Kuva: Pixbay
Tiedonkulun kangertelu aiheuttaa merkittävää lisätyötä, kun potilastapahtumat pitää kirjata uudelleen, kun järjestelmät saadaan normaaliin käyttöön.

Lahden kaupungin tietojärjestelmiin pesiytynyt haittaohjelma aiheuttaa yhä merkittäviä ongelmia sosiaali- ja terveyspalvelujen toimintaan. Häiriö alkoi keskiviikkona 7. helmikuuta ja jatkuu siis jo toista viikkoa.

Häiriön takia Lahden kaupungin verkko, jota myös sote-palveluista vastaava Päijät-Hämeen hyvinvointikuntayhtymän (PHHYKY) käyttää Lahden-yksiköissään, on erotettu muusta verkosta eikä yhtymän yksiköissä ole voitu käyttää sen tietojärjestelmiä.

– Emme saa potilastietoa käyttöömme normaalimenetelmällä emmekä voi tehdä kirjauksia sinne. Käytännössä Lahden terveydenhuolto on eristetty kaikesta muusta yhtymän toiminnasta ihan kokonaan tietoliikenteen näkökulmasta, tulosaluejohtaja Petteri Jyrkinen sanoo Kuntalehdelle.

Yhä pahempi haaste on, että sähköinen reseptiliikenne ei kulje.

– Jos on Omakanta-palvelun kautta tehdyt tai apteekin kautta tehdyt reseptien sähköiset uusimispyynnöt, emme saa niitä. Kun ne ovat kahdeksan päivää käsittelemättä, ne vanhenevat automaattisesti eivätkä tule meille tiedoksi, emmekä pysty niitä myöhemminkään uusimaan.

PHHYKY on säilyttänyt toimintakykynsä poikkeusjärjestelyin. Kun saastuneita koneita ei voi käyttää, yhtymän omia puhtaita koneita on siirretty joillekin terveysasemille, jotta potilastietoja, laboratoriotuloksia ja röntgenkuvia saadaan ”puhtaalta puolelta verkkoa”.

– Kirjaaminen joudutaan tekemään tilapäisjärjestelynä, purkaminen tulee viemään melkoisen määrän työpanosta, Jyrkinen ennakoi.

Louhintaohjelma rikollisten käytössä

Lahden verkot on saastuttanut kryptovaluuttaa louhiva WannaMine-haittaohjelma, joka Viestintäviraston mukaan leviää organisaation sisäverkoissa verkkomadon tavoin.

Louhimisen lisäksi se osaa varastaa leviämiseen tarvittavat pääsytiedot, sekä hyödyntää toiminnassa ja piiloutumisessa palvelinten ylläpitoon liittyviä työkaluja ja niiden tarjoamia mahdollisuuksia.

– Se käyttää ylläpitäjien käyttämiä, Windowsissa natiivisti olevia toimintoja hyväkseen. Toimintoja vastaan on vaikea suojautua, kun samoja työkaluja käytetään ylläpitotyössä joka tapauksessa, tietoturva-asiantuntija Aleksi Tarhonen Viestintäviraston Kyberturvallisuuskeskuksesta sanoo.

Tarhosen mukaan kryptovaluutan louhiminen sinänsä ei ole uusi asia, mutta nyt nähdyllä tavalla rikollisten käyttämänä se on melko uusi.

– Enemmän pinnalla on ollut se että tavallisten käyttäjien selaimia käytetään kryptovaluutan louhimiseen. Haittaohjelma itsessään on aika huomaamaton kohteessa. Ja mikäli se käyttää palvelimen resursseja vain rajoitetusti, sen havaitseminen vaikeutuu entisestään.

Lahden kaupungille ict-palveluja tuottavan Provincian liiketoimintajohtaja Jarmo Tuovinen arvioi, että tämänkaltaisen haittaohjelmien kanssa joudutaan elämään tulevaisuudessa. Hänen mukaansa Lahden tilanteessa kyse ei ole esimerkiksi torjunnan pettämisestä.

– Haittaohjelmat osaavat käyttää järjestelmien haavoittuvuuksia. Järjestelmissä on aina haavoittuvuuksia, ja ennen kuin niihin tulee paikkauksia tällaiset [häiriötilanteet] ovat mahdollisia.

”Vaatii uutta panostusta”

Provincian oman henkilökunnan lisäksi ongelmaa on ollut selvittämässä virustorjuntaohjelman toimittaja Symantec sekä Microsoftin asiantuntijoita.

