TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2011 / Valmis

Lauri Mäkinen

Julkisen avaimen järjestelmä terveydenhuollossa

1. Johdanto

Suomessa sähköiset potilastietojärjestelmät otettiin kattavasti käyttöön kymmenisen vuotta sitten.[1] Sähköiseen potilaskertomukseen siirtyminen on tuonut mukanaan lukuisia haasteita, sillä käsiteltävät tiedot ovat usein sekä arkaluonteisia ja henkilökohtaisia, että salassa pidettäviä, joten niiden käsittely ja turvallisuus onkin laissa määriteltyä.[2]

Sähköisten potilasasiakirjojen käsittelyn yhteydessä on varmistettava tietoturvan perustavoitteiden toteutuminen. Potilaan hoidon kannalta tarpeelliset tiedot tulee kuitenkin olla potilasta hoitavan henkilökunnan käytettävissä. Sähköisen potilaskertomuksen avulla tietoja voidaan käyttää siellä missä niitä tarvitaan. [2]

Tietoja luovutettaessa ongelmana on ollut osapuolten välisen riittävän luottamuksen saavuttaminen. Julkisen avaimen järjestelmä (Public Key Infrastructure, PKI) tarjoaa ongelmaan yhden ratkaisumallin. [2]

2. Terveydenhuollon tietoturva

Henkilötietojen käsittelyllä on keskeinen rooli terveydenhuollossa. Sähköinen asiakirjojen käsittely ja tiedonsiirto asettavat omat haasteensa tietoturvan toteuttamiselle. Tietoturvalla tarkoitetaan niitä käytännön toimia joilla pyritään turvaamaan potilaan yksityisyys, edut ja oikeusturva sekä rekisterinpitäjän oikeusturva ja luoda henkilötietojen hyvä käsittelytapa kaikkiin eri käsittelyn vaiheisiin. [2, 3]

Terveydenhuollossa asiakas- ja potilassuhde perustuu tiedon luottamuksellisuuteen ja salassapitoon, jolloin asiakkaan on voitava olla varma, että hänen tietojaan käytetään asianmukaisesti. Peruslähtökohtana on, että tietojen käyttö edellyttää aina hoito- tai asiakassuhdetta. [3, 4]

Potilaiden hoitaminen useilla eri osastoilla ja eri organisaatioissa saattaa aiheuttaa sen, että potilastiedot eivät välttämättä kulje potilaan mukana. Tämän kaltaisten ongelmien välttämiseksi terveydenhuollon tietojärjestelmistä pyritään rakentamaan yhteistoiminnallisia integroituja kokonaisuuksia. Näiden integroitujen järjestelmien avulla varmistetaan tiedon liikkuminen potilaiden mukana, sekä voidaan parantaa potilaiden hoidon laatua ja lisätä tehokkuutta.

Tietojärjestelmien yhteistoiminnallisuudesta aiheutuu kuitenkin suuria paineita tietoturvalle, sillä potilaiden arkaluontoiset tiedot liikkuvat vapaammin hoitoyksiköiden välillä. Koska kaiken tiedon liikkumisen tulee tapahtua lainmukaisesti, tietoturvallisesti ja siten, että potilaan yksityisyyttä ja itsemääräämisoikeutta kunnioitetaan, ovat terveydenhuollon organisaatiot vastuussa järjestelmien tietoturvan ja tiedon laadun turvaamisesta.

Tietoturvalla onkin erittäin suuri rooli terveydenhuollon tietojärjestelmissä, sillä käsiteltävät tiedot ovat usein arkaluonteisia ja henkilökohtaisia. Potilaiden hoidon ja turvallisuuden kannalta oleellisia asioita ovat tiedon eheys ja luotettavuus. Järjestelmissä olevien tietojen korruptoituminen tai väärien tietojen tallentaminen esimerkiksi näppäilyvirheen seurauksena, voivat aiheuttaa kohtalokkaitakin seuraamuksia. Lisäksi henkilökohtaiset tiedot on suojattava valtuudettomalta käytöltä. Tietojärjestelmien tietojen käsittely ja turvallisuus onkin määritelty laissa. [3]

2.1 Tietoliikenneturvallisuus

Tietoliikenneturvallisuudella tarkoitetaan toimia, joilla pyritään turvaamaan organisaation tietoliikenne ja varmistamaan välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys. [3] Tammisalon määritelmän mukaan tietoliikenneturvallisuus on tietototurvallisuuden toteuttamista tietoliikenteen osien (laitteiden, järjestelmien ja ohjelmistojen) ja niissä kulkevien tietojen osalta.

