Moderni, alan johtaviin tietoturvateknologioihin ja -ratkaisuihin pohjautuva tietoturva on Pharmadatalla etusijalla kaikessa tekemisessä. Apteekkareiden omistamana yrityksenä meille on kunnia-asia tehdä kaikkemme asiakkaan tietoturvan eteen. ”Emme ainoastaan noudata auditointivaatimuksia ja nojaa sertifikaatteihin vaan toimimme niiden ylitse – teemme enemmän kuin meidän kuin meiltä odotetaan.”
Mitä nykyaikainen, huippuunsa viety tietoturva apteekkijärjestelmissä tarkoittaa?
”Täysin pilvipohjaista, keskitettyä ja omaa apteekkijärjestelmää. Kaikki tapahtuu yhdessä, valvotussa paikassa. Asiakkaillemme pilvipohjaisuus merkitsee myös oikea-aikaisuutta, tasapuolisuutta sekä -laatuisuutta. Päivitykset ja kehitystoimenpiteet tapahtuvat kaikille samanaikaisesti”, Pharmadatan laatu- ja IT-palvelutoimintojen päällikkö Mikko Niskanen kertoo.
Merkittävä osa tehokasta tietoturvaa on myös suljettu Apteekkiverkko, jota Pharmadatan asiakkaat käyttävät. Yritysverkkoratkaisulla on helpompi puolustautua esimerkiksi palvelunestohyökkäyksiä vastaan.
”Ulkomaailmasta on selkeästi vaikeampi kohdistaa hyökkäyksiä, kun kaikki liikenne ja esimerkiksi viranomaisviestintä kulkee aina suojatussa verkossa. Lisäksi kaikki tieto sijaitsee Suomessa”, Pharmadatan tietoturvasta ja -suojasta vastaava Riikka Affleckt-Christiansen kertoo.
Asiakkaille tietoturva on asia, josta ei tingitä. Järjestelmävalinnoissa tietoturva merkitsee apteekeille ratkaisevan paljon.
”Teemme kaikkemme, että sekä asiakkaiden että asiakkaiden asiakkaiden tiedot ovat turvassa. Jos jotain asiaa ei voida toteuttaa tietoturvallisesti, emme tee sitä lainkaan”, Niskanen kertoo Pharmadatan tietoturvaperiaatteista.
Pharmadatan konesalitoimittajana toimii alan arvostettu, kotimainen yritys Enfo, jolla on sekä ISO 27 001– että Katakri 2020 -sertifikaatit. Pharmadatan verkkokumppani on vahvasti tietoturvaan panostava Telia.
Tietoturvaa 24/7 – pienet ja suuret apteekit samalla viivalla
Keskitetty malli tietojärjestelmissä merkitsee sitä, että kaikki Pharmadatan asiakkaat saavat yhtäläisen tietoturvan. Päivitykset ja uudistukset tapahtuvat samanaikaisesti niin Helsingissä kuin Rovaniemelläkin. Kaikki asiakkaat pienistä maalaisapteekeista suuriin apteekkeihin saavat uudet ominaisuudet käyttöönsä samanaikaisesti.
”Vanhassa maailmassa järjestelmät ovat hajautettuja. Tällaisessa monimutkaisessa ympäristössä tietoturvaongelmia ja -poikkeamia ilmenee helposti enemmän. Keskitetyssä järjestelmässä pystymme seuraamaan kokonaistilannetta ja kontrolloimaan tilanteita ajantasaisesti. Valvonta ja reagointi mahdollisiin uhkiin onnistuu 24/7”, Niskanen kertoo. Hän on työskennellyt tietoturvan parissa koko parikymmenvuotisen työuransa. Tietoturvakoulutukset ja sertifikaatit tukevat hänen sekä Affleckt-Christiansenin jokapäiväistä työskentelyä.
Kaksivaiheinen tunnistautuminen on tätä päivää
Tietoturvan voi hahmottaa sipulimaisena rakenteena.
”Mitä tietoturvakriittisemmästä tiedosta tai toiminnosta on kyse, sitä enemmän tietoturvakerroksia on läpäistävä päästäkseen siihen käsiksi. Ytimessä sijaitsevaan tietoon on vain harvoilla pääsy.”
Pharmadatassa identiteetinhallinta ja esimerkiksi sähköposti tulevat pilvipohjaisella Microsoft 365 -järjestelmällä, joka nojaa kaksivaiheiseen tunnistautumiseen. Pelkkä käyttäjätunnus ja salasana eivät enää riitä, vaan järjestelmä edellyttää lisävahvistusta.
”Jos jossain päin maailmaa tapahtuu jotain häikkää, saamme siitä heti tiedon ja estämme sen niin, etteivät asiakkaat parhaimmillaan edes huomaa mitään. Apteekit pystyvät luottamaan tarjoamaamme tietoturvaan”, Affleckt-Christiansen kertoo.
Jatkuva tietoturvatestaus on toimintakulttuurin perusta
Tietoturva on mukana myös palvelukehityksen jokaisessa vaiheessa. Pharmadatalla on jo suunnitteluvaiheessa käytössään tarkastuslista, jolla varmistetaan korkein mahdollinen tietoturvataso. Jatkuva tietoturvatestaus ja pilotointi ovat osa Pharmadatan arjen normaalia toimintamallia.
Niskanen ja Affleckt-Christiansen haluavat nostaa esille myös sisäisen tietoturvan merkityksen. Pharmadatan oma tietoturvaryhmä kokoontuu säännöllisesti käsittelemään päivänpolttavia löydöksiä ja tilanteita sekä perustaa projekteja löydösten pohjalta.
”Opastamme ja koulutamme myös omaa henkilökuntaamme jatkuvasti. Koko palveluhenkilöstömme ja kaikki asiakastuen asiantuntijamme osaavat tunnistaa ja reagoida oikealla tavalla mahdollisiin kalasteluyrityksiin. Sisäinen tietoturvakoulutuksemme yltää myös asiakkaisiimme”, Niskanen kertoo.
Apteekkareille keskitetty pilvipohjainen järjestelmä on tietoturvamielessä huoleton ratkaisu.
”Saimme asiakastyytyväisyyskyselyssä tietoturvasta erittäin hyvät arvosanat. Korostamme kuitenkin aina apteekeille, ettei tietoturvaa voi ulkoistaa – mutta siihen voi valita osaavan laadukkaan kumppanin. Apteekkareiden tulee kuitenkin kantaa vastuunsa laitteiden säännöllisestä päivittämisestä.”, Affleckt-Christiansen muistuttaa.