Johtaja Minna Saario sosiaali- ja terveysministeriöstä on vuoden 2021 ensimmäinen vieras digiturvakompassissa. Minna Saarion kanssa keskustelemme digitaalisen turvallisuuden kasvavista kansainvälisistä ja suomalaisista riskeistä terveydenhuollossa. Saario pohtii myös mitä voimme oppia Vastaamosta? Tallennettu tammikuussa 2021.
#digiturvakompassin vieraana Minna Saario
Hei! Olen Tuija Kuusisto. Toimin valtiovarainministeriössä tietohallintoneuvoksena.
Minä olen edelleen Kimmo Rousku. Toimin Digi ja väestötietovirastossa eli DVV:ssä VAHTI- pääsihteerinä. Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta ja sitä kautta luottamusta yhteiskunnassa ja Suomen kilpailukykyä.
Tuija Kuusisto:
Tässä Digiturvakompassi sarjassa tapaamme julkisessa hallinnossa vaikuttavia henkilöitä. Mitä on turvallisuus digimaailmassa? Mihin suuntaan digiturvaa pitäisi kehittää? Tässä joitakin kysymyksiä, joita yhdessä pohdimme.
Kimmo Rousku:
Ai siis mikä ihmeen digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskienhallinnasta, toiminnan jatkuvuudesta, tietoturvasta ja tietosuojasta, sekä edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalveluiden toimivuudesta, ja isona kokonaisuutena myös koko Suomen kyvystä selvitä erilaisista digimaailman häiriöstä ja hyökkäyksistä.
Tuija Kuusisto:
Tänään meillä on vuorossa vuoden 2021 ensimmäinen podcasti. Ja tässä ensimmäisessä podcastissa vieraanamme on johtaja Minna Saario sosiaali- ja terveysministeriöstä.
Hyvää iltapäivää, Minna! Ja sydämellisesti tervetuloa tähän meidän podcastiimme.
Minna Saario:
Kiitokset Tuija ja Kimmo. Ja kiitos kutsusta! Tämä on oikein ilahduttavaa. Ja teema on mitä ajankohtaisin, itse asiassa aina.
[musiikkia]
Tuija Kuusisto:
Olet aivan oikeassa.
Näinä korona-aikoina sosiaali- ja terveysministeriöhän on hyvin laajan yleisen kiinnostuksen kohteena. Meillä kaikillahan on voimakas jano tiedosta. Mielellämme tietenkin kuulisimme positiivisia uutisia rokotuksista ja tartuntatilanteesta ja kaukana siintävästä koronan väistymisestäkin.
Tiedämme kuitenkin, että teillä sosiaali- ja terveysministeriössä on koronapandemian aikanakin ollut koko ajan työn alla laaja kirjo myös kaikkia muita lakisääteisiä tehtäviä. Ja tämä meidän aiheemme, digitaalinen turvallisuus, on yksi sosiaali- ja terveysministeriönkin lakisääteisistä tehtävistä. Ja niin kuin me myös syksyn aikana havaitsimme, niin nämä digitaalisen turvallisuuden riskit terveydenhuollossa ovat viime vuosina kasvaneet. Ja niinpä nyt kysyisimmekin ensimmäiseksi, Minna Saario, sinulta, että mitä haasteita näet terveydenhuollon digitaaliseen turvallisuuteen liittyvän Suomessa tai kansainvälisesti?
Minna Saario:
Joo, tämä STM:n toimialahan on tietoturvallisuuden ja kyberturvallisuuden osalta erityisen kiinnostuksen kohteena. Erityisesti varmaankin terveydenhuolto jo pidempään. Erilaisia väärin perusteltua tai rikollista kiinnostusta tähän on esiintynyt pidemmän aikaa. Ja tietysti terveydenhuolto on erityisen tieto- ja tietojärjestelmäintensiivistä. Ja kun tämä toimialan digitointiaste on kasvanut, niin siihen on myös enenevästi kohdistunut turvallisuusuhkia ja väärinkäytöksiä. Että uhkat ja rikolliset toimet ovat sekä Suomen sisäisiä että kansainvälisiä. Ja laajemmat suunnitelmat valmistetaan ja toteutetaan ilmeisesti hyvinkin monikansallisesti. Osa näistä uhkista on aiheutunut tai motivoitunut tästä koronapandemiasta, mutta en näe sitä keskeisimmäksi syyksi turvallisuusuhkien lisääntymiselle.