Haittaohjelman saastuttamia koneita on ollut tuhansia. Viime viikonloppuna Lahden kaupungin työasemille päivtettiin haittaohjelmanpoistotyökalu ja virustutkat. Kaikille PHHYKY:n 7 500 koneelle tehtiin tietoturvapäivitys.

Tilanne on opettanut sen, että tietoturvaan täytyy ruveta panostamaan aivan uudella tavalla, sanoo Lahden kaupungin tietohallintojohtaja Marko Monni.

– Täytyy luultavasti hankkia uusi suojausjärjestelmä. Iso asia on myös käyttäjien kouluttaminen, joka tosin olisi joka tapauksessa tehty tänä keväänä EU:n tietosuoja-asetuksen muuttuneiden käytäntöjen takia. Tämä potkii sitä vielä erityisesti eteenpäin.

Provincian Tuovinen muistuttaa, että perinteiset tietoturvaohjelmat ja palomuurit eivät enää riitä, vaan tarvitaan älykästä verkkoliikenteen laajaa seurantaa.

– Ne eivät ole enää järjestelmäsuojausta vaan liikenteen tarkkailua.

Julkisten organisaatioiden varautuminen tämänkaltaisiin vakaviin häiriöihin vaihtelee, eikä yhtä yleistä tasoa oikeastaan ole olemassa, Viestintäviraston Aleksi Tarhonen sanoo.

Keinoja varautumiseen toki on. Työasema- ja palvelinkohtaiset admin-tunnukset yhden yleisen mastertunnuksen sijaan estävät sen, että yhden tunnuksen varastamalla pääsisi koko organisaation laitteisiin kiinni.

Suunnitelmallinen lokitietojen keruu tarjoaa mahdollisuuden saada hyvä kuva siitä, mitä omassa verkkoympäristössä tapahtuu.

– Tällöin voidaan havaita esimerkiksi erikoisia kirjautumisia tai niiden yrityksiä, poikkeamia tietoliikenteen kohteissa ja lähteissä, kuten erikoinen sisäverkkoon tuleva liikenne tai palvelimen liikennöinti johonkin tuntemattomaan ulkopuoliseen ip-osoitteeseen.

– Aika moni asia perustuu ajatukseen, että tiedetään ainakin jollain tasolla, mitä omassa ympäristössä tapahtuu tai pitäisi tapahtua, ja kyetään havaitsemaan poikkeava tilanne ja reagoimaan selvittämällä tilanteen taustalla vaikuttavat tekijät.

Edessä iso purkutyö

Virallisia aikatauluja paluusta normaaliin ei Jyrkisen mukaan ole, mutta verkot pyritään yhdistämään heti kun se on turvallista, toivottavasti jo tämän viikon aikana.

Lahden kaupungin palvelut esimerkiksi kirjastojärjestelmän osalta normalisoituivat jo aiemmin tällä viikolla.

Kun tilanne normalisoituu, on jälkipyykin vuoro muun muassa koituneiden kustannusten osalta.

– Tämä tarkastellaan jälkikäteen, mutta kyllähän tällaisesta tulee valtavat kustannukset, Tuovinen sanoo.

– Menetyksiä muodostuu muun muassa asiantuntijatyön hidastumisesta. Kun järjestelmät eivät ole käytössä, työn teko on aika hankalaa, Marko Monni sanoo.

Kustannuksia aiheutuu nyt kertyneen väliaikaistyön purkamisesta, Petteri Jyrkinen sanoo

– Konkreettisesti kun ajatellaan, niin kaikki lääkärien ja hoitajien tekstit on jouduttu kirjaamaan tilapäisratkaisulla ja ne joudutaan takautuvasti siirtämään sairauskertomukseen kirjoittamalla uudestaan, siinä on iso työ.

– Samoin vanhentuneiden reseptien uusiminen tulee työllistämään merkittävästi. Lisäksi kertynyttä ruuhkaa joudutaan purkamaan normaalityön ohessa. Oma lukunsa on tietohallinnon kustannukset, mitä tällaisesta aiheutuu.

Jyrkisen mukaan potilasturvallisuuden vaarantumista ei ole tullut tietoon.

– Muutamia koneita saatu käyttöön varalaitteeksi terveysasemille, niillä on voitu tehdä kriittiset tarkastukset.

– Toki tällaiseen tilanteeseen sisältyy riski. Kun tieto ei sataprosenttisesti välity, jotain kriittistäkin tietoa voi jäädä huomaamatta. Mutta mistään tällaisesta meille ei ole ainakaan vielä tieto tullut.

Miettinen Ville
Miettinen Ville
ville.miettinen@kuntalehti.fi
Jatka keskustelua #kuntalehti @kuntalehti Twitterissä tai Facebookissa.

Keskustele

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*