Digitaalisen turvallisuuden merkitys kasvaa – näin Sarastia vastaa

Kun kunnan toiminnot ja palvelut muuttuvat digitaalisiksi ja tiedot siirtyvät arkistokaapista pilveen, on tärkeää huolehtia niiden turvaamisesta. Lukittujen ovien tilalle tarvitaan uusia tapoja pitää asiattomat ja ulkopuoliset käyttäjät muilta osin laajaan saavutettavuuteen perustavien järjestelmien ulkopuolella. Seuraavassa muutamia olennaisempia tapoja, joilla Sarastia huolehtii omasta ja ennen kaikkea asiakkaidensa digitaalisesta turvallisuudesta.
  
Aivan aluksi, järjestelmäuudistuksia koskevissa tietoturva-asioissa on hyvä huomioida palvelujen keskittämisen merkitys. Kun olemassa olleet rinnakkaiset järjestelmät ja irralliset, päätelaitteilla sijainneet rekisterit, muistiot ja työkalut tuodaan yhtenäiselle, laajasti käytössä olevalle alustalle, vähenee suojattavien sijaintien määrä.  

Tietojen sijainti ei kuitenkaan jatkossakaan ole merkityksetöntä. Sarastia365-ohjelmistoperhettä koskevissa turvallisuusasioissa lähtökohtana on pilvessä olevien tietojen suojaaminen, johon kuuluu myös niistä huolehtivien palvelinten fyysinen sijainti.  

Sarastian käyttämiä palvelimia on sekä Suomessa että ulkomailla. Esimerkiksi Sarastia365 HR -moduulin palvelimet ja tiedot sijaitsevat samoissa, tiukkaakin tiukemmat turvallisuusvaatimukset täyttävissä konesaleissa, kuin muukin suomalaisen terveydenhuollon kriittinen tieto. Lisäksi Sarastia hyödyntää Microsoftin EU:n alueella, Irlannissa ja Hollannissa, sijaitsevia konesaleja, joita suojaavat paitsi jämäkkä EU-lainsäädäntö myös tekniset, vain EU-aluetta koskevat käyttöönottorajoitukset. 

Tekoälystä ja koneoppimisesta tehoa uhkien torjuntaan 

Yksittäisten järjestelmien parhaita suojaamiskeinoja ovat aktiiviset päivitykset ja ajantasainen teknologia. Erilaisten, jatkuvasti kehittyvien tietoturvauhkien tunnistamisessa Sarastia hyödyntääkin tuoreimpia, Microsoftin tekoälyyn ja koneoppimiseen perustuvia teknologioita. Ne sekä tunnistavat tietoturvauhkia että vastaavat niihin täysin automaattisesti. Käytännössä tämä tarkoittaa sitä, että jopa niin kutsuttuihin mahdottomiin palvelutilanteisiin reagointi on nopeaa ja ympärivuorokautista.  

Tietoturvan kannalta tärkeitä varmistuksen paikkoja ovat kaikki erilaiset tilanteet, joissa käsitellään, siirretään tai säilytetään asiakastietoja. Sarastian palveluissa asiakastiedot salataan aina, kun se on mahdollista. Käytössä olevaa tiedonsalausmekanismia myös parannetaan jatkuvasti sitä mukaa, kun teknologia paranee.  

Kaikki lähtee tunnistautumisesta

Tunnistautumisen kaksivaiheisuus on yksinkertainen tapa estää ulkopuolisten pääsy järjestelmiin esimerkiksi tilanteissa, joissa joku vahingossa klikkaa väärää linkkiä tai lataa haitallisen tiedoston koneelle. Kalasteluviestien yleistyessä ja kehittyessä, kasvaa myös tällaisen varautumisen tarve. Menettelyn etuna on, että vaikka joku käyttäjätunnuksista päätyisikin salasanoineen vääriin käsiin, on niiden väärinkäyttö hankalaa tai jopa mahdotonta.  

Kaksivaiheinen tai vahva tunnistautuminen pyritään mahdollistamaan jatkossa kaikissa Sarastian palveluissa. Tavoitteena on tarjota erilaisia vaihtoehtoja tunnistautumiseen, joista asiakas voi valita käyttökokemuksen ja tietoturvan kannalta parhaan. Tietoturvan kehittämistoimenpiteiden osalta on hyvä muistaa, että ne eivät saisi haitata käytettävyyttä. Siksi esimerkiksi vahvaa tunnistautumista käytetään vain, kun se on todella tarpeen. 

Kaksivaiheinen tunnistautuminen on yksi tietoturvatoimenpiteistä, joita myös Sarastian oma henkilöstö hyödyntää. Esimerkiksi pääkäyttäjätasoinen pääsynhallinta eri Sarastia365 -moduuleihin kirjauduttaessa edellyttää hieman vahvempaa tunnistautumista. Tunnistautumisen toisessa vaiheessa käytetään tekstiviestitse tulevaa PIN-koodia tai erillisen sovelluksen antamaa koodia. Joidenkin sovellusten osalta tunnistautuminen voidaan lisäksi kytkeä asiakkaan omiin, jo käytössä oleviin ratkaisuihin, jolloin käyttäjän ei tarvitse erikseen tunnistautua Sarastian palveluihin. 

Loppukäyttäjän merkitystä ei sovi unohtaa 

Helposti unohtuva, mutta sitäkin olennaisempi osa digitaalista turvallisuutta on henkilöstön osaamisen kehittäminen. Sarastiassa henkilöstön tietoturvaosaaminen varmistetaan tietosuoja- ja tietoturvakoulutuksilla, jotka jokainen sarastialainen on velvoitettu suorittamaan. Lisäksi tarjolla on opastusta sekä täsmäkoulutuksia ajankohtaisista aiheita, kuten vaikkapa tietojenkalastelusta. Sarastiassa toimii myös erillinen tietosuojaryhmä.