Julkisen sektorin tietohallinto on surullinen kirja josta löytyy kertomuksia jaettavaksi. Sain tänään kuulla lisää eräästä alkuvuoden isosta farssista ja katsoin hyödylliseksi jakaa tarinan tragediaa. Vastuuton tietotekniikan hoito ei ole vain nörttien kiikarissa vaan se on veronmaksajille pitkä penni maksettavaksi sekä sairaalle ihmiselle pahimmillaan elämän ja kuoleman kysymys.
Vuosi myöhässä
Kun käyttöjärjestelmään tai kriittiseen sovellukseen tulee turvapäivitys, on kiire. Fiksuinta on asentaa päivitys alle vuorokaudessa, mutta yritysmaailmssa voi mennä viikon päivät jos testailua tekee. Vaan entäpä kun eräässä kaupungissa ei asiaa saatu vuodessa tehtyä? Entäpä jos työasemilla ei ole minkään asteen tietoturvajärjestelmiä? Entäpä jos järjestelmissä ei ole edes perustason turva-asetuksia tehty? Entäpä jos verkkoliikennettä ei ole suojattu palomuureilla? Entäpä jos ovat nämä kaikki yhdessä? Näin juuri tapahtui alkuvuodesta Päijät-Hämeessä.
Kyse ei ollut huippurikollisten täsmäiskusta tai moderneimmasta haittaohjelmasta vaan sellaisesta jonka hyökkäysmenetelmät oli paikattu yli vuosi sitten. Mikä tahansa kymmenestä eri suojautumismenetelmistä olisi estänyt tämän. Keskiverto keskisuuri yritys käyttää näistä keinoista ainakin puolta rinnakkain. Suuri yritys käyttää niistä vielä useampia. Arkaluonteista tietoa käsittelevä yritys lisäksi auditoi järjestelmiä aktiivisesti. Kuitenkin terveydenhuoltoa käsittelevissä, ehkä kaikkein arkaluonteisinta materiaalia käsittelevissä järjestelmissä ei oltu suojausta hoidettu edes pienyrityksen tasolle.
Onhan meillä näitä tapauksia – peruuntuneita lääkäriaikoja kun ei järjestelmä toimi, vääriä lääkkeitä, väärille henkilöille lähetettyjä sairaskertomuksia ja vaikka mitä. Pelkästään tämän vuoden lista julkisen terveydenhoitoalan tietoteknisiä töppäyksiä on pitkä kuin nälkävuosi. On törkeä perustuslain rikkomus kun arkaluonteiset yksityiset tiedot vuotavat törkeän huolimattomuuden vuoksi. On kuitenkin myös nähtävä eurot. Meneekö kunkin ongelman kanssa satoja vai tuhansia työtunteja hukkaan? Moniko sairaus jää havaitsematta tai hoitamatta? Moniko lääkärillä hoidettava asia päätyy ensiapuun?
Vastuu kansanterveydestä, vastuu kansantaloudesta
Tietotekniikka on työkalu, kuin vasara. Tarvitaan sekä hyvä työkalu että hyvät taidot sitä käyttämään. Huonoissa käsissä hyväkään työkalu ei paljoa auta ja huono työkalu myös pilaa työn sujumisen tehokkaasti. Emme saa antautua ajatukselle siitä että huonoon pitää tyytyä tai että tietohallinnosta voi tinkiä. Se tonni mikä alkupäässä säästetään maksetaan miljoonana takaisin, vieläpä moneen kertaan. Yksi asia on jos ei kokoushuoneen tilavaraus pelaa, mutta kun pelissä on ihmisten terveys – jopa henki. Emme saa tyytyä nykyiseen asianlaitaan, emme toisistamme välittävinä ihmisinä emmekä veronmaksajina.
Monimutkainen tietojärjestelmä on aina kompromissi eikä sataprosenttista turvaa olekaan. Nollaa prosenttia parempaan pitäisi kuitenkin päästä. Jo varsin kohtuullisella suunnittelulla ja järjellisillä investoinneilla eliminoidaan uhista pahimmat. Näin säästetään sekä lääkärin että potilaan aikaa ja veronmaksajien kukkaroa. Minun on vaikea ymmärtää miten vaikeaa tämä voi olla.
Tuttua on menneeltä ajalta halpaa ostetaan ja pitkä taival hiuksia haroen ja sitten vielä ne osaamattomat käyttäjät.