Terveystiedot henkilötasoisena tai jotenkin liiketoiminnassa hyödynnettävänä tietomassoina kiinnostavat rikollisia, koska niissä on tietokannoissa koottuna merkittävästi enemmän tietoa kuin aiemmin. Ja tuo liiketoimintahyöty on yksi merkittävä asia. Siinä tietysti on hyvä nähdä, että kyse ei ole aina välttämättä rikollisesta toiminnasta. Mutta esimerkiksi lääketeollisuus on yksi, joka on erittäin kiinnostunut suomalaisistakin terveystiedosta.
Mutta vaikka digitalisointi on lisännyt joitain riskejä, on toisaalta huomattava, että arkaluonteisia tietoja pystytään kokonaisuutena käsittelemään turvallisemmin digitaalisesti kuin manuaaliprosessein. Että tietoturvallisuustoimet, tekniset ja toiminnalliset, vaikuttavat parhaiten, kun ne ovat osa kaikkien työn ja toiminnan arkipäivää ja niitä noudatetaan suunnitelmallisesti ja huolellisesti. Siksi keskeisin haaste on mielestäni se, että me emme usko riittävästi oman toimintamme ja tietovarantojemme kiinnostavuuteen rikollisuuden kohteena. Siksi näihin tietoturvallisuustoimiin ja niiden huolelliseen toteuttamiseen ei haluta ehkä panostaa riittävästi, tai ei ymmärretä ja niiden ylläpitoon väsytään.
Kimmo Rousku:
Nostit tuossa esille osin tämän kansainvälisen puolen. Keskusteltuasi kollegoittesi kanssa EU-tasolla esimerkiksi, niin meillä on varmaankin tämä sama ongelma useimmissa EU-maissa. Mutta johtuen juuri siitä, että me olemme Suomessa niin paljon muita edellä, niin sen takia ehkä Suomessa nämä meidän suomalaiset palvelut koetaan houkuttelevampana kohteena. Vai miten vertaisit meidän asemaamme muuhun EU-tasoon?
Minna Saario:
No tuo on kysymys, johon en kyllä ihan hirveän hyvällä pohjalla pysty vastaamaan. Mutta nimenomaan on noin, että meidän tietovarannot ovat laadukkaat ja laajat. Ja nyt tässä terveydenhuollossa vaikuttaa tietysti myös meidän väestömme homogeenisuus ja näiden tietojen ulottuminen aika pitkälle historiaan. Nämä ovat niitä tekijöitä. Mutta sitten taas meidän väestöpohja on aika pieni. Että siinä mielessä se on ehkä suojaava tekijä.
Sinänsä nämä tietoturvallisuuskysymykset EU-tasolla ovat vahvasti esillä. Ja näistä on itse asiassa aika tuorekin EU:n kyberturvallisuusstrategia julkistettu. Ja sitten tämä terveydenhuolto nimenomaan, ei niinkään sosiaalipalvelut, on niissä yhteisissä pöydissä keskusteluissa. Ja tässä on päästy eteenpäin. Toki GDPR oli yksi keskeinen tekijä. Ja nyt käydään EU-tasolla keskustelua myös näiden isojen IT-jättien toiminnan regulointitarpeesta. Nämä kaikki sitten tietysti hyödyttävät Suomeakin. Me ollaan itse kovin pieni toimija, saamaan mitään merkittäviä systeemisiä muutoksia aikaan.
Mutta terveystiedoista sanoisin, että varmaankin ollaan etunenässä. Ja näiden riskien suhteen en näe, että me olisimme kuitenkaan merkittävästi isommissa riskeissä.
Tuija Kuusisto:
Niin. Mainitsit tuon EU:n yleisen tietosuoja-asetuksen GDPR:n, joka tässä muutama vuosi sitten aika laajasti herätti yhteiskunnassa huomiota, kun järjestöt ja eri toimijat lähtivät miettimään näitä tietosuojaselosteitaan ja pohtimaan taloyhtiöitä myöten henkilötietojen käsittelyä. Ja sehän oli aika iso muutos, mikä meidän yhteiskunnassa järjestöpuolella ja yksityisellä sektorilla tapahtui.
Nyt sitten viime syksynä nämä ikävät ja valitettavat tapahtumat nostivat esille tätä tietosuojaa terveydenhuollon piirissä toimijoissa, joihin kansalaiset ovat tottuneet luottamaan, kun oli tämä Vastaamon keissi, joka kosketti syvästi yksityistä elämää ihmisillä. Mitä ajattelet, johtaja Minna Saario, että mitä olemme Vastaamon tapahtumista ehkä oppineet?
