Kyber-terveys -hanke valmistuu

18.9.2019

 

Ensimmäinen laaja suomalaisen terveydenhuoltoalan kyberturvallisuutta edistävä yhteishanke saadaan päätökseen alkuvuoteen 2020 mennessä. Ensimmäiset tulokset ovat jo käytössä.


Syksyllä 2017 käynnistynyt Kyber-terveys -hanke on edennyt tasaista tahtia kohti maaliaan keskittyen ennen kaikkea tietoturvan ja tietosuojan kysymyksiin, kertoo tietoturva-asiantuntija Perttu Halonen Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta. Nykyisen hankkeen kehitysvaihe päättyy syyskuussa 2019, jonka jälkeen pidetään Sosiaali- ja terveysministeriön ja HVK:n yhteinen kyberturvallisuusseminaari, ja käynnistetään tulosten laaja-alainen jakaminen ja hyödyntäminen.

Yliopistosairaaloita ylläpitävät sairaanhoitopiirit sekä Keski-Suomen sairaanhoitopiiri ICT-palveluntarjoajineen ovat olleet hankkeen ydinjoukko, jonka tarpeisiin myös kaikki kehitystyö on tehty. Eri projekteihin on osallistunut yhteensä viitisenkymmentä käsin poimittua asiantuntijaa, joista useimpien erityisosaaminen ja työ liittyvät sairaaloiden kyberturvallisuuteen.

Selvärajaiset kehittämiskohteet

Hankkeeseen valittiin alun perin kolme selvärajaista kehittämisaluetta, joiden rinnalle otettiin hankkeen jo käynnistyttyä vielä neljäs.

”Koulutusmateriaalit oli helpoin kehityskohde, sillä useilla sairaanhoitopiireillä oli niitä jo omilla alustoillaan. Tämä aineisto koottiin, harmonisoitiin ja tuotettiin Duodecimin Oppiporttiin, jossa se on ollut tuotantokäytössä alkuvuodesta 2019 lähtien.”

Toinen osahanke oli prosessien ja työkalujen kehittäminen varmistamaan tietoturvavalvomojen ja niiden tiedonhallintajärjestelmien nopeaa reagointikykyä.

”Olemme luoneet yhteydenpitokäytäntöjä ja vastuunjakomatriiseja, joissa määritellään millä tasolla voidaan tehdä minkä tasoisia päätöksiä, esimerkiksi kuka saa päättää tietojärjestelmän hätäalasajosta siihen kohdistuvan hyökkäyksen aikana. Yleensähän ne tapahtuvat esimerkiksi kesäperjantaina virka-ajan jälkeen, jolloin ATK-päivystäjä on yksin töissä.”

Tavoitteena on, että kyberturvallisuus otettaisiin jatkossa entistä järjestelmällisemmin huomioon potilaan hoitoon vaikuttavana asiana.

 

 

Kolmas osahanke oli kyberturvallisuusvaatimusten kirjaaminen hankintojen kilpailutuksiin. Niiden laatimisessa hyödynnettiin aikaisemmissa Huoltovarmuuskeskuksen rahoittamissa hankkeissa tuotettuja aineistoja joko sellaisenaan tai terveydenhuollon toimintaympäristöön muokattuna. Lisäksi kirjoitettiin joitakin uusia vaatimuksia vastaamaan alakohtaisia tarpeita ja sääntelyä.

Ensimmäisen uusien vaatimusten mukaisen hankinnan toteutti Pohjois-Pohjanmaan sairaanhoitopiiri hankkeen asiantuntijoiden tukemana keväällä 2019.

”Heillä on erittäin hyvä malli kyberturvallisuuden ja tietoturvavaatimusten nivomiselle sairaalan yleiseen hankintaprosessiin, ja sille miten hankinnoista päättävät henkilöt – jotka eivät välttämättä ole ICT-koulutettuja tietoturva-ammattilaisia – opastetaan ottamaan nämä asiat huomioon.”

Kaiken takana on riskianalyysi

Neljäs – hankkeen aikana tunnistettu – kehitysalue on järjestelmien ja niiden sisältämän tiedon kriittisyysluokitus. Osahanke käynnistyi vuoden 2019 alussa ja valmistuu sekin vuoden loppuun mennessä.

