Haasteet yhteistyössä altistavat sote-alan kyberturvallisuusriskeille

Nykyaikainen sosiaali- ja terveysalan toimintaympäristö on hyvin tekninen ja verkottunut kokonaisuus ja näin ollen altis erilaisille häiriöille (Coventry & Branley, 2018). Alan nopea digitalisoituminen on tuonut paljon hyötyjä sekä kustannustehokkuutta, mutta kääntöpuolena kehitys on voinut tapahtua ilman riittävää huomiota digitalisaation mukanaan tuomiin riskeihin ja kyberuhkiin (Jerry-Egemba, 2024; Cartwright, 2023). Suuri kriittisen ja rikollisille arvokkaan tiedon määrä sote-tietojärjestelmissä yhdistettynä vajavaisiin turvatoimiin, kuten teknisten suojatoimien ja henkilöstön kyberturvallisuustietoisuuden puuttumiseen, tekevät toimialasta houkuttelevan kohteen kyberrikollisille (World Health Organization, 2024). Arkaluontoisen tiedon vuotamisen lisäksi kyberhyökkäykset voivat olla merkittävä uhka potilasturvallisuudelle ja palvelujen saatavuudelle (ENISA, 2023; Cartwright, 2023).

Vaikka sosiaali- ja terveysalan ammattilaiset ovat tärkeä lenkki kyberturvallisuuden vahvistamisen ketjussa, kokevat he usein kyberturvallisuuden ja siitä huolehtimisen jonkun toisen tehtäväksi (Dart & Ahmed, 2023). He luottavat ja uskovat organisaatioiden yleisiin kyberturvallisuuslinjauksiin ja turvallisuusjärjestelmiin (Dart & Ahmed, 2023), mutta samaan aikaan saattavat kokea kyberturvallisuustoimenpiteet ja toimintaohjeet negatiivisesti: työntekoa haittaaviksi, vapautta rajoittaviksi, liian yksityiskohtaisiksi, pitkiksi ja aikaa vieviksi (Clarke & Martin, 2024; Coventry ym., 2020; Dart & Ahmed, 2023). Toisaalta tietohallinnon henkilöstöllä ei välttämättä ole riittävää tietoa ja ymmärrystä sosiaali- ja terveysalan henkilöstön työstä ja työympäristöistä, jotka haastavat kyberturvallisuutta ja joihin yleiset kyberturvallisuusohjeet ja -ratkaisut eivät aina istu (Clarke & Martin, 2024; Coventry ym., 2020). Kumpikaan ammattiryhmä ei kuitenkaan pyri tahallisesti hankaloittamaan toisen työtä. Sote-ammattilaisen tarkoitus on tuottaa hoito tehokkaasti, ei lisätä kyberuhkia. Vastaavasti tietohallinnon ammattilaisten on tarkoitus vähentää tietoturvariskejä, ei vaikeuttaa hoidon toteuttamista. (Argaw ym., 2020.) Jotta kyberturvallisuustoimia ja -ratkaisuja voidaan kehittää ymmärrettäviksi, sote-ammattilaisia toimintaan sitouttaviksi ja ennen kaikkea potilastyötä mahdollisimman vähän häiritseviksi, tulisi sote-ammattilaisten olla mukana kehitystyössä (Clarke & Martin, 2024; Coventry ym., 2020; Dart & Ahmed, 2023). Yhteistyössä keskeistä on tasapainon löytäminen kyberturvallisuusriskien ja toiminnallisuuden välillä (Clarke & Martin, 2024).

Tunnistettuja haasteita sosiaali- ja terveysalan sekä tietohallinnon ammattilaisten välisessä yhteistyössä

Moniammatillinen vuorovaikutus ja yhteistyö ei usein ole helppoa. Kun eri ammattiryhmät lähestyvät asiaa erilaisista ammatillisista näkökulmista ja omalla ammattikielellään, haasteita on väistämättä odotettavissa. Sosiaali- ja terveysalan ja tietohallinnon ammattilaisten välisen yhteistyön ja vuorovaikutuksen nykytilaa ei ole juuri tutkittu, mutta aiempi kirjallisuus on tunnistanut useita haasteita, jotka vaikeuttavat tai jopa estävät yhteistyötä ja sen syventämistä.

