Viime päivinä koko valtakuntaa puhuttanut psykoterapiakeskus Vastaamon tietomurto on digiajan suuronnettomuus. Kymmenien tuhansien suomalaisten potilastiedot ovat joutuneet vääriin käsiin. Potilaiden ja omaistenkin huoli on ymmärrettävästi suuri.
Erikoista tilanteessa on, että tietomurron tehnyt tai tehneet eivät asiantuntijoidenkaan mukaan vaikuta aivan huippuammattilaiselta. Koko potilasaineisto on nimittäin laitettu erehdyksessä anonyymiin Tor-verkkoon, josta se on ehtinyt olla jonkin aikaa ladattavissa. On siis todennäköistä, että myös muut ovat ehtineet ladata aineistoa. Kiristäjä ei enää hallitse aineistoaan ja siten hänen kiristyksessään käyttämä aseensa on kulunut pois. Jäljelle jää enää vastuu teoista.
Poikkeuksellisen tilanteen alkuvaiheessa julkisuuteen tuli rikoksen uhreja kertomaan kohdalleen sattuneesta uhkailuviestistä ja omasta yksituumaisesta reaktiosta kieltäytyä kiristyksestä. Nämä ulostulot ovat olleet varmasti tärkeää vertaistukea muille kärsijöille.
Sosiaalisessa mediassa on esiintynyt kampanjointia sen puolesta, ettei mahdollisia julkisuuteen tulevia tietoja luettaisi. Lisäksi viranomaistahojen ulkopuoliset hakkerit ovat tehneet toimia tietomurtajan kiinni saamiseksi. Vaikuttaa siltä, että koko yhteiskunta on kääntynyt tietomurtajaa vastaan ja osoittanut, miten halpamainen teko kyseessä on.
Oma lukunsa on terveysyrityksen vastuu asiassa. Jo nyt on selvää, että potilastietojen käsittelyssä on ollut laiminlyöntejä ja epäselvyyksiä. Tietoa on pimitetty ja tietoturvaongelmiin on reagoitu hitaasti.
Tapahtumia tullaan selvittämään pitkään. Suomi on yksi digiajan suurvalloista, mutta tietoturva-asioissa tapahtuu edelleen lepsuilua. Lainsäätäjien on tässä tilanteessa saatava selvyys siitä, onko lainsäädäntömme tietoturvakysymyksissä ajan tasalla.
Hiljattain uutisoitiin, että Vastaamon tietojärjestelmä kuuluu asiakastietolain B-luokkaan. Kyseisen luokan valvonta perustuu pelkästään käyttäjäorganisaation omaan ilmoitukseen. Voi kysyä, riittääkö tällaisen tietokannan omaavalle toimijalle pelkkä oma ilmoitus?
Tällaisten epämääräisten luokitusten sijaan jokaista potilastietoa käsittelevää järjestelmää tulisi voida valvoa ulkopuolisen arvioijan toimin säännöllisin tarkastuksin. Äkkiseltään ajateltuna on vaikea kuvitella tärkeämpää tietosuojan kohdetta, kuin arkaluontoiset potilastiedot.
Pahimmillaan Vastaamon tapauksessa voi olla kyse jäävuoren huipusta. Millä mallilla tietoturvan taso on muissa salassapitoa vaativaa tietoa käsittelevissä organisaatioissa? Lainsäätäjien on reagoitava uhkiin viivyttelemättä ja uudet tietoturvatragediat on estettävä.
Tietomurron uhrit ovat syyttömiä tilanteeseensa, mutta yleisellä tasolla ei voi liikaa teroittaa meidän jokaisen kansalaisen vastuuta tietoturvasta. Kannattaa toisenkin kerran miettiä, mitä tietoja itsestään antaa esimerkiksi sosiaaliseen mediaan.
Tietosuoja-asioissa on kysymys samalla kansallisesta turvallisuudestamme. Vain mielikuvitus on rajana, mitä hyötyjä vihamielinen valtio voi saada laajasta, tässä tapauksessa kansalaisten mielenterveysasioita, koskevasta tietokannasta. Yhden henkilön tiedot eivät itsessään maailmaa mullista, mutta yksittäinenkin tieto voi olla osa maatamme tai tiettyjä ihmisiä vastaan rakentuvaa palapeliä.
Psykoterapiakeskuksen tietomurto on vakava opetus siitä, että laajeneva digi- ja pilviyhteiskunta vaatii vastuun vahvaa otetta levittäytyessään yhä uusille tasoille.
Tämä vastuu on kannettava jokaisen kotiläppäriltä aina arkaluontoisimpiin kansallisiin tietokantoihin ja -järjestelmiin.