sunnuntai 2. heinäkuuta 2017

Saako potilastietoja lukea auki jääneeltä koneelta?

Hesari uutisoi, miten päivystyspoliklinikan potilashuoneessa oleva tietokone jäi auki sairaanhoitajan poistuttua, jolloin huoneessa ollut potilas olisi päässyt näppäilemään konetta. Tietosuojavaltuutettu Reijo Aarnio pitää auki jäänyttä konetta tietosuojaongelmana ja riskinä potilasturvallisuudelle. Ingressin mukaan sairaaloiden tietosuoja on suorastaan "retuperällä".

Toimistotyöntekijöitä muistutetaan aina lukitsemaan koneensa, kun hän poistuu sen äärestä. Sairaaloissa ohjeen noudattaminen voi olla vaikeaa: käytössä on jopa toistakymmentä tietojärjestelmää, joiden salasanoja joutuu vaihtamaan säännöllisesti -- ei ihme, jos houkutus jättää kone auki kasvaa. Silloin on väärin syyttää sairaanhoitajaa, pikemminkin tietohallintoa, koska hankalat kirjautumiset ovat kohtuuton työnteon este.

Sairaanhoitaja joutuu ehkä lähtemään huoneesta hälytykseen. Potilasturvallisuuden kannalta on parempi, että hän huolehtii ensin potilaista eikä jää lukitsemaan konettaan.

Asiaan on olemassa teknisiä ratkaisuja. Uusin Windows 10 -päivitys sisältää dynamic lock -toiminnon, jolla työaseman saa lukitsemaan itsensä, kun käyttäjän älykello tai -puhelin poistuu koneen läheltä. Kun lukitus on automaattinen, se ei ainakaan unohdu, eikä edes salasanoja tarvitse muistella. Varjopuolena on, että älypuhelimen akkukesto kärsii.

Hieno homma, ei muuta kuin asentamaan kaikkiin pöytäkoneisiin Windows 10 ja lisäämään niihin bluetooth-adapteri. Tai ehkä sairaaloilla on potilaiden kannalta tärkeämpiäkin rahanreikiä kuin koneiden lukitseminen.

Tietotekniikassa uhrin ja tekijän roolit menevät helposti sekaisin. Monet hakkerit syyttävät uhrejaan siitä, että nämä eivät päivittäneet koneitaan tai tehneet järjestelmistä tietoturvallisia, ikään kuin se jotenkin oikeuttaisi tietomurtoon.

Ei oikeuta. Ei kotiinkaan saa mennä, vaikka ovi olisi unohtunut lukita tai jäänyt jopa kokonaan auki.

Niinpä sen henkilön, joka jää potilashuoneeseen avoinna olevan koneen kanssa pitää muistaa, ettei hänellä silti ole oikeutta katsoa näytöllä olevia tietoja. Vahingossa ne eivät näy. Urkinnasta pitää tuomita samalla tavalla, oli asialla sitten sairaanhoitaja tai potilas.

21 kommenttia:

Anonyymi kirjoitti...

@Petteri

Työpisteeltä hetkeksi poistumisen hyviä syitä ja on vaikka kuinka tehtävästä huolimatta, esim. tarve WC:ssä käymiseen jne.

Mutta ei kai näytön lukitseminen (screensaver lock) kirjaa käyttäjää ulos auki olevista ohjelmista. Sitä ainakin voisi käyttää, mutta sen käyttö ei tietysti oikein sovellu jaetun työpisteen käyttäjille.

Hesarin uutista lukiessa minulle tuli mieleen, että varsin monelle vaikuttaa vieläkin olevan epäselvää se ettei kaikki se mihin teknisesti voi(si) ryhtyä ole siitä huolimatta lupaa ja oikeutta ryhtyä. Siis siitäkin huolimatta, että jotain ei ole teknisesti estetty ei tarkoita, että sitä saisi tehdä. Ja jos tekee niin mahdollisesti syyllistyy rikokseen ja kiinni jäädessään joutuu vastaamaan teosta. Tietämättömyyttä laeista ei katsota lieventäväksi, joten siihen ei kenenkään enää luulisi edes yrittävän vedota.