Minna Saario:
Joo. Se on ollut asia, joka on kyllä meillä ollut mietinnässä. Todella ikävä tapahtuma ja tosiaankin rikollista toimintaa. Että jos lähtee nyt vähän raamittamaan tuota, niin sosiaali- ja terveysministeriössä, tietysti niin kuin muutkin ministeriöt, niin meidän rooli on tässä lainsäädännössä ja regulaatiossa ylipäätään. Ja nyt tässä sosiaali- ja terveydenhuollon asiakastietojen osalta keskeinen säädös on asiakastietolaiksi nimetty laki, joka sitten asettaa vaatimuksia tietojenkäsittelijöille ja tietojärjestelmille. Eli näiden yleisten säädösten lisäksi.
Ja siinä asiakastietolaissa myös vastuutetaan tietoturvallisuuteen liittyviä tehtäviä eri toimijoille. Että viranomaisille kuuluu mahdollisuus antaa tietoturvallisuuteen liittyviä määräyksiä ja ohjeita ja valvoa niiden noudattamista. Mutta sitten asiakastietojen käsittelystä vastaavat lähtökohtaisesti aina ne organisaatiot, jotka niitä tietoja keräävät siinä oman toimintansa ohella. Eli sote-palvelujen tuottajat ovat tässä avainroolissa. He ovat vastuussa... (ääni pätkii) Ja tämä on yleinenkin tietoturvallisuuden periaate, että tätä ei pysty sysäämään jonkun yhden tahon vastuulle ja ajattelemaan, että asia on hoidettu.
Sitten se mitä me pyritään tekemään, on tietysti erilaisilla foorumeilla osallistua yhteistyöhön ja seurata tietoturvallisuustilannetta. Pyritään mahdollisimman aikaisessa vaiheessa toteamaan tai tunnistamaan mahdolliset säädösmuutostarpeet sekä yleiseen että toimialakohtaiseen lainsäädäntöön.
Tähän Vastaamon tapaukseen liittyen, niin tämä asiakastietolain uudistaminen on tällä hetkellä eduskunnassa. Siellä on nyt tiettyjä muutoksia, joilla pystyttäisiin riskejä tuon tapaisille tapauksille vähentämään. Siellä on lisätty niitä tietojärjestelmien vaatimuksia, jotka liittyvät Kanta-palveluihin. Sitten myös esitetään, että valvontatoimintaa voitaisiin vahvistaa.
Ja sitten muutoin tässä nyt sote-uudistus on yksi keskeinen tekijä, joka tähän toimintaan vaikuttaa. Siinä ollaan liikkeellä sillä tavalla, että kun näitä uusia alueita ja niiden toimintaa ollaan valmistelemassa, niin me osallistumme siihen valmisteluun ja pidämme nämä tietoturvallisuuskysymykset mukana valmisteluprosessissa.
Tietoturvallisuus, voi sanoa, on kuitenkin ympäri Suomen tunnistettu kyllä kriittiseksi asiaksi. Ymmärretään se, ja nähdään laajasti että sen valmistelu ja toimeenpano on tarkoituksenmukaista tehdä laajassa yhteistyössä. Siinä mielessä rohkaisevaa, että ei ole sellaista, että se tilannekuva olisi huono.
Kimmo Rousku:
On ilahduttavaa kuulla, että näiden tapahtumien perusteella on pystytty käynnistämään toimenpiteitä. Ja tavallaan riskienhallinnan näkökulmasta on tuotu näitä asioita ja saatu niitä toimenpiteitä, joilla toivottavasti pystytään tähän vaikuttamaan.
Ja tässä nyt on vahvasti ollut esillä termi "luottamus". Ja yleensäkin tämän turvallisuuden yhteydessä puhutaan paljon luottamuksesta. Me toteutettiin loppuvuodesta tällainen Digiturvabarometri-kysely. Siellä 80 % vastaajista luottaa siihen, että viranomaiset käsittelevät turvallisesti ihmisten henkilö- ja muita tietoja. Mutta yrityksiin luottaa vain 27 %. Mitä, johtaja Minna Saario, sinusta on luottamus?
Minna Saario: Tämähän on tässä meidän... (ääni pätkii) ...ihan keskeinen kivijalka koko toiminnalle. Ilman luottamustahan näistä palveluista putoaa pohja.
Tässä pitäisi ehkä sitä vahvistaa vielä, että ymmärretään toiminnassa, että se luottamus on oleellinen osa sitä palvelujen laatua ja vaikuttavuutta. Ja erityisesti varmaan tällaisissa, mikä tässä Vastaamon tapauksessakin oli, että kun on kyse terapiapalveluista, niin jos asiakkaat eivät luota siihen, niin silloin on aika epätodennäköistä, että se palvelu vaikuttaa, niin kuin sen pitäisi. Ja nämä pitää olla kunnossa.
