HealthDataBusiness@Change-koulutukset – Kohti entistä vahvempaa (tieto)turvallisuutta

huhtikuu 4, 2022

Kasven HealthDataBusiness@Change -hankkeen koulutussarjassa kuultiin 23.-24.3. tärkeää asiaa erittäin ajankohtaisesta aihepiiristä eli tietoturvasta. Kouluttajana toimi Solita Oy:n Tuomas Granlund.

Uusissa lääkinnällisiä ja in vitro diagnostisia laitteita koskevissa englanninkielisissä asetuksissa tietoturvasta puhutaan termillä ’security’, kun taas sana ’safety’ kääntyy paremmin potilasturvallisuudeksi. Suomenkielisissä käännöksissä ’security’ liitetään termeihin tietoturvallisuus (information security), tietotekninen turvatoimenpide (IT security measure), turvallisuuspaikkaus (security patch) ja tietosuojarikkomustapaus (IT security breach). Näistä tietoturvallisuus ja tietotekninen turvatoimenpide (sekä muut MDCG 2019-16 kuvaamat vaatimukset) liittyvät yleisiin turvallisuus- ja suorituskykyvaatimuksiin (asetusten liite I), joten joka ikisen valmistajan tulee käydä tarkasti ne läpi ja tunnistaa, miten ne soveltuvat omalle kohdalle.

EU on julkaissut MDCG-ohjeistuksen MDCG 2019-16 Guidance on cybersecurity for medical devices, joka kuvaa erinäisiä vaatimuksia tietoturvalliseen toimintaan liittyen. Ohjeistus on päivitetty viimeksi heinäkuussa 2020. Ohjeistuksessa mm. kuvataan prosesseja, jotka sisältävät tietoturvaa sekä ennen markkinoille saattamista, että markkinoille saattamisen jälkeen. Näitä ovat esim. tietoturvallinen suunnittelu, riskinhallinta ja riskinvalvontatoimenpiteet sekä hyöty-riski -suhteen arviointi, teknisen dokumentaation laatiminen ja ylläpito, markkinoille saattamisen jälkeinen valvonta sekä siihen liittyvä raportointi sekä kliininen arviointi.

Koska riskinhallinta on aivan laadunhallinnan ydintä myös tietoturvan näkökulmasta, tulisi riskinarvioinnissa tunnistaa ja erotella puhtaat tietoturvariskit, puhtaat potilasturvallisuusriskit sekä tietoturvariskit, joilla on vaikutusta myös potilasturvallisuuteen. Näitä on kuvattu tarkemmin tuoreessa standardissa IEC 81991-5-1:2021 tieto- ja potilasturvan yhteisvaikutuksia sekä tietoturvatoimenpiteitä, jotka vaikuttavat potilasturvallisuuteen, kun taas IEC 62304:20016/A1:2015 -standardi kuvaa ennemmin potilasturvatoimenpiteitä, jotka vaikuttavat tietoturvaan. Arviolta sellaisia tietoturvariskejä, joihin ei liity potilasriskejä on n. 1/3 kaikista riskeistä, kun loput 2/3 liittyvät ISO 14971 mukaiseen riskinhallinnan prosessiin. Riskinhallinnassa voi myös huomioida eri toimijat ja heidän vastuunsa – tietoturvariskejä on mahdollista ja järkevää jakaa eri vastuutahoille.

Tietoturvan tavoitteiden kuvaamisessa voidaan käyttää CIA-lyhennettä: huomioidaan siis luottamuksellisuus (confidentiality), eheys eli että tieto on oikeaa ja täydellistä ja sen autenttisuus voidaan varmistaa (integrity) ja saatavuus (availability). Näiden vastakohtia vaarantuneen tietoturvan myötä ovat esim.  tietomurron kautta menetetty tiedon luottamuksellisuus, vääräksi muutettu tieto tai että tietoon pääsy on estetty.

Koulutuksessa perehdyttiin myös moniin sotaisilta kuulostaviin termeihin kuten hyökkäyspinta-ala, uhkamallinnus ja haavoittuvuus, ja keskusteltiin siitä, miten tärkeää on saattaa tasapainoon laitteen käytettävyys ja tietoturvan tasot riskinhallintaan pohjaten, koska tietoturvatasojen lisääminen lisää myös kehittämiseen liittyviä kustannuksia – ja joskus myös käytettävyyden kustannuksella. Kun tietoturva-asioita lähdetään yrityksissä käytännössä edistämään, voisi Kyberturvallisuuskeskuksen haavoittuvuuslistausten seuraaminen edesauttaa oman tuotteen haavoittuvuuksien tunnistamisessa sekä niihin varautumisessa ja reagoimisessa.

Toinen koulutuspäivä keskittyi tuoreeseen standardiin IEC 81991

1-5-1:2021 Security activities in the product life cycle, joka nimensä mukaisesti kuvaa tuotteen tietoturvallisuuteen liittyvää prosessia jo tutumman ISO 27001:2013 (Informaatioteknologia. Turvallisuustekniikat. Tietoturvallisuuden hallintajärjestelmät. Vaatimukset) lisäksi ja tarkentamiseksi. Standardi kuvaa laajasti ohjelmistokehityksen ja tuotantoon siirtämisen prosesseja katselmointeineen, ja tätä standardia onkin hyvä lukea rinnakkain ohjelmiston elinkaarenhallintastandardin IEC 62304:n sekä ISO 13485:n 7-kappaleen (Suunnittelu, kehittäminen, tuotteen toteuttaminen) kanssa.

Kuinka yritykset voivat sitten osoittaa täyttävänsä tietoturvavaatimuksia? Erilaisia tietoturva-arviointeja tehdään eri kriteerejä vastaan, joita ovat esim. OWASP Top10, ASVS, MASVS. Suomessa yritysten on mahdollista saada Traficomin myöntämä tietoturvamerkki (Finnish cybersecurity label), lisätietoa tästä löytyy Lisäksi esim. IEC 27001 -standardin mukainen sertifiointi osoittaa yrityksen prosessien täyttävän kansainvälisesti asetettuja vaatimuksia. Jatkossa IEC 81991-5-1 noussee tärkeäksi standardiksi tuotteiden näkökulmasta, ja tämän standardin harmonisointia odotellessa ensimmäisiä askeleita tuotekehitysprosessien kehittämiseksi on jo hyvä ottaa. Tässä standardin liite B (Guidance on implementation of secure life cycle activities) on erinomainen paikka lähteä liikkeelle.

Tietoturva – oli kyseessä sitten yrityksen tai tuotteen taso – on asia, joka yritysten on liiketoiminnan jatkuvuuden näkökulmasta laitettava kuntoon tai jota vastaavasti on ylläpidettävä ja kehitettävä. Jos teillä on tähän liittyviä kysymyksiä, olethan yhteyksissä ja lähdetään yhdessä kehittämään (tieto)turvallisempaa toimintaa!

Jari

HealthDataBusiness@Change-hanke on Euroopan sosiaalirahaston ja Etelä-Savon Ely-keskuksen rahoittama ja sen toiminta-aika on 15.6.2021-14.6.2022. Lisätietoja: Henna Heiskanenhenna.heiskanen@kasve.com, 050 5669405.

Jari Kaikkonen

QA/RA Specialist