa on syytä käyttää apuna tietoturva-asiantuntijaa, mikäli epäilee, ettei laitteiden salaamisesta huolehtiminen kuulu omiin vahvuuksiin.

Käytännössä yleisin salaustapa on käyttää Windows-tietokoneissa Microsoftin omaa Bitlocker-ohjelmistoa. Bitlocker tulee mukana Windows 10:stä alkaen. Vanhempia Windows-versioita ei tulisi terveydenhuollossa muutoinkaan käyttää – lainkaan. Bitlockerin käytön tunnistaa Bitlocker -tekstistä ja lukon sekä avaimen kuvasta salatun levyaseman päällä tietokoneen resurssienhallinnassa. Bitlocker avaa levyaseman salauksen samalla, kun käyttäjä kirjautuu sisään. Bitlockerin käyttöönoton edellytyksenä on käytännössä, että tietokoneessa on TPM (Trusted Platform Module) -turvapiiri. Useimmissa työkäyttöön suunnatuissa tietokoneissa se on. Kotikäyttöön suunnatuissa tietokoneissa sitä ei välttämättä ole, jolloin tiedostojen salaaminen voi olla vaikeampaa. TPM-turvapiiri yleistyy hiljalleen kaikkiin uudempiin tietokoneisiin, sillä se on yksi Windows 11 laitteistovaatimuksista.

Mac-tietokoneissa voidaan käyttää esimerkiksi Filevault-ohjelmaa.

Kannettavissa laitteissa, kuten puhelimissa ja tableteissa on usein omat salauslaitteensa. Esimerkiksi Samsung-puhelimissa on usein käytössä Knox-salausohjelmisto. Tyypillisesti salausohjelmistoille tulisi olla puhelimen valmistajan tuki, jotta ne toimisivat parhaimmalla tavalla.

Suurennetussa kuvassa esimerkki Bitlockerilla salatusta levyasemasta.

Ulkoisissa kovalevyissä levyn salauksesta voi huolehtia joko käyttämällä Windowsin Bitlockeria tai erillistä salausohjelmaa, kuten VeraCryptiä, joka on saatavilla myös Linux ja Mac-tietokoneille.

Kannettavan tietokoneen massamuisti on pieni, mutta se antautuu fyysisesti kenelle tahansa ruuvimeisselin omistajalle. Levyaseman sisältö on siitä syystä tärkeä salata aina erikseen. Sama pätee erityisesti ulkoisiin kovalevyihin, joiden käyttöönotto ilman tietokoneen salasanaa ei edellytä edes ruuvimeisselin käyttöä.

Käytän vain potilastietojärjestelmiä, jotka toimivat pilvessä – täytyykö laitteet silti erikseen salata?

Vahva suositus on, että myös pilvikäyttöön ja erilliseen kirjautumiseen perustuvien tietokoneiden sisältö kannattaa salata. Käytännössä tietokoneella voi olla – joko tilapäisesti tai vähemmän tilapäisesti – ainakin jonkin verran potilastietoja, esimerkiksi lähetteitä, suojattuja sähköposteja tai muuta potilaan hoitoon liittyvää arkaluonteista kirjeenvaihtoa. Myös nämä tiedot tulee suojata asiattomalta käytöltä. Käytännössä tämä onnistuu vain salaamalla koneen sisältö esimerkiksi yllä kirjoitetulla tavalla.