Ja ehkä nyt joillakin toimijoilla olisi tässä kohentamisen paikka, että ymmärretään, että tietoturvallisuusasiat eivät ole mikään erillinen asia. Jos se ymmärretään hallinnollisena lisäkuormana ja kustannuseränä, niin silloin ollaan väärässä ajattelussa. Päinvastoin: pitäisi nähdä se liiketoimintaetuna ja sen takia olla siellä prioriteettilistan kärjessä, että ne hoidetaan kunnolla.
Sen voisi tietysti tähän vielä muistutuksena sanoa, että asiakastietolaissa säädetyt velvoitteet koskevat yksityisiä palveluntuottajia yhtä hyvin kuin julkisiakin. Tässä ei ole sikäli eroa.
Sitten se, että yritystoiminnasta tuollaista esiin tulee, on tietysti huolestuttavaa. Mutta oma tulkintani on, että ei se ole mitenkään yleistettävissä kaikkeen yksityiseen toimintaan onneksi. Tällaista tämä mielestäni vähän indikoi. Väärää asennetta siihen tietoturvallisuuteen.
Ja tietysti mielestäni se ehkä tuossa oli - jos nyt jotain hyvää hakee - niin ilahduttavaa, että nämä Vastaamon asiakkaat aika nopeasti löysivät toisensa ja lähtivät kollektiivisesti tulemaan ulos. Ja myös olemaan vastaamatta mihinkään kiristysvaatimuksiin. Että asiakkaiden pitäisi myös, jos kykenevät, olemaan hereillä näistä ja vaatimaan tietoturvallisia palveluita tai kyseenalaistamaan niitä, jos toteavat jotain huolestuttavaa niissä.
Tuija Kuusisto:
Mitenkäs, Minna Saario ja Kimmo, teitähän itse asiassa yhdistää yksi piirre. Tämä tietotekniikan alan yhteisö Tivi vuosittain julkaisee listan sadasta merkittävimmistä IT-vaikuttajasta, ja Kimmo ja Minna Saario, tehän olette molemmat tällä tuoreimmalla listalla, joka noin kuukausi sitten julkaistiin vaikuttajista.
Niin miten, Minna Saario, näet, että tässä terveydenhuollon alueella digitaalisen turvallisuuden, tietoturvallisuuden ja kyberturvallisuuden edistämiseen aidosti on mahdollista vaikuttaa suomalaisessa yhteiskunnassa? Niin että tässäkin keskustelussa yksityisyydensuojasta ja yksityisten henkilötietojen suojasta ja luottamuksesta viranomaisiin ja myös yksityisiin palveluntarjoajiin voitaisiin päästä eteenpäin. Ja saataisiin tilanne, jossa kansalaiset voisivat olla ihan varmoja, että kun he asioivat jonkun terveydenhuollon palveluntarjoajan luona, niin siellä käydyt keskustelut ovat luottamuksellisia, jos eivät henkilöt itse toisin päätä? He itse voisivat päättää, mitä asioita julkaisevat ja mitä eivät, ettei tulisi tällaisia yllätyksiä. Onko tähän mahdollista jollakin tavalla vaikuttaa meidän yhteiskunnassa?
Minna Saario:
No se on tietysti aika laaja kysymys. Niin kuin tuossa totesin, niin mehän ministeriöissä vastaamme tästä lainsäädännöstä. Sehän tässä on keskeinen työkalu näihin asioihin. Mutta mikäli näitä säädöksiä ja määräyksiä ei noudateta, niin sittenhän ei kovin paljon eteenpäin päästä. Kyllä itse näen, että tällaista vaikuttamistyötä ja keskustelua eri foorumeilla tarvitaan. Ja itse asiasssa ollaan STM:n puolella miettimässä, pystyttäisiinkö me tässä kytkeytyen tuohon sote-uudistuksen aika luontevasti, niin tätä teemaa pitää esillä ja tukea toimijoita tässä. Meillä on myös jonkun verran yhteistyötä tuonne sote-yritysten suuntaan. Siellä on siis tuo Hyvinvointialan liitto ja Teknologiateollisuus ry niitä, joiden kanssa näistä teemoista aina tavatessamme vähän keskustellaan.
Ei ole pitkä aika, kun mietittiin, että mikäli järjestetään joitakin teemoja yrityksille, niin voitaisiin niihin osallistua. Lähinnä tuollaista juuri keskusteluihin osallistumista. Ja ehkä se rooli voisi meillä olla avata myös tätä säädöspohjaa. Se ei välttämättä ole kauhean tuttua. Tai ainakaan laajemmin. Ehkä keskeisimmät asiat tunnetaan, mutta sitten niitä yksityiskohtia ja perusteita on ehkä tarpeen vielä jakaa.
