stetoskooppi

SOTE kaipaa kyberturvallisuuden johtamista

Yleinen

Halusimme tai emme, asumme yhteiskunnassa, jonka toiminta on vahvasti riippuvainen kyberturvallisuudesta. Yhteiskuntamme kriittinen infrastruktuuri kuten liikennejärjestelmät, maksuliikenne, kaukolämpö, vesihuolto tai sähköverkot tarvitsevat kaikki toimiakseen mittavan määrän informaatioteknologiaa (IT). Yhteistä kaikelle kriittiselle infrastruktuurille on, että vahingoittuessaan seuraukset saattavat olla vakavia koko yhteiskunnan toiminnalle.

Ilman toimivaa IT:tä eivät junat kulje, autoa ei voi tankata, korttimaksut eivät toimi, valoista, puhelinliikenteestä tai internetistä puhumattakaan. Talvipakkasilla alkaa myös monessa kodissa tulla nopeasti kylmä. IT:tä ja siten koko modernin yhteiskunnan toimintaa pyritään suojaamaan kyberturvallisuudella.

Yksi kriittisen infrastruktuurin osa on sosiaali- ja terveydenhuolto -sektori (SOTE), joka on myös riippuvainen kyberturvallisuudesta. Nopeasti edennyt digitalisaatio on tehostanut alan toimintaa ja nykyisen tasoisia ja hintaisia palveluita olisikin mahdotonta tuottaa ilman lukuisia käytössä olevia sähköisiä palveluita, laitteita ja järjestelmiä. Valitettavasti SOTE-sektorin turvallisuusasiat eivät ole pysyneet kehityksessä mukana, ja sekä valtiolliset toimijat että rikolliset tietävät tämän.

SOTE-sektori on ollut jo vuosia yksi eniten kyberhyökkäyksiä kokeneista aloista. Pahimmillaan terveydenhuoltoon kohdistuneet kyberhyökkäykset ovat johtaneet kokonaisten sairaaloiden sulkemiseen ja potilasturvallisuuden vaarantumiseen. Tuoreessa muistissa on myös sosiaalialan psykoterapiakeskus Vastaamon tietomurto, jossa kymmenien tuhansien suomalaisten hyvin arkaluonteiset potilastiedot varastettiin ja niitä vuodettiin internetiin kaikkien nähtäville. Tällaisten kyberhyökkäysten taloudellisten kustannusten lisäksi inhimilliset kärsimykset ovat valtavia, ja ne saattavat vaikuttaa kohteeksi joutuneisiin ja heidän läheisiinsä peruuttamattomasti. Yhteiskunnallamme ei kerta kaikkiaan ole varaa hoitaa kyberturvallisuuttaan huonosti.

Kuitenkin terveydenhuollon kyberturvallisuuden tiedetään olevan muita aloja alhaisemmalla tasolla. Tähän tilanteeseen on useita syitä. Yksi syy löytyy käytössä olevasta tekniikasta. Yhdessä sairaalassa voi olla satoja eri järjestelmiä, jotka muodostavat laajan hyökkäyspinta-alan mahdollisille tunkeutujille. Käytössä saattaa olla kalliita ja herkkiä laitteita, joita ei ole alun perin suunniteltu tietoturvalliseksi, tai niitä ei voida päivittää, mutta niitä tarvitaan potilastyöhön. Kaikki SOTE-organisaatiot ovat myös tavalla tai toisella yhteydessä internetiin ja monien muiden toimijoiden verkkoihin ja järjestelmiin, jatkuvasti.

Kyberturvallisuus, kuten sen tuomat haasteetkaan, eivät rajoitu pelkästään teknisiin asioihin. Ongelmat ovat myös toiminnallisia. Sosiaali- ja terveydenhuollon organisaatioiden ja niiden työntekijöiden tiedetään olevan verkossa toimivien rikollisten hyökkäysten kohteena. Tänä päivänä SOTE-ammattilaiset käyttävät työssään lukuisia erilaisia sähköisiä laitteita ja järjestelmiä, mutta heitä ei ole koulutettu kyberturvallisuuden asiantuntijoiksi.

