Kyberturvallisuus terveydenhuollossa – hallittua vai ei?

Terveydenhuollon toimivuus on entistä riippuvaisempi sähköisistä ja verkottuneista palveluista. Alan nopea digitalisoituminen on tehostanut terveydenhuollon toimintaa, mahdollistanut uusia palvelumuotoja ja tuonut asioinnin myös kotisohville.

– Samalla digitalisaatio on tuonut kuitenkin uusia uhkakuvia, kuten kyberhyökkäykset, jotka pahimmillaan ovat lamauttaneet terveydenhuolto-organisaatioiden toimintaa, aiheuttaneet miljoonien eurojen vahinkoja sekä vaarantaneet potilasturvallisuuden, muistuttaa Vaasan yliopistossa 12. kesäkuuta väittelevä Tero Haukilehto.

Terveydenhuollossa käsitellään valtavia määriä arkaluonteisia asiakas- ja potilastietoja.  Koko SOTE-sektorin tiedetäänkin kiinnostavan rikollisia. Esimerkiksi Irlannissa kyberhyökkäys vaikutti vakavasti koko julkisen terveydenhuollon toimivuuteen kuukausien ajan, saastutti kymmeniä tuhansia tietokoneita ja johti arkaluonteisten potilastietojen päätymiseen hyökkääjien käsiin. Arviot lopullisista kustannuksista nousivat jopa satoihin miljooniin euroihin. Suomessa psykoterapiakeskus Vastaamon tietomurrossa yli 33 000 asiakkaan henkilö- ja potilastiedot varastettiin ja niitä käytettiin sekä yrityksen että sen asiakkaiden kiristämiseen. Tapaus johti lopulta yrityksen konkurssiin sekä miljoonien eurojen takavarikointiin yrityksen omistajilta.

Uhreille aiheutuneiden kärsimysten hintaa on mahdotonta laskea. Julkisuuteen tulleiden tietojen mukaan osa Vastaamon tietomurron uhreista on päätynyt tapauksen vuoksi itsemurhaan.

– Suomessa saatetaan ajatella, että meillä nämä asiat ovat kunnossa, mutta kun katsotaan Pohjoismaissa pelkästään viimeisen vuoden sisällä ilmi tulleita tapahtumia, kuten Helsingin kaupungin tietomurto, ruotsalaiseen sairaalaan kohdistunut kiristyshaittaohjelmahyökkäys tai tietomurto virolaiseen geenitestiyhtiöön, täytyy meidän olla jatkuvasti hereillä tämän asian kanssa, sanoo Haukilehto.

Esimerkit kertovat, kuinka terveydenhuolto tarvitsee kyberturvallisuutta enemmän kuin koskaan. Toistaiseksi tutkimusta kyberturvallisuuden johtamisesta terveydenhuollossa on ollut kuitenkin vain vähän. Tähän haasteeseen tarttui Haukilehto, joka toimii päivätyökseen Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä. Hän tutki tietojärjestelmäntieteen väitöstutkimuksessaan suomalaisten terveydenhuolto-organisaatioiden kyberturvallisuuden hallintaa tietoturvapolitiikkojen, työntekijöiden kyberturvallisuustietoisuuden sekä raportoitujen poikkeamien avulla. Haukilehdon tutkimuksen mukaan jokaiselta osa-alueelta löytyi parannettavaa.

Terveydenhuolto-organisaatioiden tietoturvapolitiikat eivät huomio uhkaympäristöä

Tietoturvapolitiikat, jotka kuuluvat organisaatioiden tärkeimpiin asiakirjoihin tässä aiheessa, antavat kuvaa siitä, kuinka kyberturvallisuutta organisaatiossa hallitaan ja millaisilla resursseilla. Yksi silmiinpistävimmistä löydöksistä oli, ettei yksikään tutkituista politiikoista ottanut huomioon nykyistä tai tulevaa uhkaympäristöä.

– Jotta osattaisiin rakentaa tehokasta puolustusta, pitäisi olla kirkkaana mielessä mitä vastaan suojaudutaan, sanoo Haukilehto.

Turvallisuus on yhteistyötä, ja organisaatioiden tulisi osallistaa siihen jokainen työntekijä. Kuitenkin niin esihenkilöiden kuin muidenkin terveydenhuollon työntekijöiden kyberturvallisuustietoisuudessa näkyi koulutuksen puute ja se, ettei työntekijöitä ollut ohjeistettu siitä, mitä heidän tulisi tehdä poikkeamatilanteissa. Merkittävä osa tutkimukseen vastanneista ei ollut lukenut organisaationsa ohjeistuksia aiheesta, ja osa ei edes tiennyt mistä ohjeet löytyisivät.

– Koska turvallisuudesta vastaa viime kädessä organisaation johto, olisi tietoisuuden lisääminen syytä aloittaa ylimmästä johdosta, Haukilehto painottaa.

Raportit poikkeamista sekä niiden analysointi olivat usein puutteellisia. Ne johtivat vain harvoin toiminnan kehittämiseen. Erityisesti huomiota herättivät puutteet riskiperustaisessa lähestymistavassa.

– Mitä korkeampi arvioitu riski on, sitä enemmän sen pitäisi kiinnostaa johtoa. Riskienhallinta on turvallisuusjohtamisen ydintä, ja sen puutteellisuus kertoo johtamisen puutteesta, toteaa Haukilehto.

Uusi malli kyberturvallisuuden hallinnan kehittämiselle

Haukilehto loi väitöstutkimuksen pohjalta mallin kyberturvallisuuden hallinnan kehittämiselle terveydenhuollossa. Mallia voidaan hyödyntää niin terveydenhuollon kuin muidenkin alojen organisaatioissa sekä käyttää pohjana uudelle tutkimukselle. Tutkimus tuo esille, että etenkin terveydenhuoltoalalle tarvitaan lisää osaajia, jotka osaavat nimenomaan johtaa ja hallita organisaation kyberturvallisuutta.

Tässä yhteydessä Haukilehto jättäisi sanan kyber pois ja puhuisi mieluummin turvallisuusjohtamisesta. Hänen mukaansa on selvää, että nykymaailmassa turvallisuusjohtamista ei voida tehdä huomioimatta kybermaailmaa. Turvallisuusjohdon tulisi hallita niin kyberturvallisuus kuin muutkin turvallisuuden osa-alueet. Haukilehto arvioi, että isoissa organisaatioissa tulee jatkossa olemaan kova kysyntä turvallisuusjohtajille, jotka osaavat johtaa myös kyberturvallisuutta.

– Muutokset tapahtuvat usein joko johtajuuden tai kriisin kautta. Jos johtajuutta ei ole, kriisi viimeistään laittaa asioita liikkeelle. Toivottavasti meillä Suomessa panostettaisiin ennemmin johtajuuteen.

Väitöstilaisuus

Insinööri (YAMK) Tero Haukilehdon väitöstutkimus Cybersecurity management in healthcare. Policies, awareness and incident reporting tarkastetaan keskiviikkona 12.6.2024 klo 12 Vaasan yliopiston Nissi-auditoriossa.

Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana 145421)

Vastaväittäjinä tilaisuudessa toimivat professori Clemens Scott Kruse (Texas State University) ja professori Kimmo Halunen (Oulun yliopisto, Maanpuolustuskorkeakoulu) ja kustoksena professori Tero Vartiainen.

Väitöskirja

Haukilehto, Tero (2024) Cybersecurity management in healthcare. Policies, awareness and incident reporting. Acta Wasaensia 532. Väitöskirja. Vaasan yliopisto

Julkaisun pdf