Kas rohkem on alati parem?

Artikkel, mille autoriks on Eesti Perearstide Seltsi juhatuse liige Reet Laidoja, ilmus ajakirja Perearst märtsinumbris. Ajakirja saab tellida SIIT.

Me oleme kohe pahased ja kannatamatud, kui midagi ei toimi. Me võtame loomulikult, et IT-süsteemid töötavad laitmatult, kiiresti, sisestatud andmed on alati olemas ega kao kuhugi ning võõrad ei pääse ligi meie programmidele, kontodele, tundlikele andmetele – ehk et on tagatud andmete terviklus, käideldavus ja konfidentsiaalsus. See on meie võlumaailm ja me ei taha sellest ilma jääda.

Kuidas teha nii, et see võlumaailm püsiks ja ei kaoks? Meie riik tugevdab üha oma kaitseressursse. Kas vajame mingit kaitset ka oma võlumaailmale?

Teinekord mõtleme ehk, et keda minu andmebaasis oleva pensionär Mati või Maali andmed ikka huvitavad. Mati ja Maali andmed võib-olla ei huvitagi, aga kui neile on vaja kirjutada 6–8 ravimiretsepti ja IT-süsteem ei toimi, siis on meie teenuse osutamine selgelt häiritud. Ja suures mahus süsteemide häirimine võibki olla kurjategijate eesmärk. Küllaltki levinud ründeviis on ka lunavararünnakud, mille käigus andmebaasid krüptitakse ning esitatakse lunavaranõue, võidakse ähvardada ka andmete lekitamisega avalikkusele.

Võlumaailma tuleb kaitsta

Küberjulgeolek selleks, et teenused ei katkeks, on ülitähtis. Iga perearstikeskus võib ise mõelda, kui kaua saab ta toimida tingimustes, kus internet on maas ja andmebaas pole kättesaadav, retsepte ei saa kirjutada, digilukku ei pääse, analüüse ja uuringuid ei ole võimalik tellida. Kas juhtub midagi ühe päevaga? Ühe päeva elab perearstikeskus ehk üle, aga kaks päeva võib olla juba kriitiline kellegi tervisele. Meie riigil on vaenlasi, kes väga rõõmustavad, kui meie teenused ei toimi, kui me oleme haavatavad, kui meie inimesed jäävad hätta. Tänapäeva ründed ei ole ainult püsside ja tankidega, vaid ka küberrelvadega. Me ei tea, millal vaenlane meid ründab, seepärast peame olema valvel ja valmis.

Selleks, et võlumaailma kaitsta, on vaja tegutseda teatud reeglite järgi. Nende reeglite kujundamisega oleme Eesti Perearstide Seltsi juhatuses tegelenud süsteemsemalt juba aastast 2017.

Koostöös Tervisekassa, EPS-i juhatuse ja Riigi Infosüsteemi Ametiga (RIA) töötati välja baasturbemeetmed perearstidele ning leiti ka rahastusmudel nende rakendamiseks.

Aastatel 2018–2021 teostati Majandus- ja Kommunikatsiooniministeeriumi rahastusel esmatasandi digiteadlikkuse koolitused, mille raames koolitati 500 perearsti ja pereõde. Nendel kursustel käsitleti põhjalikult ka küberturvalisust ning töötati välja perearstide IT-riskianalüüsi instrument PAITRA. Baasturbemeetmete ja PAITRA rakendamine on olnud hindamiskriteerium ka praksiste kvaliteedisüsteemis.

Uuema meetmena küberturvalisuse tagamiseks oleme koos Tervisekassaga ja RIA-ga välja töötamas arvutitöökoha standardi mudelit, mis sisaldab riistvara, kasutatava tarkvara (lisaks perearsti programmile) ning halduse nõudeid. Positiivne on, et lisaks seadmetele pööratakse siin tähelepanu ka süsteemide nõuetekohasele haldusele, mis aitab kaasa perearstide küberturvalisuse tagamisele tehnilisel tasemel. Arvutitöökoha standardi alusel saavad perearstid vaadata üle oma olemasolevad tehnilised süsteemid ja halduse ning teha vastavad kohaldused. Lisaks oleme plaaninud korraldada dünaamilise hanke perearstidele, kes soovivad oma seadmeid uuendada.