Halonen muistuttaa, että tietoturvassa kaiken perustana on riskianalyysi, jossa määritellään, mitä pitää suojata ja miltä.

”Viimeistelemme parhaillaan mallia ja työtapaa sille, miten sairaala käy läpi omaa toimintaansa, määrittelee suojeltavat asiat ja arvioi niiden tärkeyden toiminnalleen. Kullakin organisaatiolla tämän riskianalyysin lopputulos on omanlaisensa, mutta työkalut arvioinnin tekemiseen on hyvä yhtenäistää.”

Järjestelmät ovat pitkälti samankaltaisia. Esimerkiksi kaikissa terveydenhoidon organisaatioissa on jonkinlainen potilastietojärjestelmä keskeisessä roolissa. Eroja on sen sijaan siinä, miten tuo järjestelmä on kytkeytynyt muihin järjestelmiin ja miten se on teknisesti suojattu hyökkäyksiltä. Ja se luonnollisesti vaikuttaa riskien suuruuteen.

”Riskianalyysissä ei tarkastella pelkästään tietojärjestelmiä, vaan kaikkia sellaisia järjestelmiä, joissa digitekniikka on jollakin tavoin mukana. Esimerkiksi käy vaikkapa instrumenttien steriloinnissa tarvittavan höyryn tuotanto, johon kybermaailman uhkat vaikuttavat etäohjattujen automaatiojärjestelmien kautta”, Halonen sanoo.

”Kukin sairaala päättää riskienhallinnassaan, miten tällaisten järjestelmien kyberriskit hallitaan. Ja jos järjestelmää ei ole mahdollista suojata riittävästi, on viime kädessä laadittava toimiva manuaalinen varajärjestely.”

Hanke päättyy, työ jatkuu

Syksyn mittaan tehdään päätökset hankkeen tulosten jatkoelämästä eli siitä, missä työ niiden ylläpitämiseksi ja päivittämiseksi jatkuu. Halonen muistuttaa, että nämä tehtävät nivotaan jo olemassa olevaan tekemiseen.

”Joidenkin kohdalla ratkaisu oli helppo, kuten koulutusvideoiden jättäminen näitä materiaaleja muutenkin tuottavan ja ylläpitävän Duodecimin jaeltavaksi. Toki niidenkin kohdalla pitää ratkaista, kuka tunnistaa tietoturvasisällön osalta muutostarpeet ja vastaa niiden tuonnista opetussisältöön.”

Pitkän aikavälin haaste on tieto- ja kyberturvallisuuden periaatteiden juurruttaminen terveydenhuoltoon, vaikka potilaan hyvä hoito on toki tarkoitus pitää jatkossakin toiminnan keskiössä. Tavoitteena on, että kyberturvallisuus otettaisiin jatkossa entistä järjestelmällisemmin huomioon potilaan hoitoon vaikuttavana asiana.

"Terveydenhuollon organisaatiot, erityisesti sairaalat, ovat hierarkkisia organisaatioita, jotka on perinteisesti optimoitu lääketieteen ehdoilla. Nyt pitäisi parantaa sairaalaorganisaation kykyä huomioida kyberturvallisuus merkittävänä asiana, joka vaikuttaa niiden toimintakykyyn ja potilaan hyvään hoitoon", Halonen linjaa.

”Miten sairaaloiden kliininen ja tietohallinnon henkilöstö esimerkiksi saataisiin keskustelemaan uusilta laitteilta vaadittavista tietoturvaominaisuuksista jo ennen kuin hankintapäätöksiä on tehty? Puutteiden jälkikäteisen paikkailun sijasta olisi tärkeätä saada tarjouksia vain sellaisista laitteista, joissa nämä asiat on valmiiksi huomioitu.”

Kyberterveys-hanke on osa Huoltovarmuuskeskuksen Kyber2020-ohjelmaa, jolla parannetaan digitalisoituvan yhteiskunnan keskeisten toimijoiden kykyä tunnistaa ja torjua kyberuhkia. Samoin ohjelmalla kehitetään näiden toimijoiden kykyä havaita kyberhyökkäysten aiheuttamat häiriötilanteet ja toipua niistä.

Mitä hankkeessa saatiin aikaan?

Lisää sisältö

 

 

 

 

 

Jaa artikkeli