Küberintsidente ja muid terviseandmete lekkeid on tervishoiuasutustes toimunud nii Eestis kui igal pool üle maailma. Uku Särekanno, Riigi Infosüsteemi Ameti (RIA) küberturvalisuse teenuse juht, on selle kohta öelnud, et küberturvalisuse “kett on täpselt nii tugev, kui tugev on selle nõrgim lüli”. Tervishoiuasutustele tähendab see eelkõige seda, et küberturvalisuse tagamine ei piirdu ainuüksi turvalise infosüsteemi valimise või seadmete soetamisega. Tegemist peab olema süstemaatilise ja järjepideva tegevusega, kus andmevahetuse kõik süsteemi osad on turvatud. Oluline on siinkohal üle korrata, et esmavastutus seadme või süsteemi turvalisuse eest lasub seadme omanikul endal, olgu selleks siis FIEna registreeritud arst või mõni muu äriühingu vorm.
Miks küberturvalisuse tagamine on osa meditsiinitöötaja kohustusest?
Arstide oskused tänapäeval ei piirdu ainult teadmistega, mis puudutavad näiteks stetoskoobi kasutamist, vere võtmist, haavade sidumist või inimorganismi mõjutamist. Sellele on lisandunud oskus mõista, kuidas tehnoloogia (sh arvutid) ja muud meditsiini süsteemid võivad mõjutada patsiendi elu ja õiguseid. Kuigi hetkel perearstikeskustes kasutatavad digi-lahendused ei ravi otseselt patsienti ennast, moodustavad nad siiski osa patsiendi raviteenusest, kuna näiteks elektrooniline tervisekaart Eestis, ehk digilugu, ei ole enam pelgalt mugavusteenus, vaid on saanud osaks arsti igapäevastest töökohustustest. Seda täidetakse ühest küljest selleks, et patsiendil oleks ülevaade oma terviseandmetest. Sealjuures saavad patsiendid ise otsustada, kes ja mil määral nende andmeid näeb ja mida võidakse nende andmetega teha. Praktikas tähendab see platvormi, kus rakendatakse andmekaitse üldmääruse nõudeid. Teiselt poolt lihtsustab digilugu arstide tööd, kuna patsiendiga seotud info on kättesaadav ühest süsteemist.
Miks ainult turvatud tarkvarast ei piisa?
Selleks aga, et patsiendi elektroonilist tervisekaarti täita, on lihtsustatult öeldes vaja arvutit, tarkvara, interneti ühendust ning hoolitseda nende turvalisuse eest. Tehniliselt rääkides on tegemist infoedastamise lülidega – arvuti, tarkvara, internet – ning praktikas hoolitsevad nende küberturvalisuse eest erinevad koostööpartnerid. Medisoft, kes on üks suuremaid sotsiaalkindlustus- ja meditsiinitarkvara tootjatest Eestis, hoolitseb näiteks oma tarkvara (software) küberturvalisuse eest. Samas jäävad nende teenuse alast välja perearstikeskuste arvutivõrgud (network) ning kõik seadmed (nt arvutid), mis nende tarkvara kasutavad. Seega, kui perearstikeskused loodavad ainult turvalise tarkvara peale, siis luuakse teadlikult kurjategijatele tagauks läbi arvuti ja võrgustruktuuri, mille kaudu on võimalik mõjutada kogu infosüsteemi terviklikkust. Siinkohal kehtib põhimõte, et kui kasvõi üks süsteemi osa – arvutivõrk (network), seade (arvuti) või tarkvara (software) – on haavatav, siis tagajärjed võivad olla pöördumatud, kuna turvariskid võivad tekkida arvuti kasutamisest, võrguühendusest, tarkvarast, viirusest või ka andmete edastamisest.
Nakatanud seade võib otseselt mõjutada patsiendi tervist
Riigi Infosüsteemi Amet tõi oma 2018. aasta Kübeturvalisuse raportis välja, et „kurjategijate elu saab teha kas väga lihtsaks või keeruliseks“ vastavalt sellele, kas küberriskidele pööratakse tähelepanu. Samuti tõdes RIA, et „2018. aastal jätkus trend, et kui seadmed on haavatavad, siis seda kasutatakse ära“. Eriti ohtlikuks muudab see olukorrad, kus pahavaraga nakatunud seade võib edastada valeandmeid, mistõttu võib arst panna vale diagnoosi, ravi võib hilineda ja tekkinud tüsistused võivad olla juba pöördumatud.
Seega on tänapäeva tervishoiuteenuse osutamise kvaliteedi juures määrav mitte ainult arsti diagnoosimise ja ravi kiirus ja täpsus, vaid ka korraliku IT esmaabi partneri olemasolu. Näiteks Keila Perearstikeskus on valinud endale koostööpartneriks Trumpiti, kes on Eesti ettevõte ja tegeleb riist- ja tarkvara regulaarse halduse ja korrashoiuga.