Muutokset

Tietomurtojen ja -varkauksien estäminen on hankalaa jos tietoja tallennetaan järjestelmissä joissa voi asioida kellon ympäri läpi vuoden. Verkkosivustoja ja niiden ohjelmistoja kehitetään jatkuvasti käyttäjien sekä palvelun tarjoajien vaatimuksesta ja ne ovat usein räätälöityjä, tapauskohtaisesti palvelukohtaisesti ohjelmoituja ympäristöjä. Monet ohjelmistot rakennetaan usein yleisesti käytettyjen ja joissa on käytetty avoimen lähdekoodin komponenttien avulla, mikä tarkoittaa toisaaltakomponentteja. Tästä on seurannut, että ne palvelu on usein tehty rajoitetuilla resursseilla ja osista, joiden tietoturvaviat ovat yleisesti tunnettuja. Lisäksi uusien vikojen haavoittuvuuksien etsimiseen ja niiden korjaamiseen on korkea motivaatio.

Tästä voidaan Voidaan vetää johtopäätös, että verkkopalvelun tietomurron mahdollisuutta ei ikinä voi sulkea täysin pois. Siihen on parempi varautua samalla kun sitä pyritään estämään käytettävissä olevin mahdollisuuksin. Käytännössä vaihtoehtoja on kaksi:* palvelussa tallennetaan vain asioinnille välttämättömät tiedot* arkaluontoiset tiedot suojataan salaamalla Jos potilaalle tarjotaan mahdollisuus hoitaa asioitaan (varata asiointiaikaa tms.) julkisessa verkossa kuten nykynormi on, jotain arkaluonteisia tietoja hänestä joudutaan käsittelemään myös Internet-palvelua tuottavassa ympäristössä ja sen palvelimissa.

Tämä on nykyään yleisin suojaustapa jolla rajoitetaan vahinkoa, mutta se ei vähennä tietomurron ja -varkauden riskiä. Suomessa pelkkä [[HETU|henkilötunnus]] mahdollistaa [[Identiteettivarkaus|identiteettirikoksen]] ja sitä käytetään henkilön avaimena. Jos Vastaamon varastetuissa tiedoissa oli myös potilaskertomuksia, joita ei yleensä anneta potilaalle itselleen, siitä voidaan päätellä, että

[[Tiedosto:Vastaamo.digivirasto-2020-10-26.mp4|right|thumb|Digiviraston ''johtava eritysasiantuntija'' kertoo Ylen [https://yle.fi/uutiset/3-11610288 haastattelussa], että varastetut tiedot olisi pitänyt salata. Jostain syystä erityisasiantuntija jättää kertomatta, että hänen '''oma työnantajansa on 22 vuotta tuottanut henkilökorttien salausavaimia, joiden käytöllä rikos olisi voitu estää''', mutta jätti kertomatta siitä.]]

Jos potilaalle tarjotaan mahdollisuus hoitaa asioitaan (varata asiointiaikaa tms.) sähköisesti, julkisessa verkossa kuten nykynormi Salaamisessa on, jotain arkaluonteisia tietoja hänestä joudutaan käsittelemään myös Internet-palvelua tuottavassa ympäristössä käytännössä kaksi vaihtoehtoa:* tietojen salaaminen ja sen palvelimissa. salauksen purkaminen palvelussa ennen käyttäjälle näyttämistä* tietojen salaaminen ja toimittaminen salattuna käyttäjälle asti

Tietomurron yhteydessä ensimmäinen vaihtoehto ei todennäköisesti suojaa koska rikollinen voi purkaa salauksen ja varastaa tiedot. Tällöin ainoaksi suojaustoimeksi jää tietojen [[salaaminen]] tallentamisen ja siirron ajaksi, sekä tarjota potilaalle mahdollisuus salauksen purkamiseen ja tietojen käyttöön.

Suomessa on ollut olemassa tarvittavat salausavaimet jokaisella yli miljoonalla henkilökortilla jo vuoden 2000 alusta. Avainten Salauksessa käytetty avainparin julkinen puoli osa on saatavilla Digiviraston varmennehakemistosta. Ainoa puuttuva osa on yhteisen salausmuodon sopiminen.

Jotta Vastaamon rikosta ei olisi tapahtunut tai sen vaikutukset olisivat olleet vähemmän merkittävätpienemmät, salausratkaisu olisi pitänyt ottaa käyttöön vuosia sitten ja totuttaa väestö käyttämään sitä. Sitä on myös yritetty. Yksittäiset suomalaiset ovat yrittäneet käyttää virolaista DigiDoc-ohjelmaa viranomaisasioinnissa ja jotkut jopa vääntävät asiasta hallinto-oikeuden prosesseissa kun julkinen sektori yrittää estää sen käytön EU:n [[eIDAS|eIDAS-asetuksen ]] vastaisesti. Ei siis ihme, että Digiviraston erityisasiantuntija vaikenee siitä täysin vaikka kertoo, että salaus olisi estänyt rikoksen.