Kimmo Rousku:
Tuohon äskeiseen Tuijan hyvään kysymykseen ja havaintoon, niin ehkä voisi vielä yleismaailmallisesti tuoda sen näkökulman, että kun pyrin seuraamaan tietysti suomalaista tilannetta ja vertaamaan sitä, mitä globaalisti tapahtuu, niin vaikka meilläkin on viime aikoina tapahtunut enemmän erilaisia onnistuneita kyberhyökkäyksiä, niin tämän suhteen meillä tilanne on kuitenkin varsin hyvä. Koska käytännössä kun seuraa kansainvälisesti, niin joka maasta löytyy nämä omat Vastaamon kaltaiset, jopa paljon huolestuttavammat tapauksensa. Tai jos jonnekin eduskuntaan on meille kohdistunut kyberhyökkäys, niin Pohjoismaista löytyy hyvin tuoreita vastaavanlaisia.
Eli kyllä nämä digitaaliseen toimintaympäristöön liittyvät uhat ovat globalisoituneet. Ja monessa muussa maassa ollaan vielä enemmän koettu tämän tyyppisiä onnistuneita hyökkäyksiä ja ongelmia. Ja tämä on mielestäni erittäin hyvä herätys meille kaikille, että nyt pitää oikeasti ryhtyä siihen työhön, jolla me mahdollistetaan tämä luottamus ja nämä turvalliset palvelut.
Ja tästä päästäänkin hyvin siihen kysymykseen, että miten Minna itse huomioit digitaalisen turvallisuuden omassa elämässäsi?
Minna Saario:
Tämä oli aika hyvä kysymys. Mietin näitä tässä ennakkoon, niin sitä on syytä pohtia, onko se riittävää. Mutta kyllä minä pyrin olemaan digiturvallisuuskriittinen asiakas ja palvelujen käyttäjä. Vaikka muissa kuin julkisissa tai tarkasti säädellyissä, kuten terveydenhuollon palveluissa, se on vielä usein liian vaikeaa.
On monennäköisiä palveluja, joissa minusta kysytään tarpeettomasti pakollisena joitain tietoja, tai joiden tunnistautumisratkaisut ovat puutteelliset, niin jätän ne kyllä käyttämättä. Mikä tietysti välillä harmittaa, jos haluaisin hankkia jonkun palvelun tai tuotteen juuri joltakin tietyltä yritykseltä. Mutta sitten jos nämä asiat ovat huonolla tolalla, niin pitää jättää hankkimatta. Tämän tyyppistä. No sitten ihan näihin privaattityökaluihin koitan pitää kaikki tietoturvasovellukset ja -palvelut pystyssä ja ylläpitää niitä jatkuvasti.
Sitten tämä meidän klassikko, salasanakäytännöt: Koitan niissä olla huolellinen ja noudattaa niitä periaatteita. Keskeisenä ehkä, että en käytä samoja salasanoja eri palveluissa. Ja ehkä tähän henkilökohtaisuuteen liittyy sellainen, että itselläni on arkistonhoitaja kokemusta vanhassa työhistoriassa ja tämä paperimaailma tuttua. Niin hävitän kaikista paperidokumenteistani tiedot, mikä joita kuita lähihenkilöitä aina välillä huvittaa. Mutta tällaisia asioita.
Tuija Kuusisto:
Juu! Erittäin hyviä käytäntöjä! On varmasti meille kaikille muistutuksena, että voidaan näitä hyvin huolellisesti miettiä ja omassa elämässämme noudattaa, niin selvitään tässä digimaailmassa loppujen lopuksi helpommalla, ilman että joudutaan erilaisten kiristäjien tai muiden uhriksi. Eihän se välttämättä vaikka olisi kuinka huolellinen, niin kuitenkaan onnistu, mutta ainakin voidaan ehkä niitä mahdollisuuksia vähän pienentää.
Mutta kiitos kovasti, Minna, arvokkaista näkemyksistäsi ja tästä hyvin meitä kaikkia koskettavasta ja haastavasta aihealueesta. Sosiaali- ja terveydenhuollon tietoturvallisuus, ei mitenkään helppo aihe. Ja voimia näinä rankkoina pandemia-aikoina ja tänä etätyöaikana siihen puurtamiseen. Että varmaankin kun jaksetaan tämä kevät sinnitellä, niin kyllä sitten auringonvalo paistaa jo kesällä. Näin täytyy jaksaa uskoa!
Kiitos kovasti!
Minna Saario: Kiitos paljon teille!
Kimmo Rousku: Kiitos!