Tuosta uuden windowsin dynamic lock-toiminnosta tulee mieleen, että kyseessä on jo kauan sitten keksitty sovellus* bluetoothille. Positiivista se, että se on ilmeisesti vakio-ominaisuus, eikä tarvitse hankkia erillistä ohjelmaa.

*) Käytin samanlaista viritystä OS X Panther ja Tiger (2004-2007), Proximity ohjelman ja SE T160 puhelimen bluetoothin kanssa. T160 oli featurephone, ei älypuhelin, mutta ominaisuuksiltaan aikanaan paljon edellä Nokialaisia, joihin ei saanut toimivaa buetoothia (audio ja serial profiili GPRS-varten), Nokialla ei ollut myöskään vielä kolmitaajuus puhelimia tuohon aikaan. Proximity oli OS-X:ssä siitä kätevä ohjelma, että bluetooth yhteyden katkeamisen aiheuttama näytönlukitusen lisäksi se näytti saapuvien puheluiden ja tekstiviestien numeron ja lähettäjän tiedot osoitekirjasta jos se oli sinne tallennettu. Tiedot tulivat näytölle vastaavasti kun nykyisin ilmoitukset ja hävisivät muutaman sekunnin jälkeen itsestään. Bluetoothin käyttö Proximityn kanssa ei T160:n akkua niin merkittävästi kuluttanut, että se olisi ollut ongelma. Lopetin ohjelman käytön kun 2007 lopulla vaihdoin puhelimeen jota se ei enää tukenut.

Aarnio puhuu yleensä järkeviä, nyt hän kuitenkin mielestäni taisi yleistää hieman liikaa ja hänen olisi syytä tarkentaa, tarkoittiko hän todella että aivan kaikissa Suomen sairaaloissa tietosuoja on retuperällä. Se on varsin kova väite ja mikäli hän ei korjaa lausumaansa niin asia vaatisi kyllä uskottavan selvityksen tekemistä sairaaloiden tietosuojan tilanteesta -- eihän tuon kaltaista väitettä pitäisi voida vain olan kohautuksella kuitata sivistysvaltiossa kun se tulee tietosuojan ylimmältä valvojalta.

Markus kirjoitti...

Voihan kirjautumisesta tehdä yksinkertaistakin. Esimerkiksi sormenjälkilukijoilla. Paikallisessa sairaanhoitopiirissä on kirjautumisessa kortinlukija ja henkilökortilla sitten kirjautuvat, tosin tämän lisäksi on salasana. Ei se tuon monimutkasempaa ole. Lenovolta saa ainakin irtonäppistä, jossa on sormenjälkilukija. Kun kerta kuitenkin ovat jostain kortinlukijatkin hommanneet, tämä ei ole edes kustannuskysymys. Ihan eri juttu onkin sitten itse sormenjäljen tallentaminen ja käyttö. Tähän ei käyttöjärjestelmät kyllä ainakaan suoraan taivu kätevästi, niin että näitä voisi jotenkin keskitetysti hallita. Jokaiseen työasemaan pitää siis sormenjäljet tallentaa erikseen.

Nykyisin applella taas on myöskin proximity. Toimii apple watchilla. Kun älykello on koneen lähellä, kone kirjautuu sisään ja päinvastoin. Applella myös uusissa macbookeissa on jo sormenjälkilukija, tosin tämä nyt ei maata mullistava ole, kun muissa läppäreissä näitä on ollut jo vuosikymmenen...

Jukka kirjoitti...

En muista että koskaan olisi keskusteltu siitä, pitäisikö esimerkiksi (oikealla) työpöydällä olevat paperit laittaa lukolliseen mappihyllyyn jos poistuu työpöydän ääreltä. Yksityisten tietojen urkkiminen pitäisi rinnastaa kirjesalaisuuteen. Emme me voi koko ajan lukita ja piilottaa kaikkea uteliaiden katseilta, normaali moraalitaju ja järki sanoo tervejärkiselle että mitä saa urkkia ja mitä ei. Ja siitä kiinni jääminen pitää sanktioida niin ettei sitä tee mieli kenenkään yrittää.

petrip kirjoitti...