Tietoliikenneturvallisuuden keinoina tietojen luottamuksellisuuden saavuttamiseksi voidaan käyttää tietojen salausta ja tietojärjestelmien käyttäjien pääsynhallintaa, käyttöoikeuksien ja suostumusten hallintaa. Tietojen eheys voidaan puolestaan saavuttaa muiden muassa käyttäen tarkistussummia, tarkistuskoodeja ja digitaalista allekirjoitusta. [5]

Erilaisten aluetietojärjestelmien yleistymisen myötä myös tietoliikenneturvallisuuden merkitys on kasvanut terveydenhuollossa. Aluetietojärjestelmissä tietoa välitetään eri organisaatioiden välillä [6] ja tiedon siirtoon käytetään usein avointa tietoverkkoa, eli Internetiä. Internetin käyttö asettaa suuria paineita tietoturvallisuudelle, koska välitettävä tieto on useimmiten salassa pidettävää ja arkaluonteista [2].

Georgoulas et al. [6] luettelevat kuusi turvallisuusuhkaa liittyen tietoliikenneturvallisuuteen terveydenhuollossa:

• luvaton pääsy verkkoresursseihin ja palveluiden luvaton käyttö

• luottamuksellisen/salassa pidettävän terveydenhuollon tietojen paljastuminen

• luvaton pääsy tietoliikenteeseen

• terveydenhuollon tietojen luvaton muokkaaminen

• tietoihin liittyvien päivämäärien kiistäminen

• tietojen alkuperän salaaminen.

Riittävän tietoliikenteen salaamisen lisäksi, yksi parhaista keinoista turvata tiedon luottamuksellisuus ja eheys tiedonvälityksessä on julkisen avaimen menetelmää (PKI-järjestelmä), joka yhdistää julkisen avaimen salauksen, varmenteet ja varmenneorganisaatiot yhdeksi kokonaiseksi arkkitehtuuriksi.

3 PKI terveydenhuollossa

Sähköisen potilaskertomuksen käyttö, mukaan lukien tietojen luovutus terveydenhuollon toimintayksiköiden välillä asettaa vaatimuksia tietoturvan toteuttamiselle. Tietoa liikkuu erilaisten järjestelmien välillä tietoverkkojen, tietokantojen, sekä palvelimien avulla, tavoitteena on täyttää terveydenhuollon toiminnan tarpeet. PKI:n tarjoamia palveluita ovat: vahva todentaminen, tiedon eheys, luottamuksellisuus ja kiistämättömyys. Tieto on ehyttä, kun sitä ei ole valtuudettomasti muutettu. Luottamuksellisuudella tarkoitetaan tietojen säilymistä siihen oikeutettujen henkilöiden tiedossa. Kiistämättömyys on varmuus siitä, että tietty viesti on tietyn henkilön lähettämä tai vastaanottama. Tietovarantojen monimutkaisuus asettaakin paineita tiedon saatavuudelle ja käytettävyydelle, eheydelle sekä luottamuksellisuudelle. Julkisen avaimen järjestelmän palveluiden avulla voidaan toteuttaa terveydenhuollon tietoturvalle asetetut vaatimukset. [2]

PKI-järjestelmän avulla voidaan luotettavasti tunnistaa henkilöt, toimintayksiköt ja palvelimet. Se mahdollistaa niin sähköisen allekirjoituksen kuin yhteisen tietoturvapolitiikan muodostamisenkin. PKI takaa potilasasiakirjojen muuttumattomuuden, tukee digitaalista arkistointia ja sen avulla hallinnoidaan sähköisiä suostumuksia. [2]

PKI-järjestelmässä nimetty varmentaja tuottaa käyttäjille avainparit, varmentaa ne digitaalisella allekirjoituksellaan, takaa varmenteen haltijan henkilöllisyyden ja jakaa varmenteet käyttäjille, ylläpitää varmennehakemistoa ja sulkulistaa sekä mahdollisesti antaa muita järjestelmän käyttöön liittyviä palveluja. PKI-järjestelmässä kullakin käyttäjällä on kaksi toisiinsa liittyvää avainta. Toinen avainparin avaimista on julkinen ja toinen on ainoastaan avainparin käyttäjän hallussa oleva yksityinen avain. Yksityisellä avaimella sähköisesti allekirjoitetun tiedon aitous voidaan todentaa vain vastaavalla julkisella avaimella. Vastaavasti tiedon välittämisessä vastaanottajan julkisella avaimella salattu tieto voidaan muuttaa selväkieliseen muotoon vain vastaanottajan yksityisellä avaimella. [7]

