Kuidas parandada perearstikeskuste küberturvalisust?

Autor: Perit Kirkmann, juhtivekspert, Riigi Infosüsteemi Amet, küberturvalisuse teenistus, kriitilise informatsiooni infrastruktuuri kaitse osakond

Sellega võrdlus ka lõppeb, sest tööeesmärgid on täiesti erinevad. Tervishoiutöötajate eesmärk on aidata inimesi ja päästa elusid. Kurjategijad otsivad vaid viise, kuidas iga nõrkus ja viga kõige efektiivsemalt rahaks muuta. Seetõttu rünnatakse teenuseid, millest sõltub palju.

Küberkurjategijadproovivad viia tõsiseid ja suure mõjuga lunavararünnakuid läbi ka pühade ajal ja nädalavahetuseti. Valvas tuleb olla alati, eriti praegusel pandeemiaajal, kus perearstide töökoormus ja panus Eesti inimeste tervise kaitsmisel on oluliselt kasvanud. Tuleb tagada, et üldarstiabi osutamist toetavad infosüsteemid toimiksid turvaliselt ja tõrgeteta ning terviseandmed oleksid kaitstud. Vastasel juhul räägime rasketest tagajärgedest. Alles hiljuti oli ühe Eesti haigla töö tugevalt häiritud, sest infosüsteeme polnud võimalik kasutada. Õnneks oli tegu võrguseadme rikkega, mitte rünnakuga, ning see juhtus töövälisel ajal. Siiski näitas see, kui haavatavad võivad tervishoiuasutused olla.

Küberkurjategijad ja süsteemide turvanõrkused on enamiku jaoks tuttavad väljendid, mis aga kipuvad päriselus ununema. Need ei ole meile füüsiliselt nähtavad ja tajutavad, seetõttu on ka raske hoomata, millised on andmete säilitamise ja kasutamisega seotud ohud. Lihtne on saada aru, et vales kohas pimesi teele joostes võib saada autolt löögi. Raske on aga selgitada seda, et jättes infosüsteemid piisava tähelepanuta, võib keegi võõras terviseandmetele ligi pääseda ja tervishoiuasutus neist ilma jääda. Võib ka juhtuda, et ühel hetkel ei saa enam inimeste terviseandmetele ligi, nagu aasta esimeses pooles Põhja-Iirimaal pärast küberrünnakut (1). Iirimaa haiglate esindaja ütles, et rünnak viis nad tagasi 1970. aastasse.

Oma vara tuleb kaitsta ka küberruumis

Nii nagu paigaldame ustele lukud ja valvestame ruumid, et ligipääs varale oleks vaid nendel, kellel selleks volitus, peame toimima ka küberruumis. Meditsiinisektor on küberrünnakute suhtes haavatav nii Eestis kui kogu maailmas. Eestist on tuua mitmeid näiteid lunavarajuhtumitest perearstikeskustes, kus küberkurjategijad küsivad andmete eest suuri summasid. Sellised küberintsidendid võivad halvata perearstikeskuse töö päevadeks ja on tõenäoline, et andmeid ei saadagi tagasi. Õnneks ei pea me istuma, käed rüpes, ja ootama küberrünnakut. Liiklusseadus ja -haridus aitavad hoida ära suure hulga õnnetusi: suur osa inimestest teab, kuidas ületada teed turvaliselt ja targalt. Sama saab teha digitaalses liikluses.

Üks ennetavate meetmete kogum on Haigekassa kodulehel (www.haigekassa.ee → Partnerile → Raviasutusele → Perearstiabi → Juhendid ja taotlused), kust leiab juhendi „Baasturbe meetmed perearstidele“ (2). See sisaldab üldisi samme ja soovitusi, mida perearstikeskus saab oma süsteeme üles ehitades ja hoides aluseks võtta. Seal on kirjas põhimõtted, kuidas keskus peaks oma infoturvet korraldama ja haldama. Sellest on abi ka võrgu- ja infosüsteemi riskianalüüsi koostamisel. Kui juhend jääb liiga tehniliseks, saab selle anda oma IT-teenusepakkujale sisendiks.

Perearstidele jõustuvad uued turvanõuded

Uuel aastal jõustuvad perearstidele uued nõuded. Küberturvalisuse seadus ühtlustab 1. jaanuarist 2022 perearstide kasutatavate infosüsteemide turvanõudeid. Muudatuste eesmärk on paremini hoida ära isikuandmete lekkeid või andmete krüpteerimist lunavararünnakutega. Kohustuslikuks muutub üldarstiabi osutamisel kasutatavate võrgu- ja infosüsteemide riskianalüüsi koostamine.

Võrgu- ja infosüsteemi riskianalüüs võib näida esmapilgul keeruline ja tehniline. Sisuliselt aga teevad inimesed riskianalüüse iga päev, kuigi me neid selliselt ei nimeta. Riskide analüüsimine on oma tegevuste läbimõtlemine, nendega seotud ohtude teadvustamine ja vastumeetmete kasutamine, et vähendada ohtude tõenäosust. Patsientide ja personali kaitseks kasutatakse ühekordseid kindaid, maske ja süstlaid, pestakse tihedalt käsi jms. Kõik need ennetusmeetodid on selleks, et järgmine patsient oleks paremini kaitstud.

Samamoodi tuleb talitada infosüsteemide ja andmete kaitsmisel. Järjest rohkem teenuseid ja tööks vajalikke tööriistu on elektroonilises keskkonnas. Sõltuvus infosüsteemidest on kasvav trend. Riskianalüüs aitab teadvustada perearstikeskuse küberriske ja vastumeetmete rakendamine parandada perearstikeskuse turvalisust. Nii saab vähendada tõenäosust, et Eesti tervishoiuasutused leiavad end pärast küberrünnakut 1970. aastas nagu Põhja-Iirimaa kolleegid.

Soovime rahulikke jõule ja edukat uut aastat!

Artikkel ilmus detsembri Perearstis. Telli ajakiri siit!

Kasutatud kirjandus

1. Perlroth N, Satariano A. Irish Hospitals Are Latest to Be Hit by Ransomware Attacks. The New York Times 2021, May 20. https://www.nytimes.com/2021/05/20/technology/ransomware-attack-ireland-hospitals.html (vaadatud 03.12.2021)
2. Baasturbe meetmed perearstidele. Eesti Haigekassa. https://www.haigekassa.ee/sites/default/files/perearstid/2020_juhend_Perearstidele%20Baasturbe%20meetmed.pdf.

Meeldetuletuseks ka mõned nõuanded, mida oma perearstikeskuses rakendada.

1. Määrake tugevad paroolid ja ärge kasutage neid mitmel kontol.
2. Tuletage töötajatele meelde, et nad ei klõpsaks kahtlastel linkidel.
3. Kasutage ainult legaalset ja asutuse aktsepteeritud tarkvara ning uuendage seda ka õigeaegselt.
4. Kasutage viirusetõrje tarkvara pidevalt kõikidel serveritel, laua- ja sülearvutitel.
5. Veenduge, et andmed on nõuetekohaselt varundatud.
6. Laua-, süle- ja tahvelarvutitel, nutitelefonidel jt mobiilsetel seadmetel tuleb rakendada automaatset ekraanilukustust.

Kui perearstidel on küsimusi küberturvalisuse kohta, siis abi saab Riigi Infosüsteemi Ameti kriitilise informatsiooni infrastruktuuri kaitse osakonnast (KIIK) e-posti aadressil kiik@ria.ee.