Bluetooth LE ei juurikaan virtaa kuluta tuollaisen toiminnon tekemiseen. Ongelma voisi olla emmemmin se että kantamaa on sisätiloissa vaikea ennustaa. Se voi olla 5 metriä tai 50 metriäriippuen seinien määrästä ja materiaaleista

Anonyymi kirjoitti...

@petrip

BLE on tosiaan varsin vähävirtainen. En ole itse vielä BLE:tä kokeillut kun ei ole nyt käytössä olevissa läppäreissä ja puhelimissa, mutta tyypillisesti signaalinvoimakkuutta ja RTT seuraamalla voi melko helposti tehdä karkean arvion siitä milloin lähetin on siirtynyt kauemmaksi, koska RF teho vaimenee etäisyyden neliöön, koska taajuus ei muutu niin taajuuden neliön vaimennus on tässä vakio :)

https://en.wikipedia.org/wiki/Free-space_path_loss

Suurin käytännön este toiminnallisuuden tekemiseksi voi olla se, että käyttiksen valmis API ei tue noiden arvojen lukemista sovelluksesta, jolloin pitäisi jakaa sovellus kahteen osaan (daemon tai service prosessi) joka tarkkailee korotetuin oikeuksin ko. arvoja ja tarjoaa tiedot IPC:n kautta käyttötliittymäsovelluksille. Nämä eivät ole vaikeita tehdä, mutta käyttäjän tunnistukseen liittyvät kolmannen osapuolen tekemät komponentit voivat olla vaikeita saada hyväksytyiksi sovellus-kaupoissa ellet sitten ole tunnettu toimija johon yleisesti luotetaan. Ja hyvä niin, koska tietoturva on vain niin hyvä kuin on sen heikoin lenkki, jos kirjautumisprosessiin voisi kytkeytyä kuka ja mikä tahansa sovellus, niin käyttisten tietoturva ei olisi kummoinen. Siksi parempi olisi siten jos ko. ominaisuus olisi käyttiksen valmistajan itsensä tekemä ominaisuus ja ominaisuuteen kytkeytyvien sovellusten rajaaminen vain erikseen lueteltuihin tehty helpoksi ylläpidolle.

Petteri Järvinen kirjoitti...

Windows 10:ssä on rekisteriasetus BluetoothRssiMaxDelta, jolla BT-kentän raja-arvoa voi säätää.

Yhden testaajan mukaan vaikutus iPhonen akkuun on merkittävä: "The battery cost of the feature is noticeable, too. My iPhone’s normal battery life decreased by about one-third when I used this feature constantly. The battery drain on the Dell was a little less severe (probably because it has a much bigger battery), and seemed to reduce battery life by 20 to 25 percent. Thus, while Dynamic Lock is convenient, it does come with an energy cost."

Anonyymi kirjoitti...

Minulla on Polarin M400 päivittäisessä käytössä ja se on Bluetooth LE:n tukemana koko ajan kiinni puhelimessani. En koe, että se vähentäisi merkittävästi kännykkäni akun kestoa, päivän tai parin jälkeen on ladattava kuten kaikki puhelimet. Polarissa sen sijaan on aivan loistava akun kesto, noin pari viikkoa kyseisen yhteennaittamisen kanssa ja miksipä sitä ei voisi käyttää tunnistamiseen siinä missä kännykkääkin ja itseasissa Android tukee tätä ominaisuutta eikä kysele PIN-koodeja, kuvioita tai muutakaan mikäli itse asetettu, luotettava laite on lähettyvillä.

Tuskin näissä hintakaan olisi este sillä nykyisin Bluetoothilla varustettuja kelloja saa muutamilla kympeillä, kivasti myös voisi toteuttaa työntekijöiden paikannuksen haistelemalla missä mikäkin kello liikkuu. Ainakin OYSsissa on useasti lääkärit ja hoitajat hukassa kun eivät vastaa puhelimeen.

Anonyymi kirjoitti...