PKI:n osapuolia ovat: varmenne, varmentaja, rekisteröijä, varmennehakemisto, varmennearkisto, varmenteen haltija ja varmenteeseen luottava osapuoli. [2]

Varmenne liittää tietyn julkisen avaimen ja tietyn henkilön tai muun olion toisiinsa. Varmentaja puolestaan on luotettu taho, joka allekirjoittaa varmenteet. Rekisteröijä varmistaa varmenteen sisältämien tietojen oikeellisuuden. Myönnetyt varmenteet ovat saatavilla varmennehakemistosta. Vanhaksi menneet varmenteet arkistoidaan varmennearkistoon. Varmenteen haltija on varmenteen kohde. Varmenteeseen luottava osapuoli käyttää hyväkseen julkisen avaimen järjestelmää. Järjestelmän avulla hän voi turvattomassa tietoverkossa asioidessaan varmistua vastapuolen henkilöllisyydestä. PKI:n osapuolet on esitetty kuvassa 1. [2]

kuva1.png

Kuva 1. PKI:n osapuolet [2]

3.1 Terveydenhuollon varmennepalvelut

Varmennepalvelut ovat osa terveydenhuollon valtakunnallisia tietojärjestelmäpalveluita. Varmenteita ja toimikortteja käytetään sähköisiä potilas- ja lääkemääräystietoja käsittelevien henkilöiden ja organisaatioiden tunnistamiseen sekä sähköisten asiakirjojen allekirjoittamiseen ia tietoliikenteen salaamiseen. [8]

Varmentajana ja varmennepalvelujen tuottajana toimiva Väestörekisterikeskus myöntää terveydenhuollon palveluvarmenteita julkisten ja yksityisten terveydenhuollon palvelujen antajien ja näiden tietoteknisten toimittajien palvelimille ja muille laitteille, jotka ovat yhteydessä valtakunnallisiin terveydenhuollon tietojärjestelmiin sekä em. palvelujen antajien sähköpostijärjestelmissä käytettäviksi. Varmennepolitiikan mukaisesti myönnetyt terveydenhuollon palveluvarmenteet on tarkoitettu palvelimen tai muun tietoteknisen laitteen tunnistamiseen ja todentamiseen sekä tietoliikenteen salaamiseen, tietojärjestelmien tekemiin sähköisiin allekirjoituksiin ja luottamuksellisuuden turvaamiseen sähköisen viestinnän yhteydessä. [7]

3.1.1 Varmenteen käyttökohteet

Terveydenhuollon palveluvarmenteita käytetään terveydenhuollon kansallisissa tietojärjestelmissä. Terveydenhuollon kansallisilla tietojärjestelmillä tarkoitetaan järjestelmiä, joilla toimeenpannaan sähköisestä lääkemääräyksestä (61/2007) ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) annetuissa laeissa Kansaneläkelaitokselle osoitetut tehtävät. Lisäksi terveydenhuollon palveluvarmenteita voidaan käyttää terveydenhuollon ja apteekkilaitoksen muissa tietojärjestelmissä.
Terveydenhuollon palveluvarmenteita on kolmea eri tyyppiä: palvelinvarmenne, järjestelmäallekirjoitusvarmenne sekä sähköpostipalveluvarmenne. [7]

Palvelinvarmenteiden avulla tunnistetaan palvelimet ja muodostetaan SSL-/TLS-salattu tietoliikenneyhteys palvelinten välille. Järjestelmäallekirjoitusvarmenteilla allekirjoitetaan sähköisesti ne potilasasiakirjat ja muut tiedot, joita ei allekirjoiteta terveydenhuollon henkilövarmenteilla. Sähköpostipalveluvarmenteita käytetään usean henkilön yhteiskäytössä (helpdesk, ajanvaraus, kirjaamo, valvomo, tms.) olevien sähköpostiosoitteiden viestien salaamiseen ja allekirjoittamiseen. [7]

3.2 Teknisen turvallisuuden hallinta

Terveydenhuollon palveluvarmenteen avainparin luo varmennetta hakeva organisaatio. Varmentaja luo aina sähköpostipalveluvarmenteen avainparin. Kaikissa tapauksissa varmentaja seuraa avainparin luontiin liittyvien ehtojen täyttymistä ja vastaa osaltaan avainparin toimivuudesta. [7]

