Kyber-Terveys -hankkeen Road Show: Digiloikasta turvallisuusloikkaan
Digiloikka ja toimintaympäristön jatkuva muutos asettavat myös terveydenhuollon kyberturvallisuudelle yhä uusia haasteita. Tietoturvaan ja tietosuojaan liittyvää osaamista edellytetään koko organisaatiolta. Avainsanoja ovat turvallisuuskulttuuri ja koulutus, toimivia työkaluja kriittisyysluokittelu ja tietoturvavaatimukset.
Huoltovarmuuskeskuksen Kyber-Terveys -hankkeessa on kehitetty keinoja, joiden avulla terveydenhuolto pystyy varautumaan yhä haastavampiin kyberuhkiin. Vuonna 2017 alkanutta hanketta on tehty yhteistyössä sairaanhoitopiirien kanssa. Tuloksia avattiin ja niistä keskusteltiin syksyn 2020 aikana Kyber Road Show -webinaareissa viidellä erva-alueella.
Kun rakenteet muuttuvat, on hyvä aika miettiä myös uusia toimintatapoja, rooleja ja vastuita.”
Teemupekka Virtanen, STM
Tietosuoja ja tietoturva tasapainoon
“Potilaan hoito perustuu tänä päivänä pitkälti tekniikan tuottamiin mittaustietoihin sekä tekniikan avulla käsiteltyyn ja säilytettyyn tietoon. Jotta tieto on luotettavaa, se on turvattava koko sen elinkaaren ajan. Näin varmistetaan potilasturvallisuutta tiedon käsittelyn osalta.”
Näin totesi Kyber-Terveys-hankkeen projektipäällikkö Pekka Vepsäläinen.
“Tietosuoja asettaa vaatimuksia, tietoturva toteuttaa niitä. Koska liian tiukka tietoturva voi akuuteissa tilanteissa jopa vaarantaa potilasturvallisuuden, näiden kahden välille haetaan tasapainoa.”
Terveydenhuollon toimintaympäristö on monitahoisuudessaan ja -tasoisuudessaan haastava hallittava.
“Palveluntuottajia, laitteita ja tietojärjestelmiä on paljon. Käytettävät laitteet ovat yhä enemmän yhteydessä internetiin, sairaaloiden tietoverkkoihin ja muihin laitteisiin, ja monia laitteita käytetään myös potilaiden kotona.”
Se miten toimitaan, jos johonkin laitteeseen tai järjestelmään tulee toimintahäiriö, vaatii harjoittelua ja testaamista etukäteen.
Petri Tolonen, Kyber-Terveys -hanke
Oikea hetki turvallisuusloikalle
STM:n erityisasiantuntija Teemupekka Virtanen totesi, että aika on monella tapaa otollinen turvallisuusloikalle.
“Korona pakotti nopeaan digiloikkaan, ja tietoturva on saatava samalle tasolle. Lisäksi meneillään on jälleen sote-uudistus. Kun rakenteet muuttuvat, on hyvä aika miettiä myös uusia toimintatapoja, rooleja ja vastuita.”
Kolmas turvallisuusloikkaan ajava tekijä on kyberrikollisuuden ammattimaistuminen.
“Ennen varauduttiin yksittäisten henkilöiden teoista seuraaviin vahinkotilanteisiin. Nyt kyberhyökkäyksistä on tullut ison rahan liiketoimintaa ja samalla entistä suurempi uhka.”
Viimeistään Vastaamon tietomurto ja sen saama julkisuus ovat kirkastaneet, miten vakavasta asiasta on kyse.
“Vastaamon tyyppiset tilanteet aiheuttavat inhimillistä tuskaa ja rahanmenoa, mutta myös mittavat mainehaitat, jotka heikentävät toimintaedellytyksiä tai saattavat pahimmillaan kaataa koko bisneksen”, Pohjois-Pohjanmaan sairaanhoitopiirin (PPSHP) tietohallintojohtaja Ilkka Haataja kiteytti.
Puhumassa erityisasiantuntija Perttu Halonen Kyberturvallisuuskeskuksesta, tietokoneen ääressä Kyber-Terveys-hankkeen projektipäällikkö Pekka Vepsäläinen.
Avainsanoja turvallisuuskulttuuri ja koulutus
Kyberturvallisuuskeskuksen erityisasiantuntija Perttu Halonen painotti yhtäältä organisaation turvallisuuskulttuurin, toisaalta henkilöstön koulutuksen merkitystä.
Samoilla linjoilla oli Helsingin ja Uudenmaan sairaanhoitopiirin (HUS) tietoturvapäällikkö Jouni Karvo.
“Henkilöstön osaamisella on suuri merkitys organisaation tietoturvallisuuden hallinnassa. Tarvitaan toisaalta perusosaamista ja tietoturvatietoisuutta kaikille, mutta myös eri osa-alueille syväosaajia hoitamaan tietoturvahaasteita eri näkökulmista.”
“Koko toimitusketjun kanssa syntyvä vuoropuhelu on omiaan kehittämään terveydenhuoltoalan kyberturvallisuutta kokonaisuudessaan.”
Pekka Vepsäläinen, Kyber-Terveys-hanke
Kyber-Terveys-hankkeen toinen projektipäällikkö Petri Tolonen muistutti myös käytännön harjoittelun merkityksestä.