Petteri Järvisellä on tässä blogipostauksessaan erittäin hyvä pointti. Myös tietotekniikan käytössä on pystyttävä luottamaan ihmisiin. Ei auton oven lukitsematta jättäminen tarkoita sitä, että autosta saisi noin vain ottaa mitä haluaa. Sama koskee tietenkin tietokoneita ja tietojärjestelmiä. Mikäli joku unohtaa verkkopankkinsa auki näytölle ei tietenkään ole sallittua tehdä tilisiirtoa omalle tilille avoimena olevasta verkkopankista.

Petteri Järvisen toista pointtia en sen sijaan käsitä lainkaan. Miten niin muka on suuri houkutus jättää kone auki, koska pitää kirjautua moniin järjestelmiin. Koneenhan voi lukita, jolloin käyttäjä pysyy järjestelmissä kirjautuneena, mutta ulkopuolinen ei pääse konetta käyttämään. Windows kone lukitaan kaikkein helpoiten painamalla näppäimiä Ctrl+Alt+Del yhtäaikaa. Tuon yhdistelmän painaminen kestää ehkä sekunnin. Ei niin kiire voi olla, etteikö sitä ehtisi tehdä. Palattuaan koneelle, käyttäjä voi avata koneen antamalla oman tunnuksensa ja salasanansa.

Ihmettelen hieman Petteri Järvisen heittoa kiireestä. Provosoiko hän tahallaan, koska Järvinen varmasti tietotekniikka-asiantuntijana tietää, miten Windows-tietokone lukitaan.

Osmo kirjoitti...

Lukituksen pitäisi näissä olla niin yksinkertainen, ettei sitä tule jätettyä pois, esimerkiksi joku AltGR-L.

Markus kirjoitti...

Anonyymi. Ctrl - Alt - Delete ei sellaisenaan lukitse konetta "sekunnissa" niin kuin itse sanoit. Tämä näppäinyhdistelmä on "Windows-näppäin ja L"... Ctrl - Alt - Delete tuo kyllä listan erilaisista vaihtoehdoista... Mutta yhtäläisesti voisit valita sitten käynnistä-valikosta saman asian. Niin tai näin. Pikanäppäin lukitsemiseen Windows+L

Anonyymi kirjoitti...

Yksityiset tilat kuten koti tai auto eivät rinnastu nyt kaikille avoimiin sairaaloihin tai terveyskeskuksiin, joissa käsitellään useiden ihmisten arkaluontoisia terveydentilatietoja.

Jos henkilö on aivan oikealla asialla oikeassa tilassa, odottelee tiskin ääressä mutta ketään ei näy, niin on aivan luonnollista, että katse hakee selitystä ja voi osua myös näyttöön, jossa ei tällöin saa näkyä kenenkään potilastietoja.

Uutisen tapaus ei rinnastu mitenkään tarkoitukselliseen urkintaan tai tietomurtoon, jotka vaativat sentään jotain suunnitelmallisuutta ja osaamista. Vastuusta ei pidä yrittää kiemurrella syyllistämällä asian esiin tuovaa ihmistä. Tyypillistä nykyajan kaksinaismoralismia toki, huonojen tietosuojakäytäntöjen paljastumisen ennaltaehkäisyä.

Itsekin olen joutunut aivan tahtomattani ikävään tilanteeseen, että olen nähnyt arkaluontoisia tietoja, jotka eivät kuuluneet minulle, mutta jotka joku oli jättänyt huolimattomasti levälleen tilaan, jonne minulla oli asiaa ja oikeus mennä.

Onneksi joku maalaisjärkinen jo muistuttikin, miten nopeaa ja helppoa koneen lukitseminen on. Ja se käy automaattisesti, kun siitä ottaa itselleen rutiinin ja samalla, kun nostaa takapuolensa työtuolilta.

Petteri Järvinen kirjoitti...

Lukitseminen on nopeaa, mutta takaisin kirjautumisen vaiva on suurempi, koska salasanat ovat pakotetusti niin pitkiä ja hankalia. Salasanat on tarkoitettu verkkourkintaa vastaan, työasemien pikasuojaukseen riittäisi lyhytkin sana tai pelkkä PIN-koodi, kuten Windows 10:ssä.