Jo lähtökohtaisesti vuorovaikutuksen ongelmat voivat kummuta siitä, että toisen ammattiryhmän työtä ja sen tarkoitusta ei ymmärretä riittävästi. Tämä voi näkyä esimerkiksi siinä, että tietohallinnossa laadittujen tietoturvaohjeistusten tai päätösten tarkoitusta ja motiiveja ei ymmärretä sosiaali- ja terveysalan ammattilaisten keskuudessa, tai ne tuntuvat alan työympäristössä toimimattomilta, rajoittavilta tai keinotekoisilta (Clarke & Martin, 2024; Coventry ym., 2020). Sosiaali- ja terveysalan ammattilaisten on myös huomattu suhtautuvan negatiivisesti tietoturvatoimiin ja -ohjeistuksiin, mikäli niitä ei pidetä kiireiseen työnkuvaan nähden riittävän tehokkaina, tai jos käytössä on nopeampia vaihtoehtoja (Coventry ym., 2020). Tietohallinnon ammattilaiset taas näkevät asian ennemmin kulttuuri- ja asennekysymyksenä kuin teknisenä ongelmana (Coventry ym., 2020), vaikka he toisaalta tiedostavat sosiaali- ja terveysalan omaavan erityispiirteitä, jotka haastavat tietoturvavaatimusten asettamista (Clarke & Martin, 2024, Coventry ym., 2020). Toisaalta sosiaali- ja terveysalan ammattilaiset taas voivat odottaa tietoturvan toteuttamisessa liikoja tietohallinnolta ja muilta ammattiryhmiltä ymmärtämättä kokonaisuutta ja oman roolinsa kriittisyyttä osana sitä (Dart & Ahmed, 2023). Tällainen ymmärryksen puute ja odotusten kohtaamattomuus voi johtaa molemminpuolisiin kokemuksiin kunnioituksen ja arvostuksen puutteesta omaa työtä ja ammattiryhmää kohtaan.

Coventryn ym. (2020) haastatteluaineistossa tietohallinnon ammattilaiset nimesivät yhteistyön ja tietoturvallisen käyttäytymisen ongelmaksi sosiaali- ja terveydenhuollon ammattilaisten heikon tai heikoksi koetun tietoteknisen osaamisen ja teknologian käytön arkuuden. Vanhempien ja kokeneempien työntekijöiden koettiin olevan yksi merkittävimpiä turvattomasti toimivia henkilöstöryhmiä, joka suhtautui negatiivisesti muutoksiin tai ei tuntenut riittävästi teknologiaa. Toisaalta taas nuorimmat ja kokemattomimmat toimivat joko epävarmasti, tai päinvastoin luottivat liikaakin teknologiseen osaamiseensa. Samaisessa tutkimusaineistossa hoitohenkilöstö koki, ettei heille tiedotettu asioista ja tietoturvaohjeistusten taustoista riittävästi. Myös tietoturvakoulutusten järjestäminen koettiin riittämättömäksi. Toisaalta turvattomasti toimiminen voi johtua osaamisen puutteen lisäksi myös kulttuurieroista: Dart ja Ahmed (2023) havaitsivat tutkimuksessaan, että joissakin kulttuureissa esimerkiksi henkilötietoja ei nähty yhtä tärkeänä ja suojeltavana asiana kuin toisissa.

Ammattiryhmien välisten yhteistyön ja vuorovaikutuksen haasteiden lisäksi kirjallisuudesta nousee organisaatioiden toimintoihin ja prosesseihin liittyviä ongelmakohtia, jotka eivät edistä kyberturvallisen toimintakulttuurin kehittymistä. Coventryn ym. (2020) selvityksessä sosiaali- ja terveysalan ammattilaiset muun muassa totesivat, ettei työpaikalla välttämättä ollut tietoturvallisuutta koskevia toimintalinjoja lainkaan, tai jos sellaisia löytyi, niiden käytäntöön panoa ei tuettu eikä hyvään toimintaan kannustettu. He olisivat kaivanneet selkeitä ohjeita ja selvennyksiä toivottavista ja ei-toivotuista toimintatavoista, sekä riittävää tiedotusta toimintaohjeista ja niiden perusteista. Tietohallinnon ammattilaiset puolestaan kokivat, ettei kyberturvallisuuden edistämiselle ollut organisaatioissa riittävästi resursseja.

Lisäämällä tietohallinnon ja sosiaali- ja terveysalan ammattilaisten välistä vuorovaikutusta ja yhteistyötä voitaisiin lisätä ammattiryhmien ymmärrystä toistensa työn todellisuudesta ja löytää näin yhteistä maaperää kehittää ratkaisuja kyberturvallisuuskulttuurin vahvistamiseksi ymmärrettävällä ja osallistavalla tavalla. Avoin ja läpinäkyvä keskustelu ja tiedottaminen kyberturvallisuusohjeiden laatijoiden ja loppukäyttäjien välillä on tärkeää turvallisuustietoisuuden ja -kulttuurin edistämisessä (Clarke & Martin, 2024). Henkilöstön sitoutumista ja kyberturvallista toimintaa voidaan edistää rakentamalla kyberturvallinen toimintakulttuuri tavoitteellisesti johdon tukemana osaksi organisaation työkulttuuria (Clarke & Martin, 2024; Coventry & Branley, 2018).

