Terveysalalla tarvitaan nopeasti lisää kyberturvallisuusosaamista

Terveydenhuollon digitalisaatio on tuonut mukanaan paljon hyötyjä. Näitä hyötyjä ovat vaikkapa tiedon nopea siirtyminen, tiedon ajantasaisuus ja etähoidon sekä potilaan omahoidon mahdollisuuksien laajeneminen. Digitalisaation kääntöpuolena ovat kyberturvallisuuteen liittyvät kasvavat uhkat, joista myös täällä Suomessa olemme saaneet esimakua.  

Terveydenhuollon tietojärjestelmiin kohdistuvat yleisimmät kyberuhkat muodostuvat tietoturvaloukkauksista (data breach), tietojenkalastelusta (phishing, vhishing, spoofing) kiristyshaittaohjelmista (ransomware) sekä palvelunestohyökkäyksistä (denial of service, DoS) (Martin, Martin, Hankin & Kinross 2017). Uutena nousevana, jopa painajaiseksi kuvattuna, uhkana ovat lääkintälaitteisiin ja lääkintälaitteiden kautta tapahtuvat hyökkäykset (Newman 2017).  

Vaikka meillä Suomessa on uutisoitu vasta aivan muutamista terveydenhuollon järjestelmiin kohdistuneista hyökkäyksistä, tilanne maailmalla on huolestuttava. Dobran (2019) toteaa julkaisussaan, että 89 % terveydenhuollon organisaatioista on kohdistunut tietoturvaloukkauksia. Samassa julkaisussa todetaan, että kiristyshaittaohjelmahyökkäykset nelinkertaistuvat vuonna 2020 ja niiden odotetaan viisinkertaistuvan vuoden 2021 aikana. Erityisesti Covid-19 –tilanne on saanut verkkohuijarit aktivoitumaan ja käyttämään terveydenhuollon kuormittavaa tilannetta hyväkseen (Arsene 2020). 

Kyberturvallisuudesta huolehtiminen on perinteisesti mielletty organisaation tietohallinnon tehtäväksi. Näinhän se pitkälti onkin, että palomuurit, tiedon kryptaukset, autentikoinnit ja muut terveydenhuollon arjen työltä piilossa olevat toiminnot hoituvat tietohallinnon toimesta. Suurkiitos siitä heille! Yllättävää kuitenkin on, kuinka iso osa kyberhyökkäyksistä on seurausta loppukäyttäjän (terveysalalla esimerkiksi sairaanhoitajan tai lääkärin) toiminnasta. Huolimaton, välinpitämätön, kiireinen tai osaamaton työntekijä on eri raporttien mukaan mahdollistanut 40–54 % tapahtuneista kyberhyökkäyksistä. Osa henkilöstöstä (17 %) aiheuttaa tai mahdollistaa myös tahallisesti kyberhäiriöitä (2020 HIMSS Cybersecurity Survey).  

Maissa, joissa kyberhyökkäykset ovat arkipäiväistyneet (esim. USA, Britannia), on jo vuosien ajan kiinnitetty huomiota terveydenhuollon henkilöstön kouluttamiseen. Kyberturvallisuussisältöjä on lisätty tutkintokoulutukseen ja työssä olevalle henkilöstölle tarjotaan täydennyskoulutusta. Lisäksi terveydenhuollon organisaatiot kouluttavat henkilöstöään muun muassa tunnistamaan tietojenkalasteluviestejä. (Kamerer & McDermott 2020.)  

Myös Suomessa on huomattu terveydenhuollon henkilöstön kyberturvallisuusosaamisen kehittämistarve (esim. Kyberturvallisuus – ohje sosiaali- ja terveysalan toimijoille). Meillä JAMKissa tähän osaamisen kehittämistarpeeseen vastataan moniammatillisella yhteistyöllä. Vuonna 2019 käynnistyneessä Healthcare Cyber Range (HCCR) -hankkeessa kehitetään terveydenhuollon kyberturvallisuusharjoitustoimintaa sekä kyberturvallisuusosaamista. Hankkeesta saatua tietoa ja kokemusta tullaan hyödyntämään terveysalan korkeakoulututkintoon valmistavissa koulutuksissa sekä lisä- ja täydennyskoulutuksissa.  HCCR-hanke käynnistää sekä alueellisesti, kansallisesti että kansainvälisesti ainutlaatuisen mahdollisuuden terveydenhuollon organisaatioille harjoitella kyberhyökkäyksen havaitsemista, sen aikaista toimimista sekä siitä toipumista. Ensimmäinen hankeosapuolille suunnattu kyberturvallisuusharjoitus toteutetaan syksyllä 2021.  

Kirjoittaja 

Tiina Blek, lehtori 

Terveysala, Hyvinvointiyksikkö 

Jyväskylän ammattikorkeakoulu

Healthcare Cyber Range -hanke 

HCCR -hankkeessa rakennetaan, yhteistyössä eri osapuolien kanssa, terveydenhuollon digitaalinen harjoitusympäristö. Ympäristössä voidaan turvallisesti harjoitella kyberhyökkäyksen aikana toimimista ja siitä toipumista. 

Hanketta koordinoi Jyväskylän ammattikorkeakoulun teknologiayksikkö ja hankkeen toteutuksessa on mukana JAMK terveysalan asiantuntijoita. 

Hankkeen osapuolia ovat muun muassa HUS, KSSHP, PHHKY, TAYS ja Perusturvaliikelaitos Saarikka. Rahoittaja on Euroopan aluekehitysrahasto (EAKR). Hanke toteutuu vuosina 2019–2021.  

Lähteet 

2020 HIMSS Cybersecurity Survey. 2020. Viitattu 16.3.2021. 2020_himss_cybersecurity_survey_final.pdf. 

Arsene, L. 2020. 5 Times More Coronavirus-themed Malware Reports during March. Viitattu 17.3.2021. 5 Times More Coronavirus-themed Malware Reports during March – Bitdefender Labs.  

Dobran, B. 2019. 31 Must-Know Healthcare Cybersecurity Statistics 2020. Viitattu 173.2021.  

31 Healthcare Cybersecurity Statistics For 2020 (phoenixnap.com).  

Kamerer, J.L. & McDermott, D. 2020. Cybersecurity: Nurses on the Front Line of Prevention and Education. Journal of Nursing Regulation. Volume 10, Issue 4, 48–53. Viitattu 17.3.2021. Cybersecurity: Nurses on the Front Line of Prevention and Education – ScienceDirect.   

Kyberturvallisuus. Ohje sosiaali- ja terveysalan toimijoille. 2019. Sosiaali- ja terveysministeriön julkaisuja 2019:14. Viitattu 17.3.2021. Kyberturvallisuus Ohje sosiaali- ja terveydenhuollon toimijoille (valtioneuvosto.fi). 

Martin, G., Martin, P., Hankin, C. & Kinross, J. 2017. Cybersecurity and healthcare: how safe are we? Viitattu 17.3.2021. BMJ 2017;358: j3179 doi: 10.1136/bmj. j3179 (Published 2017 July 06). 

Newman, H. 2017. Medical Devices Are the Next Security Nightmare. Wired. Accessed 12.11.2020. https://www.wired.com/2017/03/medical-devices-next-security-nightmare/.