Varmaan jokainen on joskus ajatellut käydä pikaisesti ovella tai käytävällä, mutta jäänytkin jostain syystä suustaan kiinni tai tullut kutsutuksi jonnekin muualle. Tekniikka mahdollistaisi automaattisen näytön lukituksen ja avaamisen - jos työnantaja ei sitä tarjoa, kaikkia vaatimuksia ei voi sälyttää työntekijälle.

Anonyymi kirjoitti...

No kyllä nyt Petteri Järvisellä on selityksen makua. Olen itse työskennellyt tietokoneiden parissa koko työelämäni. Lähes 20 vuotta siis. Ainakin tähän asti koneisiin on aina kirjauduttu tunnuksella ja sanasanalla. Kyllä se oma salasana ehkä kuitenkin kannattaisi vain kunnolla opetella, jotta naputteluun ei turhaa energiaa kulu.

Voidaan tietenkin paljon puhua terveydenhuollon ongelmista, mutta en nyt ihan tällaista ongelmaa ykköseksi laskisi. Kyllä lähtökohtaisesti on niin, että terveydenhuollon päivystyspisteessä hoitajan tai lääkärin on kone lukittava, jos sen äärestä lähdetään pois. Eiköhän se aika koneen aukaisemiseenkin löydy. Siihenkään ei pitäisi kovin montaa sekuntia mennä.

Windows koneen voi lukita näppäinyhdistelmällä Windows-näppäin + L tai Ctrl-Alt-Del ja sen jälkeen Enter. Aikaa tuohon ei sekuntia enempää pitäisi mennä.

Petteri Järvinen kirjoitti...

Huomaan, että olet it-ammattilainen ja katsot asiaa tekniikan näkökulmasta. Mutta arjen tietoturva on myös psykologiaa eikä kaikkea vastuuta voi sälyttää työntekijöille -- ei etenkään sairaaloissa, joissa ollaan jatkuvasti tekemisissä hankalien asiakkaiden ja yllättävien tilanteiden kanssa.

Uskoakseni ongelma ei ole niinkään päätteen lukitseminen kuin sen uudelleen avaaminen. Jos ihmisen psykologiaa ei oteta huomioon, pelkät tekniset ratkaisut eivät toimi.

Keskustelu alkoi Hesarin lukijan kirjoituksesta, ja pointtini oli siinä, ettei tietoja ole oikeutta mennä urkkimaan vaikka pääte jäisi auki. Siitä rönsynnyt keskustelu on pelkkää spekulointia, oletan ettei kukaan meistä ole töissä sairaaloissa eikä tunne alan erikoispiirteitä. Siistä enempi väittely aiheesta on turhaa.

Janne Viskari kirjoitti...

Terveydenhuollon ammattilaiset tunnistautuvat työasemiin sirullisella ammattikortilla. Windowsissa on asetus, joka lukitsee koneen automaattisesti, kun kortin ottaa lukijasta. Ei kai tämä sen ihmeempää vaadi kuin yhden vivun kääntämistä ylläpidolta.

Markus kirjoitti...

Ainakin paikallisessa sairaanhoitopiirissä erään lääkärin salasana ei kyllä ollut kovin pitkä. Seurasin huvittuneena kun vanha mieslääkäri ensin laittoi kortin lukijaan, sen jälkeen kirjoitteli yhdellä sormella sen neljä numeroa. Ensimmäinen ajatukseni olikin, että saisi se varmaan hieman pitempikin olla...

Mutta ainakin tuo Windowsin lukitus oli käytössä, niin kuin eräs täällä jo toivoikin...

Se siitä.

Markus kirjoitti...

Lisäyksenä vielä. Tämän kortin olen nähnyt olevan käytössä Sairaalalla kyllä. Mutta en kyllä terveyskeskuksessa ole nähnyt minkään sortin kortteja ja lukijoita?

Sairaalassa kyllä todennäköisemmin saattaa tulla lääkärille tilanteita, missä akuutisti joutuu johonkin lähtemään. Niin tai näin, ainakin paikallisessa sairaanhoitopiirissä sairaalassa on tuo kortti käytössä.

Anonyymi kirjoitti...

