De östnyländska kommunerna arbetar ständigt med datasäkerheten: "Jag vågar säga att jag kan sova gott om natten"

Cyberattacker och dataintrång kommer ofta som överraskningar och följderna kan vara ödesdigra. Intrånget mot psykoterapicentret Vastaamo väcker frågan om hur kommunerna ser över dataskyddet.

Dataintrånget mot det privata psykoterapicentret Vastaamo väcker tankar om hur säkra våra databaser och den information som är samlad i dem egentligen är.

I fallet kring Vastaamo stals konfidentiella klientuppgifter från centret som sedan publicerades av en anonym utpressare på Tor-nätverket.

Tillsynsverket Valvira har ingen aktiv kontroll av den privata psykoterapin.

Däremot jobbar de östnyländska kommunerna målmedvetet för att dataskyddet och datasäkerheten ska vara uppdaterat och säkert.

- Vi följer med och uppdaterar både datasäkerheten och dataskyddet hela tiden. Det har blivit en del av vår vardag i Borgå stad, säger förvaltningsdirektör Roope Lenkkeri i Borgå.

Enligt Lenkkeri är datasäkerheten på en tillfredsställande nivå i Borgå.

- Jag kan säga att jag sover ganska bra. På det sättet känner jag mig trygg, men alltid när vi pratar om datasäkerhet så måste man vara lite försiktig. Det kunde alltid vara lite bättre och man måste alltid vara vaken.

Lenkkeri minns attacken mot Lahtis i juni 2019 då ett datorvirus lamslog flera funktioner, bland annat inom hälsovården.

I Borgå ledde cyberattacken i Lahtis till diskussioner och jämförelser av säkerheten i städernas olika datasystem samt en medvetenhet om att attacker av det här slaget är fullt möjliga.

I Sibbo upptäcktes nyligen en brist i dataskyddet för hur klientuppgifter inom barntillsynen lagras. Gamla uppgifter lagrades i en databas där flera av kommunens anställda i princip hade kommit åt dem.

Man ska aldrig säga att man är så trygg att man inte behöver göra någonting för man ska nog alltid vara alert.

― dataskyddsansvarig Carola Juselius

Informationen var däremot inte tillgänglig för utomstående. Bristen är tillrättalagd och datasäkerhetsansvariga Carola Juselius intygar att datasäkerheten i Sibbo är god.

- Man ska ju aldrig säga att man är så trygg att man inte behöver göra någonting för man ska nog alltid vara alert. Men vi har gått jättestarkt in för skolning av personalen och berättat var man får spara vilka slags uppgifter och hur länge tills de ska tas bort och hur de tas bort, säger Juselius.

Patientuppgifter sparas inte i kommunens egna databaser utan i andra företags program som kommunens anställda inte kommer åt, men som har en hög klass av säkerhet.

- Åtminstone så här känner jag mig 90 procent säker. Du ska aldrig säga att du känner dig 100 procent trygg för det kan alltid hända någonting, säger Juselius.

När det gäller eventuella yttre hot mot kommunens datasystem vill Juselius inte vara för specifik, men tester som gjorts av utomstående har visat att skyddet håller.

- Riktigt så här 100-procentigt säker kan du aldrig vara men jag vågar säga att jag kan sova gott om natten.

Juselius betonar att kommunen alltid åtgärdar aktuella dataproblem med snabb tidtabell och att datasäkerheten prioriteras högt. I Sibbo har man också höjt säkerheten i olika licensprogram som används dagligen.

Även i Lovisa används flera olika datasystem och dataskyddschef Marko Perttilä är nöjd med läget i staden just nu.

Vi har uppdaterat våra datasystem och kommer hela tiden att göra det och planera för det. Jag skulle inte oroa mig.

― dataskyddschef Marko Perttilä

- Vi har ganska många datasystem, men vi har också relativt moderna sätt att använda dem. Vi har uppdaterat våra datasystem och kommer hela tiden att göra det och planera för det. Jag skulle inte oroa mig,

Marko Perttilä betonar att intrånget i Vastaamo redan gjordes för flera år sedan och att det gäller att ha rätt verktyg för att senare kunna spåra och bevisa sådana här händelser.

- Vi har såklart följt med nyheterna om Vastaamo och det ser ut att vara ganska unikt även globalt.

Perttilä menar att det alltid finns saker som kan förbättras och att staden hela tiden försöker hänga med utvecklingen av datasäkerhet och dataskydd.

- Det är samtidigt en fråga om resurser, det måste finnas pengar i budgeten och personal som har tid att göra jobbet. Jag ser inget akut hot, men vi måste förbättra vår situation och ta det här i beaktande, säger Marko Perttilä.

Utbildning och regelbundna beredskapsövningar

Samtliga kommuner lägger stor vikt vid att utbilda personalen i hur man handskas med känslig och sekretessbelagd information, men också med säkerheten.

Eftersom kommunerna arbetar med flera interna och externa datasystem parallellt är det också viktig att personalen får delta i datasäkerhetsövningar.

- Vi har ju en massa system som vi använder internt och det är en kontinuerlig process att gå igenom vår status och till exempel delta i datasäkerhetsövningar där man just tränar och kollar upp sina färdigheter mot sådana här motsvarande scenarion som till exempel intrånget mot Vastaamo, säger Perttilä.

Perttilä betonar vikten av att personalen borde och ska få öva i situationer som kräver klara instruktioner och processer för hur rutinerna ser ut om man upptäcker intrång.

Carola Juselius och Roope Lenkkeri är också ense om vikten av kontinuerlig utbildning i syfte att vara ett steg före eventuella datahackare.

Samtliga har också fullt förtroende för kommunernas personal bland annat gällande kunskapen att hantera patientregister och -uppgifter så att de skyddas på bästa sätt.