KyberSoTe-projektissa tunnistettiin ja konkretisoitiin yhteistyön haasteita

KyberSoTe-projektissa on luotu käyttäjälähtöinen malli sote-alan ja tietohallinnon henkilöstön vuorovaikutuksen ja yhteistyön kehittämiseksi. Aluksi sote-alan ja tietohallinnon ammattilaisille järjestetään erilliset työpajat, joiden tarkoituksena on selvittää yhteistyön ja vuorovaikutuksen nykytila (molempien ammattiryhmien näkökulmasta): mikä tällä hetkellä toimii ja mikä aiheuttaa haasteita? Aineistojen pohjalta tehdään SWOT-analyysi nykytilasta sekä valitaan kyberturvallisuuden näkökulmasta merkittävimmät kehittämiskohteet, joihin etsitään seuraavassa työpajassa ratkaisuehdotuksia yhdessä molempien ammattiryhmien kanssa. Kolmannessa vaiheessa ratkaisuehdotukset koostetaan yhteen, sekä esitellään johdolle ja päättäjille tarkoituksena varmistaa niiden vieminen käytäntöön.

Mallia pilotoitiin KyberSoTe-projektissa. Työpajatyöskentelyn perusteella tärkeimmiksi kehittämiskohteiksi nousi viisi teemaa, jotka ovat nousseet esiin myös aiemmassa kirjallisuudessa (kts. esim. Clarke & Martin, 2024; Dart & Ahmed, 2023; Coventry ym., 2020):

Kehittämisteema	Tarkempi kuvaus
Suhtautuminen	Haasteet kyberturvallisuusteemaan suhtautumisessa ja asenteissa (sote-alan ammattilaisten keskuudessa). Saatetaan jopa ajatella, että kaikki mikä ei ole erikseen kielletty on sallittu.
Yhteinen kieli	Sote- ja IT-alan ammattilaisilta puuttuu yhteinen kieli ja molemmat ammattiryhmät käyttävät omaa ammattikieleltään (termit ja käsitteet eivät aukea).
Ymmärryksen lisääminen	Toisen ammattiryhmän työtä ei ymmärretä tarpeeksi hyvin. Ei myöskään ymmärretä päätösten ja ohjeistusten taustoja (miksi näin tulee toimia ja mitä seurauksia voi olla, jos ohjeistuksista poiketaan).
Arvostuksen kokemus	Koettu arvostuksen puute (puolin ja toisin) vaikuttaa heikentävästi yhteistyöhön.
Yhteistyön luonne	Yhteistyö on ongelmakeskeistä: ammattiryhmät ovat tekemisissä toistensa kanssa ainoastaan ongelmatilanteissa ja yhteistyö koetaan kasvottomaksi.

Näiden viiden kehittämisteeman lisäksi korostui johtajien tarjoaman tuen ja esimerkin tärkeys. Sote-johtajat voivat toimia joko kyberturvallisen toimintakulttuurin vahvistajina tai heikentäjinä.

Havainnekuvien avulla yhteistyön haasteet puheeksi

Viidestä tunnistetusta kehittämisteemasta tuotettiin 10 kappaletta sarjakuvamaisia havainnekuvia, jotka konkretisoivat ja visualisoivat haastavia tilanteita. Jokaisesta teemasta havainnekuvia on kaksi: toinen sosiaali- ja terveysalan ja toinen tietohallinnon ammattilaisten näkökulmasta. Haastavien tilanteiden tarkastelemisella kummankin ammattiryhmän näkökulmasta tehdään näkyväksi sitä, että haasteet vuorovaikutuksessa ja yhteistyössä eivät ole yksipuolisia. Kummankin ammattiryhmän on ne tiedostettava ja työskenneltävä omalta osaltaan vuorovaikutuksen ja yhteistyön sujuvoittamiseksi.

Havainnollistava piirros ammattiryhmien vaikeuksista ymmärtää toisen näkökulmaa. Tässä tietohallinnon näkökulma. — Kuva 1. Havainnekuva tietohallinnon näkökulmasta.

Havainnollistava piirros ammattiryhmien vaikeuksista ymmärtää toisen näkökulmaa. Tässä sote-henkilöstön näkökulma. — Kuva 2. Havainnekuva sote-henkilön näkökulmasta.

Havainnekuvien avulla pystytään tunnistamaan vuorovaikutuksen ja yhteistyön kipupisteitä, herättämään keskustelua ja ymmärrystä ammattiryhmien välillä sekä ideoimaan yhdessä toimivia ratkaisuja haasteisiin. Kuvat soveltuvat käytettäviksi esimerkiksi tiimipalavereissa ja koulutuksissa. Lisäksi ne soveltuvat mainiosti kehittämistyöpajoihin, joissa etsitään ratkaisuja yhteistyön ja vuorovaikutuksen haasteisiin yhdessä soten ja tietohallinnon ammattilaisten kanssa – juuri tässä tarkoituksessa niitä on pilotoitu kahdella hyvinvointialueella.

