Kyberturvallisuuden johtamisessa terveydenhuollossa on merkittäviä puutteita, todetaan Tero Haukilehdon tuoreessa, Vaasan yliopistoon tehdyssä väitöskirjassa. Puutteet liittyvät ennen kaikkea digitalisaation yleistymiseen alalla.
Terveydenhuollon toimivuus on entistä riippuvaisempi sähköisistä ja verkottuneista palveluista. Alan nopea digitalisoituminen on tehostanut terveydenhuollon toimintaa, mahdollistanut uusia palvelumuotoja ja tuonut asioinnin myös kotisohville.
- Samalla digitalisaatio on tuonut kuitenkin uusia uhkakuvia, kuten kyberhyökkäykset, jotka pahimmillaan ovat lamauttaneet terveydenhuolto-organisaatioiden toimintaa, aiheuttaneet -miljoonien eurojen vahinkoja sekä vaarantaneet potilasturvallisuuden, Tero Haukilehto muistuttaa.
Terveydenhuollossa käsitellään valtavia määriä arkaluonteisia asiakas- ja potilastietoja. Koko sote-sektorin tiedetäänkin kiinnostavan rikollisia. Esimerkiksi Irlannissa kyberhyökkäys vaikutti vakavasti koko julkisen terveydenhuollon toimivuuteen kuukausien ajan, saastutti kymmeniä tuhansia tietokoneita ja johti arkaluonteisten potilastietojen päätymiseen hyökkääjien käsiin. Arviot lopullisista kustannuksista nousivat jopa satoihin miljooniin euroihin.
Suomessa psykoterapiakeskus Vastaamon tietomurrossa yli 33 000 asiakkaan henkilö- ja potilastiedot varastettiin ja niitä käytettiin sekä yrityksen että sen asiakkaiden kiristämiseen. Tapaus johti lopulta yrityksen konkurssiin sekä miljoonien eurojen takavarikointiin yrityksen omistajilta.
- Suomessa saatetaan ajatella, että meillä nämä asiat ovat kunnossa, mutta kun katsotaan Pohjoismaissa pelkästään viimeisen vuoden sisällä ilmi tulleita tapahtumia, kuten Helsingin kaupungin tietomurto, ruotsalaiseen sairaalaan kohdistunut kiristyshaittaohjelmahyökkäys tai tietomurto virolaiseen geenitestiyhtiöön, täytyy meidän olla jatkuvasti hereillä tämän asian kanssa, sanoo Haukilehto.
Esimerkit kertovat, kuinka terveydenhuolto tarvitsee kyberturvallisuutta enemmän kuin koskaan. Toistaiseksi tutkimusta kyberturvallisuuden johtamisesta terveydenhuollossa on ollut kuitenkin vain vähän. Tähän haasteeseen tarttui Haukilehto, joka toimii päivätyökseen Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä. Hän tutki tietojärjestelmäntieteen väitöstutkimuksessaan suomalaisten terveydenhuolto-organisaatioiden kyberturvallisuuden hallintaa tietoturvapolitiikkojen, työntekijöiden kyberturvallisuustietoisuuden sekä raportoitujen poikkeamien avulla. Haukilehdon tutkimuksen mukaan jokaiselta osa-alueelta löytyi parannettavaa.
Tietoturvapolitiikat, jotka kuuluvat organisaatioiden tärkeimpiin asiakirjoihin tässä aiheessa, antavat kuvaa siitä, kuinka kyberturvallisuutta organisaatiossa hallitaan ja millaisilla resursseilla. Yksi silmiinpistävimmistä löydöksistä oli, ettei yksikään tutkituista politiikoista ottanut huomioon nykyistä tai tulevaa uhkaympäristöä.
Raportit poikkeamista sekä niiden analysointi olivat usein puutteellisia. Ne johtivat vain harvoin toiminnan kehittämiseen. Erityisesti huomiota herättivät puutteet riskiperustaisessa lähestymistavassa.
- Mitä korkeampi arvioitu riski on, sitä enemmän sen pitäisi kiinnostaa johtoa. Riskienhallinta on turvallisuusjohtamisen ydintä, ja sen puutteellisuus kertoo johtamisen puutteesta, toteaa Haukilehto.
Haukilehto loi väitöstutkimuksen pohjalta mallin kyberturvallisuuden hallinnan kehittämiselle terveydenhuollossa. Mallia voidaan hyödyntää niin terveydenhuollon kuin muidenkin alojen organisaatioissa sekä käyttää pohjana uudelle tutkimukselle. Tutkimus tuo esille, että etenkin terveydenhuoltoalalle tarvitaan lisää osaajia, jotka osaavat nimenomaan johtaa ja hallita organisaation kyberturvallisuutta.
Tero Haukilehdon väitöstutkimus Cybersecurity management in healthcare. Policies, awareness and incident reporting tarkastetaan Vaasan yliopistossa ensi keskiviikkona.
Elektroniikka- ja kodinkonekaupan yhdistys ETKOn lukujen mukaan Suomessa myytiin heinä-syyskuussa reilut 636 tuhatta puhelinta, mikä on 4,4 prosenttia enemmän kuin vuotta aikaisemmin. Rahassa mitattuna myynnin arvo sen sijaan laski 1,6 prosenttia.
Tulevaisuuden autot nojaavat yhä tiukemmin nopeaan datansiirtoon. Tämän dataväylän pitää perustua standardiin. Sellainen on PCIe-väylä, kertoo Microchip.
