Kyberturvallisuuden tähden

    Toimintaympäristö 4.6.2018

    Kyberterveys-hankkeella kehitetään sairaaloiden ja koko SOTE-sektorin kyberturvallisuutta.

    Yksi Viestintäviraston Kyberturvallisuuskeskuksen tehtävistä on koordinoida eri toimialojen alakohtaisia kyberturvallisuuden tiedonvaihtoryhmiä. SOTE-asioita käsittelevän tiedonvaihtoryhmän työhön osallistuu sairaanhoitopiirejä sekä tieto- ja viestintätekniikan palveluita alalle tarjoavia yrityksiä.

    Vuonna 2017 käynnistyneen ryhmän toiminta on lähtenyt hyvin käyntiin sairaaloiden kyberturvallisuutta lujittavalla Kyberterveys-hankkeella, joka on samalla osa Huoltovarmuuskeskuksen laajaa Kyber 2020 -ohjelmaa.

    Hankkeessa jaetaan koulutussisältöjä ja parhaita käytäntöjä, kehitetään aktiivista havainnointikykyä ja edistetään tietoturvallisten ohjelmistojen ja palvelujen hankintaa. Lisäksi arvioidaan soveltuvia ohjelmistoja ja edistetään kyberturvallisuuden huomioimista tuotteiden ja palvelujen hankinnassa.

    Terveysasioihin paneutunut Kyberturvallisuuskeskuksen tietoturva-asiantuntija Perttu Halonen kertoo, että syntyviä tuloksia jaetaan mahdollisuuksien mukaan hankkeessa mukana olevien organisaatioiden kesken. Oppia pyritään myös jakamaan osallistujapiirin ulkopuolelle hyvinä käytäntöinä ja toimintamalleina.

    Suojautumisen pakko

    Kyberriskit pitää huomioida, vaikka terveydenhoidon laitokset eivät olisi hyökkäysten varsinaisina kohteina.

    ”Internetistä katsoen mikä tahansa huonosti suojattu kohde on potentiaalinen uhri verkkorikollisille, jotka myös kalastelevat aktiivisesti työntekijöiden käyttäjätunnuksia ja salasanoja”, Halonen kuvaa.

    ”Harvinaisempia ovat tietomurrot henkilötietojen varastamiseksi tai kohdistetut hyökkäykset. Tähän asti havaitut Suomessa sairaaloita häirinneet ongelmat ovat aiheutuneet yleisesti levitetyistä haittaohjelmista tai tietotekniikan tahattomista virhetoiminnoista.”

    Keskeiset potilastietojärjestelmät ovat pääsääntöisesti hyvällä tolalla. Niiden ohella sairaaloissa on muitakin järjestelmiä, kuten hoito- ja kuvantamislaitteiden ohjausjärjestelmiä sekä kulunvalvonnan ja talotekniikan järjestelmiä, joiden kyberturvassa on kehitettävää.

    ”Hyvä kyberturvallisuuden taso on sairaaloiden potilasturvallisuudelle kriittisen tärkeä, sillä ilman toimivia tietojärjestelmiä toiminta vähintään hidastuisi niin että tehtäviä asioita jouduttaisiin rankasti priorisoimaan.”

    Perusasiat kuntoon

    Hyvä perustietoturva on kaiken lähtökohtana, joten esimerkiksi turvallisuuspäivitykset ja muut ohjelmistorutiinit tulisi aina hoitaa ajallaan. Tärkeää on myös ymmärtää, että työkoneella tehdään vain työasioita.

    ”Ihan kuten yrityksissä, myös sairaaloissa tarvitaan kykyä havaita poikkeamat ja torjua automaattisesti tietokoneviruksia – ja järjestelmien käyttäjien pitää myös tietää, mitä tehdään kun hyökkäys on havaittu. Minivaatimus on, että henkilöstö tunnistaisi kyberturvallisuuspoikkeaman ja tietäisi, mitä sellaisen havaitsemisen jälkeen tulisi tehdä”, Halonen listaa.

    ”Sairaalat ovat yleensä isoja ja siiloutuneita organisaatioita, joten eri työntekijäryhmien välille tulisi rakentaa keskinäistä ymmärrystä ja luottamusta. Kliinisellä puolella on tietysti paras ymmärrys potilaan hoidosta, muttei välttämättä käsitystä siitä, kuinka vakavasti potilasturvallisuus voi vaarantua kyberturvallisuuden pettäessä.”

    Perttu Halonen: Mistä hankkeessa on kyse?

     
     

     

    Jussi-Pekka Aukia

    Teksti ja video