Teknisten ja toiminnallisten haasteiden lisäksi alan ongelmat ovat hallinnollisia. Suomessa kriittisen infrastruktuurin turvaamisen toimenpiteet ja toimivaltuudet ovat olleet hajallaan, eikä kokonaisvastuuta ole ollut kenelläkään. Myöskään SOTE-sektorin kyberturvallisuuden velvoitteiden sekavuus ei ole tukenut sektorin järjestelmällistä kyberturvallisuuden kehitystä tai ymmärrystä siitä, kuinka SOTE-organisaatioissa kyberturvallisuutta tulisi ylipäätään hallita.

Onkin aiheellista kysyä, kuka johtaa kyberturvallisuutta SOTE-organisaatioissa? Mikäli tietotaitoa kyberturvallisuuden ammattimaiseen johtamiseen ei löydy organisaation sisältä, sitä voidaan ostaa ulkopuolelta. Tällä hetkellä SOTE-organisaatioiden johtajat tarvitsevat enemmän kuin koskaan tuekseen kyberturvallisuuden ammattilaisia, sillä viime kädessä organisaation kyberturvallisuudesta on vastuussa organisaation johto.

 

Tero Haukilehto
Väitöskirjatutkija
Vaasan yliopisto
Tekniikan ja innovaatiojohtamisen yksikkö

3 kommenttia artikkeliin “SOTE kaipaa kyberturvallisuuden johtamista

  1. Tero
    Nostat todella tärkeän asian esille terveydenhuollossa( SOTEssa). Turvallisuusasioita on kehitetty merkittävästi terveydenhuollossa, erityisesti tietoturvallisuutta ja organisaatioiden toimintavalmiutta poikkeavissa olosuhteissa mutta kaikesta huolimatta, todella harmillisia toimintahäiriöitä tapahtuu. Teknisen kehittymisen myötä myös potilaiden hoitovälineet ovat sidoksissa tietotekniikkaan/digitalisaatioon ja niissä tapahtuvat toimintahäiriöt voivat olla henkeä uhkaavia. Kuvaat hyvin blogissasi sitä arkitodellisuutta terveydenhuollossa, erilaiset laitteet/järjestelmät ja tietysti osaaminen myös. Kun käytössä oli ” kynä, kiertovihko ja paperinen sairaskertomus sekä käsikäyttöiset välineet”, ei ollut kuvaamasi ongelmaa mutta toki muita ongelmia. Nyt haaste on kyberturvallisuus kuten monilla muillakin sektoreilla. Tärkeä tutkimusaihe, menestystä sille ja tuloksia odottaen!

  2. Kiitos mielenkiintoisesta avauksesta koskien väitöskirjaprojektiasi! Hahmottelitkin blogikirjoituksessasi turvallisuuden tilannekuvaa, joka kattoi sekä menneisyyden että nykyisyyden. Kiinnostavaa onkin, millaiseksi kuva tulevaisuudessa muotoutuu. Vastaamo-tapaus on, kuten sanoitkin, vielä tuoreessa muistissa ja toivottavasti kannustaa alaa ottamaan vastaavat uhat vakavasti ja tähän kyberturvallisuuden johtamiseen toden totta tartutaan!

  3. Todellakin, digitalisaatio asettaa yhteiskunnan kovin haavoittautuvaiseksi. Avaat asian laajutta postauksessasi hyvin ja tutkimusaiheena se on tärkeä. Tähän pitää herätä!

    Tuli mieleen, kuinka ”riippuvaisia” nykyihmiset on digitaalisista palveluista sekä tiedon hakemisesta arjen suorittamiseen. Onko myös tavalliset arjen taidot jo liiaksi kadonneet ja jos digitaalinen maailma kaatuu, kaatuuko nykyihmisen arki samalla.

    Voiko muuten kaikki digitaalinen data pyyhkiytyä kertaheitolla pois? 🤔

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Verkkotoimitus

Verkkotoimitus - Väitöskuiskaaja