Missä se raja menee milloin on urkkimista? Siis koneen näyttöähän täytyy katsoa että näkee missä tilassa se on joten jos siinä on potilastieto-ohjelma auki niin ei voi välttyä näkemästä. Onko tämä jo rikos?

Toiseksi koneita ei noin vain lukita pois muiden käytöstä, mites tämä Win10 kanssa toimii?
Win7:lla ainakin on lukittu ettei toinen käyttää voi käyttää kun screensave lukossa.

Kyllä single-sign-on olisi tarpeen terveyskeskuksissa ja sairaaloissakin missä käyttäjät eivät ole IT-alan ammattilaisia vaan hoitoalan ammattilaisia. Eikös se olisi ylläpidollekin helpompaa jos yhdellä salasanalla/ID-kortilla tai tikulla pääsisi helposti käyttämään niitä ohjelmia joita on sallittu käyttää? Mielestäni olis helpompi myös poistaa pääsy tarvittaessa kuin erikseen joka applikaatioon.

Markus kirjoitti...

No siis jos tätä nyt oikein tarkasti katsotaan nykyisyyttä ja historiaa. Aikoinaan lääkärit hoiti muistiinpanot sanelemalla ja pikakirjoittajat kirjoittivat materiaalin puhtaaksi. Eli siis. Lääkärin kopissa ei ollut mitään urkittavaa.

Tässä siis taas kerran on kyse, että tietotekniikan piti SÄÄSTÄÄ ... Ja säästöt ovat aiheuttaneet tämänkin ongelman. Siis sen ongelman lisäksi, että lääkärien pitää nykyisin hoitaa puolet työajastaan konttoritöitä kun terveydenhuolto pihistelee henkilöstökustannuksissa. Niin kuten joku lääkäri jo pääsikin kirjoittamasta, olemme vähän turhan kallita konttoripirkkoja - mutta mikäs siinä sitten. Näin säästetään. Nämä tietoturvaongelmat johtuvat siis simppelisti taas kerran - säästämisestä.

Joka taas kerran tässä maassa on kuin hölmöläisen peitonjatkamista. Ylikallispalkkaiset lääkärit hoitaa konttoritöitä puolet työajastaan ja samalla potilaista puolet jää hoitamatta jonka jälkeen näiden sairaudet pahenee ja niiden hoito kallistuu ja ....

Niin tai näin, lääkärien IT-tietämys ei välttämättä ole kovin kummoinen ja tämä tuo ison kasan ongelmia. Eikä lääkäreitä voi asiasta moittia. Miten nyt pitäisi tietää tietokoneista kaiken kun pitäisi tietää ihmisestäkin? Aika kohtuuton vaatimus. Lääkärit siis pysykööt lestissään samoin kuin IT-ihmiset...

Ja sairaanhoitopiirit voisivat lakata säästämästä itseään hengiltä... Niin kuin tämä valtiokin. Näissä säästöasioissa ole ollut järkeä enää ikuisuuksiin.

Anonyymi kirjoitti...

Saako toisen ihmisen kuvia julkaista Somessa ilman hänen lupaansa ja vihjailla hänen ulkoisesta olemuksestaan?

SB kirjoitti...

Anonyymi sanoi...
Saako toisen ihmisen kuvia julkaista Somessa ilman hänen lupaansa ja vihjailla hänen ulkoisesta olemuksestaan?


Kuka arvosteli? Entä saako lääkäri arvostella potilaan ruumiinrakennetta? Reklamaation jälkeen minulle palautettiin terveyskeskusmaksu, kun hammaslääkärin mielestä hammassärky johtui leveistä leukaperistä eikä suostunut tutkimaan hammasta tarkemmin. Yksityinen lääkäri löysi hampaasta kaksi reikää. Että sellasta.

Mitä tulee potilasturvallisuuteen ja tietosuojaan niin sote ratkaisee ne kaikki. Jokaiseen työasemaan tulee sirukortinlukijat ja kaulassa roikkuva lätkä viuhahtaa vaan ilmassa, kun hoitaja lähtee koneelta ja työasema lukkiutuu. Se siitä turvattomuudesta.