“Se miten toimitaan, jos johonkin laitteeseen tai järjestelmään tulee toimintahäiriö, vaatii harjoittelua ja testaamista etukäteen.”
Duodecim Oppiportista löytyy kaksi Kyber-Terveys-hankkeessa rakennettua peruskurssia. Saatavilla on sekä koko henkilökunnalle tarkoitettu Tietoturva sosiaali- ja terveydenhuollossa että Johdon ja esimiesten tietoturvakoulutus.
“Yleisten perusasioiden hallitseminen ei kuitenkaan riitä. Tarvitaan myös organisaatiokohtaista opastusta talon tavoista ja prosesseista”, Tolonen sanoi.
Kehitys haastaa hankinnat
Petri Tolonen ja Pekka Vepsäläinen korostivat hankinnoissa riskilähtöisen tarkastelun tärkeyttä.
“On ymmärrettävä, mitkä toiminnot ja tietojärjestelmät ovat oikeasti kriittisiä, ja mietittävä myös niiden välisiä riippuvuussuhteita.”
Varautuminen on jatkuva prosessi, jossa on otettava huomioon koko hankinnan elinkaari. Näin myös kustannuksia saadaan hallittua koko laitteen tai järjestelmän elinkaaren ajan. Toisaalta on hallittava myös oma toimintaympäristö: sen koko elinkaari, roolit ja vastuut.
Pohjois-Savon sairaanhoitopiirin (PSSHP) kehittämispäällikkö Pekka Ruippo kehotti panostamaan hankinnoissa markkinoiden kartoitusvaiheeseen, koska toimittaja on silloin motivoitunut selvittämään asioita. Käytön päättymiseen hän kannusti varautumaan alusta alkaen.
“Omalta organisaatiolta on hyvä kysyä heti hankinnan alussa esiselvityslomakkeen avulla, mitä ja miten tietoja käsitellään. Toimittajien kanssa kannattaa puolestaan hyödyntää Kyber-Terveys-hankkeessa julkaistua tietoturvavaatimuskantaa, joka on tarkoitettu sairaanhoitopiirien käyttöön kilpailutustilanteissa”, hän totesi.
Yhteistyöllä tehokkuutta ja uskottavuutta
Yhteinen esiselvityslomake ja tietoturvavaatimuskanta ovat konkreettisia, työtä helpottavia työkaluja, jotka ovat kaikkien erva-alueiden käytössä.
“Yhtenäiset tarjouspyynnöt helpottavat paitsi hankinnoista vastaavien, myös toimittajien työtä. Lisäksi sairaanhoitopiirien yhteinen rintama tuo vaatimuksille painoarvoa jopa kansainvälisten toimittajien suuntaan”, Pekka Vepsäläinen Kyber-Terveys -hankkeesta totesi.
Yhteistyön merkitystä tietoturvan kehittämisessä ei Vepsäläisen mukaan voi korostaa liikaa.
“Kun moniammatillista yhteistyötä tehdään sekä organisaation sisällä että muiden, esimerkiksi omalla erva-alueella toimivien, organisaatioiden kanssa, saadaan mukaan mahdollisimman paljon asiantuntemusta. Kun kaikki pääsevät hyödyntämään toistensa hyviä käytäntöjä, työ helpottuu, ja resursseja säästyy.”
Kyber-Terveys -hankkeen projektipäällikkö Petri Tolonen
Oman organisaation ja omalla erva-alueella toimivien organisaatioiden lisäksi vuoropuhelua kannattaa käydä tietojärjestelmä- ja laitetoimittajien sekä ICT-kumppaneiden kanssa.
“Koko toimitusketjun kanssa syntyvä vuoropuhelu on omiaan kehittämään terveydenhuoltoalan kyberturvallisuutta kokonaisuudessaan.”
Erityisvastuualueille suunnattujen tilaisuuksien lisäksi Huoltovarmuuskeskuksen Kyber-Terveys -hankkeen oppeja esiteltiin omassa webinaarissaan myös terveydenhuoltoalan yksityisille yrityksille. Ne ovat julkisten toimijoiden ohella tärkeä lenkki koko terveydenhuollon tietoturvassa. Tarjolla oli runsaasti tietoa terveydenhoitoalan kyberuhkista ja niihin varautumisesta. Puhujat korostivat erityisesti alan toimijoiden välistä yhteistyötä, joka on välttämätöntä asiakas- ja potilastietojärjestelmien, erilaisten laitteiden ja järjestelmien sekä työntekijöiden tietoturvaosaamisen kehittämiseksi.
Avauskuvassa Terveydenhuoltoalan yrityksille järjestetyn tilaisuuden paneelissa Pekka Vepsäläinen ja Laura Simik, Sailab – Medtech Finlandista. Kaikki kuvat: HVK
Käsikirja kyberhäiriöiden hallintaan terveydenhuollossa ilmestynyt
Jyväskylän ammattikorkeakoulu on vuoden aluksi julkaissut käsikirjan terveydenhuollon toimijoille kyberhäiriöiden hallintaan. Huoltovarmuuskeskus on ollut yhteistyökumppanina projektissa, jonka tuloksena käsikirja julkaistiin. Käsikirjan voi ladata täältä
