Terveydenhuollon kyberharjoitusympäristön kehittäminen etenee

Lääkäri ja hoitaja

Kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTECin RGCE-harjoitusympäristön (Realistic Global Cyber Environment) laajentaminen soveltuvaksi terveydenhuollon kyberturvallisuusharjoituksiin on jo hyvässä vauhdissa. Ensimmäinen suuri terveydenhuollon kyberturvallisuuden yhteisharjoitus, joka toimii samalla Healthcare Cyber Range (HCCR) -hankkeen pilottiharjoituksena, on suunniteltu järjestettäväksi vuoden 2021 syyskuussa.

Harjoitusympäristöön ollaan parhaillaan rakentamassa monipuolista, mutta harjoituksiin osallistuvien kannalta helposti omaksuttavaa potilastietojärjestelmää. Lisäksi ympäristöön luodaan useita muita sairaanhoitoon olennaisesti liittyviä palveluita. Tässä jo hieman esimakua tulevasta.

Potilastietojärjestelmän käyttöliittymä

Potilastietojärjestelmän käyttöliittymä.

Potilastietojärjestelmässä on helppokäyttöinen selainpohjainen käyttöliittymä. Järjestelmään on integroitu eri toimijoiden palveluita mallintavia osia kuten Kanta-palvelut, reseptikeskus, apteekkeja sekä muita sairaaloita ja vahva tunnistautumispalvelu. RGCE-harjoitusympäristössä esiintyviä henkilö-, osoite-, pankki-, yritys- ja potilastietoja varten on tehty myös henkilögeneraattori Stork.

Olennaista on ollut saada ympäristöön mahdollisimman realistiset puitteet niin, että harjoitukseen osallistuvien huomio ei kiinnity tarkoituksettomiin epäkohtiin tietosisällöissä. Esimerkiksi käytettävät tautiluokitukset, reseptinä määrättävät lääkkeet ja pakkauskoot sekä laboratoriotuloksien referenssiarvot on tuotu avoimesti saatavilla olevista datalähteistä. Järjestelmässä simuloitavia erilaisia potilastapahtumia on tehty yhteistyössä JAMK:n hyvinvointiyksikön asiantuntijoiden kanssa.

Laboratoriotulosten tallennusta. Realistisia potilas- ja henkilötietoja on luotu Stork -henkilötietogeneraattorilla.

Potilastietojärjestelmässä on useita toiminnallisuuksia: potilaskertomukset, lähetteet, reseptit, laboratoriotulokset, kuvantaminen ja vuodeosastot. Vuodeosastoille voidaan sijoittaa virtuaalisia potilaita ja tarkkailla vuodepaikkakohtaisesti potilaiden vitaalielintoimintoja reaaliajassa. Järjestelmään ollaan liittämässä virtuaalisten järjestelmien lisäksi myös fyysisiä lääkinnällisiä laitteita, joita terveydenhuollossa käytetään operatiivisesti, sekä potilassimulaattori.

Kehitetyt järjestelmät mahdollistavat turvallisen harjoittelun kyberpoikkeamatilanteissa.

Harjoituksissa voidaan simuloida monipuolisesti häiriötilanteita potilashoidon eri vaiheissa, käsittäen sekä sairaalan että muiden toimijoiden rajapintoja ja järjestelmiä. Häiriöt voivat kohdistua laajempaan kokonaisuuteen tai johonkin yksittäiseen palveluun tai laitteeseen.

Uhkaskenaarioissa voidaan harjoitella toimintaa erilaisissa potilasturvallisuutta uhkaavissa tapahtumissa kuten kohdatessa kiristyshaittaohjelma tai jouduttaessa tietovuodon uhriksi. Ympäristössä voidaan myös koestaa käytössä olevia toimintatapoja, organisaation välistä kommunikaatiota ja tiedonjakoa esimerkiksi tietoliikennehäiriön aikana.

Vuodepaikan monitorointinäkymä

Vuodepaikan monitorointinäkymää.

Potilastietojärjestelmän kehittäminen on hyvin aikataulussa tulevaa harjoitusta silmällä pitäen. Ympäristön kehittäminen jatkuu edelleen myös syksyn pilottiharjoituksen jälkeen. Harjoituksessa saatujen kokemusten ja palautteen perusteella voidaan tulevaisuudessa järjestää vieläkin parempia kyberturvallisuusharjoituksia terveydenhuollon toimijoille. Odotettavissa on tiukkoja tilanteita ajankohtaisten ja realististen uhkaskenaarioiden keskellä.

HCCR-hankkeen päämääränä on parantaa potilasturvallisuuden ja hoidon jatkuvuutta lisäämällä toimijoiden häiriönsietokykyä, haavoittuvuuksien ja kyberuhkien tunnistamista ja luoda edellytykset terveydenhuollon henkilökunnan kyberturvallisuustaitojen kehittämiselle. Lisätietoja hankkeesta.

*RGCE -harjoitusympäristö on realistinen ympäristö kyberilmiöiden tutkimuksen-, kehityksen ja koulutuksen tarpeisiin. Ympäristöä on kehitetty JAMK:n IT-instituutin kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskuksen (JYVSECTEC) henkilökunnan toimesta vuodesta 2011. Ensimmäiset kansalliset kyberturvallisuusharjoitukset siellä pidettiin vuonna 2013, jolloin sen tuotantokäyttö alkoi. Lisätietoja ympäristöstä ja sen hyödyistä on saatavilla englannin kielellä osoitteesta https://jyvsectec.fi/rgce.

Kirjoittajat:
-Vesa Vertainen, asiantuntija, Jyväskylän ammattikorkeakoulu, IT-instituutti, Healthcare Cyber Range -hanke
-Teemu Kontio, asiantuntija, Jyväskylän ammattikorkeakoulu, IT-instituutti, Healthcare Cyber Range -hanke