Pharmadatan uusi Omapd-apteekkijärjestelmä on läpäissyt THL:n uuden, tiukentuneen tietoturva-auditoinnin. Puolitoista päivää kestäneen auditoinnin ja useita kuukausia kestäneen kokonaisprosessin jälkeen Omapd siirtyy Valviran A-luokan järjestelmärekisteriin. ”Maailma muuttuu vauhdilla ja tietoturva tulee yhä voimakkaammin osaksi apteekkilaisen arkea. Pharmadatan tehtävä on palvella apteekkeja niin, että ne pystyvät vastaamaan viranomaisten tiukentuviin vaatimuksiin mahdollisimman hyvin.”
Pharmadatan uusi, pian markkinoille tuleva Omapd on Pharmadatan ensimmäinen apteekkijärjestelmä, joka on auditoitu THL:n uusien auditointikriteerien mukaisesti. THL tiukensi tietoturva-auditoinnin kriteereitä noin kaksi vuotta sitten. Omapd löytyy nyt Valviran A-luokan järjestelmärekisteristä.
Työ tietoturvan eteen on jatkuvaa. Kevyempiä tietoturva-auditointeja toteutetaan vuosittain, jolloin tarkistetaan ohjelmiston muuttuneet osat.
”Maailma muuttuu ja tietoturvan vaatimustaso nousee jatkuvasti. Tietoturva on asia, joka tulee yhä voimakkaammin osaksi apteekkilaisen arkea. Meidän tehtävämme on palvella apteekkeja niin, että ne pystyisivät vastaamaan mahdollisimman hyvin viranomaisten tiukentuviin vaatimuksiin”, Pharmadatan it-hankepäällikkö Riikka Affleckt-Christiansen kertoo.
Tietoturva-auditointi sujui odotusten mukaisesti.
”Kyseessä oli pitkä – ja myös hyvin opettavainen – prosessi. Omapd on ensimmäinen apteekkijärjestelmä, joka auditoitiin uusien tietoturvavaatimusten mukaisesti. Auditoinnissa käytiin läpi koko järjestelmä kohta kohdalta tietoturvavaatimuksiin peilaten. Tarkastukset tehtiin suoraan apteekkijärjestelmästä sekä dokumentaation avulla”, Pharmadatan järjestelmäpäällikkö Peter Forsström kertoo.
Pelkät sanat eivät enää riitä
Mikä tietoturva-auditoinnissa sitten muuttui entiseen nähden?
Aiemmin auditointi perustui pitkälti huolelliseen dokumentaatioon. Nyt mukana on myös paljon järjestelmän testausta. Auditoinnin suorittanut tietoturvayhtiö KPMG teki paljon erilaisia tietoturvatarkistuksia apteekkijärjestelmäympäristössä. Testauksessa ei ollut vain apteekkijärjestelmä, vaan myös työasemat, apteekin sisäverkko, apteekkiverkko ja konesalipalvelimet.
”Auditoijat testasivat yleisimpiä maailmalla tiedossa olevia haavoittuvuuksia ja tietoturvauhkia. Tarkoituksena on varmistaa, että ohjelmisto ja verkko-ympäristö ovat niin tietoturvallisia kuin tänä päivänä on mahdollista”, Affleckt-Christiansen kertoo.
”Periaatteena on, että enää ei riitä, että kertoo asioiden olevan kunnossa. Asiat pitää näyttää myös toteen.”
Pharmadatan järjestelmäpäällikkö Peter Forsström.
Pitkä prosessi palkitsi
Useita kuukausia kestävä auditointiprosessi lähti liikkeelle Pharmadatan ja KPMG:n yhteisestä aloitushaastattelusta, jossa käytiin läpi prosessin kulku ja tulevat tapahtumat. Pharmadata myös esitteli testaajille Omapd:n toimintaa. Tämän jälkeen KPMG:n testaajat suorittivat sovittuna päivänä tietoturvaskannaukset Pharmadatan rakentamassa testiapteekissa. Teknisen skannauksen lisäksi auditointiin kuului haastattelu, jossa osapuolet kävivät läpi dokumentaation ja tärkeitä esille tuotavia asioita.
Yhteensä koko auditointilaisuuteen kului noin puolitoista päivää. Muutama viikko tämän jälkeen Pharmadata sai palautteen ensimmäisestä tilaisuudesta sekä tarkentavia kysymyksiä. Tämän jälkeen Pharmadata ja KPMG tapasivat vielä uudestaan, ja Pharmadata kertoi toimenpiteistään, joita se oli toteuttanut palautteeseen ja tarkentaviin kysymyksiin liittyen.
Lopuksi KPMG teki Omapd:sta tietoturvallisuuden arvioinnin tarkastusraportin, jonka Pharmadata vielä kommentoi. Allekirjoitusten jälkeen tarkastusraportti meni Kelalle ja sen jälkeen Valviran A-luokan järjestelmärekisteriin.
Prosessi on opettanut Pharmadatalle paljon. Apteekeille Pharmadata haluaa viestiä tietoturvan positiivisista puolista. Hyvin hoidettu tietoturva on apteekin vahvuus ja liiketoimintavaltti.
”Tämä kaikki kesti useita kuukausia. Nyt meillä on lupa toimittaa Omapd:tä ja hyvä fiilis siitä, että uusi ohjelmisto on todistetusti turvallisin mahdollinen apteekkijärjestelmä,” toteavat Affleckt-Christiansen ja Forsström.