Varmentajan avainpari luodaan ja säilytetään turvalaskentalaitteistossa, joka on Euroopan yhteisöjen komission vahvistamien ja Euroopan yhteisöjen virallisessa lehdessä julkaistujen yleisesti tunnustettujen standardien mukainen hyväksyntä. Varmenteen haltija luo itse palvelin- ja järjestelmäallekirjoitusvarmenteen avainparin ja varmentaja luo sähköpostipalveluvarmenteen avainparin. Avainparien turvallinen luomis- ja tallentamisprosessi estää avaimen paljastumisen avaimen luomiseen käytettävän järjestelmän ulkopuolelle. [7]

Sähköpostipalveluvarmenne sekä siihen liittyvä avainpari ja salasana toimitetaan varmenteen haltijalle siten, ettei ulkopuolisten ole mahdollista saada niitä haltuunsa. Palvelin- ja järjestelmäallekirjoitusvarmenteen julkinen avain siirretään varmentajan järjestelmien välillä käyttäen turvallista tietoliikenneyhteyttä. Varmentajan julkisen avaimen sisältävän varmentajan varmenteen voi hakea julkisesta hakemistosta tai varmentajan ylläpitämästä palvelusta. [7]

Varmentajan avaimet ovat vähintään 2048 bitin pituisia RSA-avaimia. Palvelin- ja sähköpostipalveluvarmenteen haltijan avaimet ovat 1024 tai 2048 bitin pituisia RSA- avaimia. Järjestelmäallekirjoitusvarmenteen haltijan avaimet ovat 2048 bitin pituisia RSA- avaimia. [7]

Avainparien luonnissa käytetään standardoituja, korkeatasoisia, tunnettuja ja testattuja menetelmiä ja turvalaskentalaitteistoja. Varmentajan avainparin käyttötarkoitukset ovat varmenteen allekirjoitus ja sulkulistan allekirjoitus. [7]

Palvelinvarmenteen avainparin käyttötarkoitus on varmenteen haltijan todentaminen ja tunnistaminen sekä tietoliikenteen salaaminen, järjestelmäallekirjoitusvarmenteen avainparin käyttötarkoitus sähköinen allekirjoitus ja sähköpostipalveluvarmenteen avainparin käyttötarkoitus sähköpostiviestien salaaminen ja sähköinen allekirjoitus. [7]

4 PKI:n hyödyntäminen Suomessa

Helsingin ja Uudenmaan sairaanhoitopiiri (HUS) otti julkiseen avaimeen perustuvan vahvan todennusratkaisun (PKI) käyttöön vuonna 2003. Saman vuoden lokakuussa myös Varsinais-Suomen sairaanhoitopiiri (VSSHP ) siirtyi käyttämään PKI-pohjaista varmenne- ja hakemistojärjestelmää. [9, 10]

Vuosina 2005–2006 terveydenhuollon oikeusturvakeskus suunnitteli terveydenhuollon ammattihenkilöiden sähköistä valtakunnallista PKI-perustaista varmenne-palvelua ja toteutti sitä koskevan kokeiluhankkeen. Varmennekokeilu toteutettiin liitettynä 12 sairaanhoitopiirin yhdessä ylläpitämään sairaanhoitopiirien organisaatiovarmennejärjestelmään. [11]

Myös Kansallinen terveysarkisto, KanTa?, hyödyntää palveluissaan PKI-infrastruktuuria. KanTa?-palveluihin kuuluvat sähköinen resepti, potilastietoarkisto sekä mahdollisuus katsoa omia terveystietojaan netin kautta. Ensivaiheessa palveluihin kuuluvat terveydenhuollon potilastiedot ja eResepti, jatkossa myös sosiaalitoimen asiakirjat. [12]

KanTa?-liityntäpalvelun, jolla potilastietojärjestelmässä muodostettavat eResepti-sanomat välitetään Reseptikeskukseen, reseptikeskuksen tietoja luetaan ja jonka kautta paluusuuntaiset yhteydenmuodostukset (uudistamispyynnöt) toteutetaan, osalta autentikoinnin ja salauksen toteutuksessa käytetään PKI-infrastruktuuria ja palvelinvarmenteita. [12]

Lisäksi potilastietojärjestelmien kansallisen auditointivaatimuksen mukaan, sähköisessä muodossa olevissa lääkintölaillisissa lausunnoissa ja todistuksissa sekä vastaavissa asiakirjoissa tulee olla asiakirjan laatijan PKI-toteutukseen perustuva allekirjoitus. [13]

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Verkko
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Topic attachments
I Attachment Action Size Date Who Comment
kuva1.pngpng kuva1.png manage 46.7 K 30 Nov 2011 - 18:49 LauriMaekinen  
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 30 Nov 2011 - 19:18:26 - LauriMaekinen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback