Sote-ammattilaisten kyberturvallisella toiminnalla varmistetaan asiakas- ja potilasturvallisuutta

Sosiaali- ja terveysalan nopea teknologiakehitys ja palveluiden digitalisoituminen ovat tuoneet mukanaan monia hyötyjä. Näistä esimerkkeinä ovat sähköiset terveystiedot ja etähoitopalvelut, toiminnan tehokkuus ja hoidon laadun paraneminen (Jerry-Egemba, 2023). Digitalisaation kääntöpuolena kyberturvallisuusuhat, kuten tietomurrot, ovat lisääntyneet (Jerry-Egemba, 2023; Nifakos, 2021).

Sosiaali- ja terveydenhuollon organisaatiot ovat kyberrikollisille erityisen kiinnostavia hyökkäyksen kohteita. Ihmisten terveystiedot ovat arvokasta kauppatavaraa pimeillä markkinoilla (Javaid ym., 2023) – jopa 10-kertaa arvokkaampia kuin luottokorttitiedot (Cartwright, 2023). Terveystiedot ovat myös arkaluonteisia, ja niiden vuotaminen julkisuuteen aiheuttaa valtavasti inhimillistä kärsimystä (Javaid ym., 2023).

Suomen kyberturvallisuustilanteessa nähtiin jotain ennen näkemätöntä vuonna 2020, kun Psykoterapiakeskus Vastaamon maailmanlaajuisestikin historiallinen tietomurto tuli julkisuuteen. Tuolloin verkossa julkaistiin potilastietokanta, joka sisälsi yli 33 000 ihmisen potilastietoja. Vuotaneita tietoja on sittemmin myyty pimeässä verkossa ja hyödynnetty muun muassa identiteettivarkauksissa sekä erilaisissa petoksissa (Kyberturvallisuuskeskus, 2022). Tietomurron uhreja edustavan asianajajan mukaan osa uhreista on päätynyt jopa itsemurhaan tapahtumien vuoksi (Yle 1.3.2024). Vaikutus tietomurron kohteeksi joutuneisiin ihmisiin on siis ollut merkittävä (mm. Rajamäki, 2023; Kyberturvallisuuskeskus, 2022).

Tietojen luotettavuuteen ja saatavuuteen liittyvien sekä taloudellisten vaikutusten lisäksi kyberhyökkäykset uhkaavat siis myös asiakas- ja potilasturvallisuutta. Jotta organisaatio pysyisi suojassa kyberhyökkäyksiltä, on riskejä pyrittävä ehkäisemään ja vähentämään. Kyberhyökkäysten lisääntymisen ja kehittyvän luonteen vuoksi tähän vaaditaan koko organisaation laajuisia toimia. (Nifakos ym., 2021.)

Ihmisellä tärkeä rooli kyberturvallisuuden varmistamisessa

Ihmiset ja heidän toimintansa nähdään edelleen suurimpana uhkana kyberturvallisuuden toteutumiselle myös sote-alan organisaatioissa (Kioskli ym., 2023; Rajamäki ym., 2023). Kyberturvallisuutta vaarantavat toimintatavat liittyvät muun muassa käyttäjätileihin ja -tunnuksiin, sähköpostin, muistitikkujen ja henkilökohtaisten laitteiden käyttöön, etätyöskentelyyn, päivitysten puutteeseen sekä verkkoon kytkettyihin lääkinnällisiin laitteisiin (Coventry ym., 2021). Taustalla on usein tietämättömyyttä ja riittämätöntä osaamista (Aljuraid & Justinia, 2022; Kamerer & McDermott, 2020; Kioskli ym., 2023). Lisäksi holtittomuus (riskinotto), huolimattomuus ja uteliaisuus (Aljuraid & Justinia, 2022) sekä toistuvat, rutiininomaiset työtehtävät ja väsymys lisäävät kyberturvallisuuden kannalta epäsuotuisan toiminnan riskiä (Jerry-Egemba, 2023). Sote-alalla myös priorisoidaan asiakkaan/potilaan tehokasta hoitoa, jolloin kyberturvallisuus voi jäädä vähäisemmälle huomiolle (Coventry ym., 2021).

Kyberturvallisuuskeskuksen kuukausittain julkaistavan Kybersää 2024 -julkaisun mukaan esimerkiksi M365- ja sähköpostitilien murrot sekä valtiollinen vakoilutoiminta, huijaukset ja tietojenkalastelu (phishing) ovat lisääntyneet alkuvuonna 2024. Kaikissa näissä yhtenä olennaisena riskitekijänä ja oven avaajana kyberrikollisille on ihminen ja hänen toimintansa. Etenkin tietojenkalastelu on yleistä ja on myös kyberuhista se, johon henkilöstö helpoiten kompastuu. (Cartwright 2023; Kyberturvallisuuskeskus 2024, 12; Helsingin seudun kauppakamari 2022, 4.)

Kyberturvallisuusriskien ymmärtämisen arvioidaan olevan edelleen melko heikolla tasolla sosiaali- ja terveysalalla (Rajamäki ym., 2023; Sendelj & Ognajovic, 2022). Henkilöstöllä on todettu olevan puutteellinen ymmärrys siitä, millaisia kyberturvallisuusuhkia organisaatiot kohtaavat (Dart & Mohiuddin, 2023) ja mitä niillä tarkoitetaan. Kyberturvallisuuskeskuksen (2024, 12, 18) arvion mukaan osaamisen riittävälle tasolle saattaminen saattaa viedä vielä pitkään.

Kaikilla tulisi olla kyberturvallisuusosaamista

Tänä päivänä kyberturvallisuusosaamisen nähdään olevan osa koko henkilöstön osaamistarvetta. (Saharinen, 2024; Cartwright, 2023; Kyberturvallisuuskeskus, 2024, 18). Sen kehittäminen on yksi Suomen kyberturvallisuusstrategian keskeisistä tavoitteista. Jokaisen yksilön tunnistetaan olevan tärkeä toimija, jonka on mahdollista vaikuttaa omaan ja muiden turvallisuuteen omilla arjen kyberturvallisuutta vahvistavilla teoillaan. (Turvallisuuskomitea, 2019). Myös sosiaali- ja terveysalalla kyberturvallisuusosaaminen on ajankohtainen teema, joka nähdään yhä vahvemmin jokaisen sote-ammattilaisen osaamistarpeena (Clarke & Martin, 2024; ENISA, 2023; Jerry-Egemba, 2023; Kioskli ym., 2023). Teknisillä keinoilla voidaan suojautua kyberrikoksia vastaan, mutta ilman valistunuttahenkilöstöä ja vahvaa tietoturvakulttuuria organisaation suojaus jää vajaaksi (Kamerer & McDermott, 2020).

Kyberturvallisuudessa on siis kyse muustakin kuin teknologiasta (Jerry-Egemba 2023) ja kyberturvallisuusosaamisessa muustakin kuin teknisestä osaamisesta. Sote-ammattilaisen ei odoteta ymmärtävän koodeja tai järjestelmien käyttöön liittyviä teknologisia tekijöitä, vaan hänen tulisi kyetä toimimaan kyberturvallisesti oman roolinsa ja ammatillisten vastuidensa näkökulmasta (Kamerer & McDermott, 2020; Rajamäki ym., 2023). Keskeisiin osaamisiin kuuluvat lisäksi kyberhäiriöiden tunnistaminen ja häiriötilanteessa toimiminen sekä erilaisiin verkkoon kytkettyihin laitteisiin ja välineisiin liittyvien kyberturvallisuusuhkien tunnistaminen (Rajamäki ym., 2023). Näistä viimeksi mainittuun lukeutuvat myös lääkinnälliset laitteet, jotka tunnistetaan yhdeksi merkittävimmistä kyberuhkista sote-alalla (Health Industry Cybersecurity Practices, 2023).

Vaikka ihmisen toimintaan liittyvät riskit on tunnistettu keskeiseksi haavoittuvuudeksi sosiaali- ja terveysalalla, niihin ei resursoida yhtä paljon kuin esimerkiksi teknisiin kyberturvallisuusratkaisuihin (Waddell, 2024). Huoltovarmuuskeskus (2023) on arvioinut terveydenhuollon yhdeksi merkittäväksi riskiksi työvoimapulan ja runsaat sijaisuudet, jotka osaltaan luovat kyberturvallisuusosaamisen tasoeroja. Jalali ym. (2020, 8) totesivat tutkimuksessaan henkilöstön työmäärän olevan (ainoa) tilastollisesti merkitsevä tekijä tietojenkalasteluviestin avaamisessa. Mitä kiireisempi työntekijä, sitä useammin hän avaa sähköpostiviestin ja vastaa siihen, asiaan tarkemmin perehtymättä (Jalali ym., 2020, 8).

Henkilöstön kyberturvallisuusosaaminen tulisi nähdä kaikkien yhteisenä asiana ja varmistaa, että osaamisen kehittyminen mahdollistetaan soveltuvilla ja tehokkailla tavoilla (Jerry-Egemba, 2023). Nykyiset organisaatioiden kyberturvallisuuskoulutukset eivät näytä valmistavan sote-alan työntekijöitä riittävästi huomioimaan ihmisten aiheuttamia kyberturvallisuusuhkia (Kioskli ym., 2023). Vaikuttavat koulutussisällöt ovat relevantteja, käytännönläheisiä ja linjassa niiden uhkien kanssa, joita eri ammattiryhmät kohtaavat (Jerry-Egemba, 2023). Koulutustoimenpiteitä tulisi myös testien ja erillisten koulutusten lisäksi sisällyttää henkilöstön työprosesseihin, jotta ne olisivat tehokkaita (mm. Darti & Mohiuddin, 2023). Esimerkiksi simuloitujen tietojenkalasteluharjoitusten on todettu pitävän henkilöstöä ajan tasalla uhista sekä edistävän valpasta ja kyberuhkia tiedostavaa kulttuuria (Waddell, 2024; Cartwright, 2023; Jerry-Egemba, 2023).

Tunnistetaanko osaamistarpeet?

Sote-henkilöstön kyberturvallisuusosaamisen arviointi on haastavaa. Henkilöstö saattaa arvioida osaamisensa todellista tilannetta paremmaksi esimerkiksi siksi, ettei täysin ymmärrä, mitä kyberturvallisella toiminnalla tarkoitetaan (mm. Blek & Solankallio-Vahteri, 2022; Kannelonning & Katsikas, 2023). HealthCare Cyber Range (HCCR) -hankkeessa tehdyssä tutkimuksessa Blek & Solankallio-Vahteri (2022, 359) toteavat myös ristiriidan; 74 % terveydenhuollon ammattihenkilöistä arvioi kyberturvallisuusosaamisensa olevan riittävällä tasolla. Kuitenkin selvitykset, tutkimusnäyttö ja kyberturvallisuuden vaarantumistapahtumat kertovat päinvastaista (mm. Coventry ym., 2020).

Terveydenhuollon henkilöstön kyberturvalliseen toimintaan vaikuttavat kolme keskeistä tekijää: 1) turvallisuuden koetaan haittaavan tehokkuutta ja potilaiden hoitoa, 2) tietoisuus käyttäytymisen seurauksista on puutteellista ja 3) turvallisen käyttäytymisen toimintatapoja ja vahvistamista ei ole riittävästi. (Coventry ym., 2020.) Javaid ym. (2023) ovat tutkimuksessaan todenneet, että henkilöstö arvioi osaamistaan realistisemmin ja noudattaa todennäköisemmin kyberturvallisia käytäntöjä silloin, kun he ymmärtävät käytäntöjen merkityksen ja ovat tietoisia niin omasta roolistaan, uhista kuin kyberturvallisuuteen vaikuttavista tekijöistäkin (Javaid ym., 2023).

Kyberturvallista sote-arkea tehdään yhdessä

Avoin ja läpinäkyvä IT-ammattilaisten ja sote-henkilöstön välinen viestintä on ratkaisevassa asemassa turvallisuustietoisuuden ja -kulttuurin edistämisessä (Clarke & Martin, 2024). Henkilöstön osallistaminen kyberturvallisuuteen liittyviin keskusteluihin ja päätöksentekoon auttaa heitä ymmärtämään ohjeistuksia ja mahdollistaa tietoturvakäytäntöjen sitomisen osaksi kliinistä työtä (potilaan hoitoprosessia hidastamatta). Lisäksi henkilöstön osallistamisella riskinarviointeihin ja toimintatapojen kehittämiseen sekä teknologian valintaan varmistetaan, että turvatoimenpiteet ovat linjassa kliinisten työprosessien kanssa ja vastaavat tehokkaasti henkilöstön huolenaiheisiin. (Health Industry Cybersecurity Practices, 2023.)

Kyberhyökkäyksen vaikutukset eri ammattiryhmiin ovat erilaiset. Kyberhyökkäyksen tapahtuessa sote-ammattilaisten pääsyä tietoihin, kuten hoito-ohjelmiin ja asiakastietoihin on rajoitettu tai lääkinnälliset laitteet voivat olla pois käytöstä. IT-asiantuntijat taas eivät pysty ylläpitämään teknisiä toimintoja ja kriittisiä järjestelmiä. Johdon huoli voi kohdistua organisaation talouteen ja maineeseen. (Health Industry cybersecurity practices, 2023.) Kaikista näkökulmista on löydettävissä intressi kyberturvallisuuden varmistamiseen, mutta kullakin ammattiryhmällä se on vähän erilainen. Jotta yhteistyöhön sitoudutaan, on näkemyseroja eri ammattiryhmien välillä tärkeä huomioida. Mielenkiintoinen kysymys on, tunnistetaanko näitä riittävällä tasolla.

Kyberturvallisuusosaamista ja eri ammattiryhmien välistä yhteistyötä kehittämässä

Sosiaali- ja terveydenhuoltopalvelut luetaan kriittisten infrastruktuurien joukkoon. Kriittisellä infrastruktuurilla tarkoitetaan sellaisia yhteiskunnan perusrakenteita ja palveluja, jotka ovat kriittisiä yhteiskunnan elintärkeiden toimintojen ylläpitämiseksi (Sanastokeskus, 2018). Kyberhyökkäykset näitä toimijoita kohtaan ovat lisääntyneet ja saavuttaneet myös suuren yleisön tietoisuuden. Ihmisellä on tärkeä rooli kyberturvallisuuden varmistamisessa (Kannelonning & Katsikas, 2023.) Toimenpiteitä kyberturvallisuuden turvaamiseksi tullaan siis tarvitsemaan tulevaisuudessa luontevana ja jatkuvana osana sosiaali- ja terveysalan arkipäiväistä toimintaa.

Jamkin terveysalan tulosalue yhdessä IT-instituutin ja liiketoimintayksikön kanssa koordinoi helmikuussa 2024 alkanutta KyberSoTe -projektia, joka rahoitetaan Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030-ohjelmasta. Projekti jatkuu vuoden 2026 loppuun, ja sen yhteistyökumppanina on Keski-Suomen hyvinvointialue sekä osatoteuttajina Laurea-, Tampereen ja Turun ammattikorkeakoulut. Projektissa edistetään sosiaali- ja terveydenhuollon organisaatioiden varautumista kyberturvallisuusuhkiin. Projektin keskiössä ovat sosiaali- ja terveysalan ammattilaisten kyberturvallisuusosaamisen lisääminen sekä kestävien ja skaalattavien koulutusratkaisujen luominen. Lisäksi projektissa vahvistetaan sote-ammattilaisten ja tietohallinnon välistä yhteistyötä ja vuorovaikutusta.

Avainsanat:

kyberturvallisuus kyberturvallisuuskoulutus kyberturvallisuusosaaminen sosiaaliala terveydenhuolto terveysala

Kirjoittajat:

Tiina Blek

Lehtori

Jyväskylän ammattikorkeakoulu

Työskentelen lehtorina Jyväskylän ammattikorkeakoulun terveysalalla. Työtehtäväni koostuvat opetus- ja kehittämistehtävistä sekä hanketyöstä.

Emilia Lahdenperä

Lehtori

Jyväskylän ammattikorkeakoulu

Työskentelen lehtorina, pedagenttina ja hanketehtävissä (KyberSoTe 2024-2026) Jamkin hyvinvointiyksikön terveysalan tulosalueella.

Johanna Lehosmaa

Tuntiopettaja

Jyväskylän ammattikorkeakoulu

Työskentelen lehtorina Jyväskylän ammattikorkeakoulun hyvinvointiyksikössä, terveysalalla. Työpäiväni rakentuvat opetukseen ja projektityöhön liittyvistä tehtävistä. Tällä hetkellä toimin projektipäällikkönä KyberSoTe -projektissa (2024–2026). Lisäksi syksystä 2024 vastuuopettajana Future Factory projektiopinnoissa. Ammatillinen mielenkiintoni on vahvasti siinä, miten teknologian ja digitaalisten ratkaisuiden avulla edistetään ihmisten terveyttä ja hyvinvointia, asiakaslähtöisesti. Lisäksi sote-alan ammattilaisten digiosaamisen vahvistaminen on lähellä sydäntäni.

Lähteet:

Aljuraid, R. & Justinia, T. (2022). Classification of challenges and threats in healthcare cybersecurity: a systematic review. Studies in Health Technology and Informatics 295: 362–365. doi: 10.3233/SHTI220739

Blek, T., & Solankallio-Vahteri, T. (2022). Information and cybersecurity competence of healthcare care personnel. Finnish Journal of EHealth and EWelfare, 14(4), 352–363. https://doi.org/10.23996/fjhw.115829

Cartwright, A. J. (2023). The elephant in the room: Cybersecurity in healthcare. Journal of Monitoring and computing, 37, 1123–1132. https://doi.org/10.1007/s10877-023-01013-5

Clarke, M. & Martin, H. (2024). Managing cybersecurity risk in healthcare settings. Healthcare Management Forum 2024, 37(1), 17–20. https://doi.org/10.1177/08404704231195804

Coventry, L., Branley-Bell, D., Sillence, E., Magalini, S., Mari, P., Magkanaraki, A. & Anastasopoulou, K. (2020). Cyber-risk in Healthcare: Exploring facilitators and barriers to secure behaviour. Moallem, A. (toim.) HCI for Cybersecurity, Privacy and Trust. HCII 2020. Lecture Notes in Computer Science, 12210. Springer, Cham. https://doi.org/10.1007/978-3-030-50309-3_8

Dart, M., & Mohiuddin, A. (2023). Evaluating Staff Attitudes, Intentions, and Behaviors Related to Cyber Security in Large Australian Health Care Environments: Mixed Methods Study. JMIR Human Factors, 10, e48220. https://doi.org/10.2196/48220

European Union Agency for Cybersecurity (ENISA). (2023). ENISA threat landscape: health sector (January 2021 to March 2023). Viitattu 26.5.2024. https://www.enisa.europa.eu/publications/health-threat-landscape

Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients. 2023 Edition. Healthcare and Public Health Sector Coordinating Council. Public Private Partnership. Department of Health and Human Services, USA. Viitattu 26.5.2024. https://405d.hhs.gov/Documents/HICP-Main-508.pdf

Huoltovarmuuskeskus. (2023). Toimialojen kyberkypsyyden selvitys 2022 – Kansallinen koosteraportti. Viitattu 14.3.2024. https://www.huoltovarmuuskeskus.fi/files/29b11d0af56a115126ad490af444f1c4fd7885af/hvk-toimialojen-kyberkypsyyden-selvitys-2022.pdf

Jalali, M.S., Bruckers, M., Westmattelmann, D. & Schewe, G. (2020). Why Employees (Still) Click on Phishing Links: Investigation in Hospitals. Journal Of Medical Internet Research, 22(1), e16775. doi:10.2196/16775

Javaid, M., Haleem, A. Singh, R. & Suman, R. (2023). Towards insightning cybersecurity for healthcare domains: A comprehensive review of recent practices and trends. Cyber Security and Applications, 1, 100016. https://doi.org/10.1016/j.csa.2023.100016

Jerry-Egemba N. (2023). Safe and sound: Strengthening cybersecurity in healthcare through robust staff educational programs. Healthcare Management Forum, 37(1), 21–25. doi:10.1177/08404704231194577

Kamerer, J. & McDermott, D. (2020). Cybersecurity: nurses on the front line of prevention and education. Journal of nursing regulation, 10(4), 48–53. https://doi.org/10.1016/S2155-8256(20)30014-4

Kannelønning, K. & Katsikas, S. (2023). A systematic literature review of how cybersecurity-related behavior has been assessed. Information and Computer Security, 31(4), 463–477. https://doi.org/10.1108/ICS-08-2022-0139

Kioskli, K., Fotis, T., Nikafos, S. & Mouratidis, H. (2023). The Importance of Conceptualising the Human-Centric Approach in Maintaining and Promoting Cybersecurity-Hygiene in Healthcare 4.0. Applied Sciences, 13(6), 3410. https://doi.org/10.3390/app13063410

Kyberturvallisuuskeskus. (2022). Kyberturvallisuuskeskuksen viikkokatsaus – 44/2022. Viitattu 13.3.2024. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-442022

Kyberturvallisuuskeskus. (2024). Kybersää, tammikuu 2024. Viitattu 13.3.2024. https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%20tammikuu%202024.pdf

Nifakos, S., Chandramouli, K., Nikolaou, CK., Papachristou, P., Koch, S., Panaousis, E. & Bonacina, S. (2021). Influence of human factors on cyber security within healthcare organisations: a systematic review. Sensors (Basel), 21(15), 5119. https://doi.org/10.3390/s21155119

Rajamäki, J., Rathod, P. & Kioskli, K. (2023). Demand analysis of the cybersecurity knowledge areas and skills for nurses: Preliminary findings. Proceedings of the 22^nd European Conference on Cyber Warfare and Security 22(1): 711–716. https://doi.org/10.34190/eccws.22.1.1181

Saharinen, K. (2024). Kyberturvallisuuden koulutusta kaikille. Jamk Arena Public. https://urn.fi/urn:nbn:fi:jamk-issn-2984-0791-64

Sanastokeskus. (2018). Kyberturvallisuuden sanasto. Viitattu 13.3.2024. https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf

Sendelj, R. & Ognjanovic, I. (2022). Cybersecurity challenges in healthcare. Teoksessa J. Mantas ym. (toim.) Achievements, milestones and challenges in biomedical and health informatics. IOS Press. doi:10.3233/SHTI220951

Turvallisuuskomitea. (2019). Suomen kyberturvallisuusstrategia 2019. Valtioneuvoston periaatepäätös 3.10.2019. Viitattu 26.5.2024. Saatavilla: https://turvallisuuskomitea.fi/wp-content/uploads/2019/10/Kyberturvallisuusstrategia_A4_SUOMI_WEB_300919.pdf

Waddell, M. (2024). Human factors in cybersecurity: Designing an effective cybersecurity education program for healthcare staff. Healthcare Management Forum, 37(1), 13–16. doi:10.1177/08404704231196137

Yle. (1.3.2024). Vastaamo-uhrien juristi: Ihmisiä on päätynyt itsemurhaan tietomurron ja kiristyksen vuoksi. Viitattu 13.3.2024. https://yle.fi/a/74-20077270

KyberSoTe

Projekti vahvistaa sote-alan ammattilaisten kyberosaamista ja eri ammattiryhmien välistä yhteistyötä . Päätavoitteena projektissa on edistää sosiaali- ja terveydenhuollon organisaatioiden varautumista kyberuhkiin, palveluiden jatkuvuutta sekä potilasturvallisuutta.

Seuraa projektia verkkosivuilla