Elevant, kes vajab pidevat hooldamist

Küberturvalisusega on asutud süsteemselt tegelema ka riigi tasandil. 2018. aastal võeti vastu küberturvalisuse seadus (KÜTS), mille subjektideks said eelkõige suured ning riigi toimimise seisukohast kõige kriitilisemad ettevõtted. Väikeettevõtete (alla 50 töötajaga ettevõtted või ettevõtted, kelle aastakäive või bilansimaht ei ületa 10 miljonit eurot) suhtes üldjuhul seda seadust ei kohaldata. Millegipärast otsustati aga Riigikogus – ilma sotsiaalkomisjoni või EPS-i kaasamata – lisada seaduse kohaldamisalasse siiski ka kõik perearstikeskused, kellest enamik on väikeettevõtjad. Perearstide suhtes hakkas seadus kohalduma 01.01.2022.

See seadus sätestab aga oluliselt mahukamad nõuded küberturvalisuse tagamiseks. Nimetatud seaduse järgi tuleb rakendada Eesti infoturbestandardit (E-ITS) – keerulist reeglite ja dokumentatsiooni süsteemi, mida tuleb perearstikeskuses rakendada ja pidevalt värskena hoida.

Lisaks kaasneb reeglite järgimisega kontrollisüsteem, mis hõlmab endas RIA kontrolle ja regulaarseid küberauditeid.

Seaduse kohaselt oleme lisaks oma tegevusele vastutavad ka oma IT-partnerite tegevuse eest, sest ülesande delegeerimisel partnerile ei ole paraku võimalik ära anda vastutust. Hea leping võimaldab küll kokku leppida hüvitamise kohustustes, ent kui andmetega midagi juhtub, on esmane vastutaja ja „süüdlane“ nii patsiendi silmis kui ka seaduse ees ikkagi perearst. Riigi jaoks ei näi olevat oluline, kas meie partnerid IT-ettevõtted rakendavad E-ITS-i, mõnda muud infoturbe standardit või tegutsevad oma parema äranägemise järgi, küll aga peaksid perearstid nende suhtes kontrollimeetmed rakendama ning vastutama nende tegevuse eest.

Hea on, kui reeglid on paigas, kuid kas ja kuidas need reeglid on rakendatavad? Kas rohkem reegleid tagab parema küberturvalisuse (loe: teenuse toimimise ja turvalisuse) ka päriselt? Kas liiga keeruliste reeglite rakendamisel on ka mingid ohud?

Perearstid püüavad olla seadusekuulekad ja infoturbestandardit rakendada, kuid mille arvelt? Paljud teevad seda pärast tööaega, öösiti ja nädalavahetustel. Osad ostavad teenusena sisse, tasudes küberturbe teenuse eest oma töötajate palgafondi arvelt ja saamata ise ka lõpuni aru standardis rakendatavate meetmete toimimisest. IT-partneritega on meil küll lepingud, kuid tegeliku kontrolli tegemiseks nende tegevuse üle pole perearstidel ei võimekust ega kompetentsi. Paljudele perearstidele kehtib ka auditi kohustus, mis peaks ellu olema viidud selle aasta lõpuks, kuid selleks ei ole piisavalt audiitoreid ning lisaks käib see üle jõu nii rahaliselt, ajaliselt kui keerukuse poolest.

Küberturbe reeglite näol on välja mõeldud elevant, kuid pole mõeldud sellele, kuidas elevanti hooldada, sest elevant tahab ka süüa ja vajalikke hoidmistingimusi.

Lisaks on elevant nii suur ja kohmakas, et tallab ära niigi hapralt toimiva perearstisüsteemi. Keerukad lisategevused põhjustavad frustratsiooni, nende tõttu ei soovi noored perearstid ennast enam nimistuga siduda ja vanad lahkuvad varem pensionile. Kes siis teenuse toimimise eest vastutab, kui inimesed lahkuvad?

Mida me perearstidena soovime?

Me oleme väga digiteenuste usku ja meile on väga oluline, et infosüsteemid toimiksid viperusteta igas olukorras. Adume küberturvalisuse olulisust, kuid soovime, et kehtestatud reeglid oleksid meile jõukohased ning mõistlikud. Soovime, et meil oleks võimalik leida piisavalt kompetentseid IT-partnereid ja digiteenuste pakkujaid, kellele võiksime tehniliste süsteemide ja nende küberturvalise toimimise eest vastutuse usaldada. Oma töös soovime vastutada omaenda ja oma töötajate küberturvalise käitumise eest, kuid me ei saa võtta vastutust endale IT-arendusfirmade arendatud infosüsteemide turvalise toimise eest. Soovime olla kindlad, et infosüsteemid, mida oma igapäevatöös kasutame, oleksid küberturvalised ning selles osas võtaks kontrolli enda kanda riik, et meie saaksime riigi kodanikele osutada raviteenuseid turvaliselt ja oma eriala piires.

Nagu oma ravitöös lähtume patsiendile raviskeemi koostamisel asjaolust, et parima ravitulemuse tagame sellega, et raviskeem oleks ka patsiendile arusaadav ja tal on seda võimalik järgida, nii leiame ka küberturbe reeglite osas, et lihtsamad ja arusaadavamad reeglid aitavad paremini tagada küberturvalisust kogu peremeditsiini sektoris.

Praegu on küberturvalisuse seadus muutmisel. Eesti Perearstide Seltsi juhatus koos Eesti Esmatasandi Tervisekeskuste Liiduga on oma ettepanekud esitanud algselt seaduse muutmisega tegelenud Majandus- ja Kommunikatsiooniministeeriumile, nüüd ülesanded üle võtnud Justiit- ja Digiministeeriumile, oma koduministeeriumile Sotsiaalministeeriumile, Tervisekassale ja Riigi Infosüsteemide Ametile. Kas ja kuidas neid ettepanekuid seaduse ja sellega seonduvate määruste muutmisel arvestatakse, pole veel teada.

Taotleme seadusandluses järgmisi muudatusi

• Küberturvalisuse seisukohast tuleks analüüsida tervishoiusektorit tervikuna, sest praegu kehtivad nõuded on perearstide suhtes ebaproportsionaalselt suured.
• Väiksemated perearstiabiasutused, kes pole elutähtsa teenuse osutajad (ETO) ega vähemalt keskmise suurusega ettevõtted, tuleks KÜTS-i kohaldamisalast välja jätta ja neile kehtestada lihtsamad nõuded.
• Muuta E-ITS-i auditeerimise kohuslase lävendit selliselt, et see ei kohalduks väikeettevõtetele.
• Tervishoiu infosüsteeme tootvate ja haldavate ettevõtete suhtes kehtivad infoturbenõuded tuleks kehtestada keskselt, sest perearstidel pole võimekust ja pädevust tagada kontrolli oma arenduspartnerite turvalise arendamise ja andmete majutamise üle.

Eesti Perearstide Seltsi ettepanekud perearstide küberturbe tagamiseks

• Taas kasutusele võtta perearstide baasturbemeetmed ning nende sisu üle vaadata koos Riigi Infosüsteemi Ametiga.
• Töötada välja turvalise arvutitöökoha standard, mis sisaldab endas riistvara, vajalikke programme ja ka nende haldust. Tunnistame, et IT-vahendite haldus on perearstide hulgas üsna erinev ja seda pole varem ka tähtsustatud ning rahastatud. Mööname aga, et IT-haldusteenus perearstikeskuses on tähtis.
• Peame oluliseks perearstide koolitamist. Riigi Infosüsteemi Ametiga on meil tekkinud hea koostöö tänu koolituste ja töötubade korraldamisega perearstidele ning seda tegevust on plaanis jätkata.