KyberSoTe-projektissa tullaan vuonna 2026 julkaisemaan aiemmin mainittu yhteistyön ja vuorovaikutuksen kehittämismalli kokonaisuudessaan. Malli on työkalu, jonka tukemana sote-organisaatiot voivat lähteä kehittämään yhteistyötä oman organisaationsa sote- ja tietohallinnon ammattilaisten välillä.

Kyberturvallisuuden varmistaminen kuuluu kaikille

Kyberturvallisuusosaaminen on nostettu Suomen kyberturvallisuusstrategiassa 2024–2035 tärkeäksi kansalaistaidoksi (Valtioneuvoston kanslia, 2024). Vaikka kyberturvallisuudessa tietoteknisillä ratkaisuilla ja kontrolleilla on tärkeä rooli toimintojen ylläpitämisessä ja tietosuojan turvaamisessa, on tärkeää ymmärtää, että ne eivät yksinään riitä. Jokainen vahvistaa (tai heikentää) omalla toiminnallaan organisaationsa kyberturvallisuutta. Valveutunut työntekijä tuntee oman organisaationsa kyberturvallisuuskäytänteet ja noudattamalla niitä toimii kyberturvallisuutta vahvistavana lenkkinä. Teknisillä keinoilla voidaan siis suojautua kyberuhilta, mutta ilman valveutunutta henkilöstöä ja vahvaa tietoturvakulttuuria organisaation suojaus jää vajaaksi (Kamerer & McDermott 2020).

Sote-organisaatioissa on tärkeä varmistaa, että jokainen työntekijä on sitoutunut kyberturvallisuuden varmistamiseen omalta osaltaan. Yhtenä lähtökohtana tälle on sujuva yhteistyö soten ja tietohallinnon ammattilaisten välillä, erityisesti tieto- ja kyberturvallisuusasioiden osalta. Yhteistyö ei kuitenkaan synny itsestään vaan vaatii tietoista panostusta, haasteiden tunnistamista ja niiden suunnitelmallista ratkaisemista. Panostamalla yhteistyöhön luomme vahvemman perustan kyberturvalliselle sote-arjelle.

Avainsanat:

kyberturvallisuus monialainen yhteistyö sosiaaliala terveysala tietohallinto tietotekniikka-ala

Kirjoittajat:

Jonna Reinikainen

Asiantuntija, TKI-talouskoordinaattori

Jyväskylän ammattikorkeakoulu

Työskentelen KyberSoTe-projektissa asiantuntijana sekä TKI-talouskoordinaattorina TKI-hankkeissa. Olen taustaltani Terveystieteiden maisteri ja kätilösairaanhoitaja ja ammatillisesti kiinnostunut terveyden ja liikunnan edistämisestä mm. teknologian ja digitaalisuuden avulla.

Johanna Niskakangas

Lehtori

Jyväskylän ammattikorkeakoulu

Työskentelen lehtorina terveysinstituutissa. Opetustyön lisäksi toimin projektipäällikkönä KyberSoTe -projektissa (2024–2026). Ammatillisesti mielenkiintoni on vahvasti siinä, miten teknologian ja digitaalisten ratkaisuiden avulla edistetään ihmisten terveyttä ja hyvinvointia, asiakaslähtöisesti ja turvallisesti.

Elina Suni

Projektipäällikkö

Jyväskylän ammattikorkeakoulu

Työskentelen Jyväskylän ammattikorkeakoulun IT-instituutissa projektipäällikkönä ja asiantuntijana kyberturvallisuuteen liittyvissä projekteissa.

Lähteet:

Argaw, S., Troncoso-Pastoriza, J., Lacey, D., Florin, M-V., Calcavecchia, F., Anderson, D., Burleson, W., Vogel, J-M., O’Leary, C., Eshaya-Chauvin, B. & Flahault, A. (2020). Cybersecurity of hospitals: discussing the challenges and working towards mitigating the risks. BMC Medical Informatics and Decision Making 20, 146. https://doi.org/10.1186/s12911-020-01161-7

Cartwright, A. (2024). The elephant in the room: cybersecurity in healthcare. Journal of Clinical Monitoring and Computing, 37(5), 1123–1132. https://doi.org/10.1007/s10877-023-01013-5

Clarke, M. & Martin, K. (2024). Managing cybersecurity risk in healthcare settings. Healthcare Management Forum, 37(1), 17–20. https://doi.org/10.1177/08404704231195804

Coventry, L. & Branley, D. (2018). Cybersecurity in healthcare: A narrative review of trends, threats and ways forward. Maturitas, 113, 48–52. https://doi.org/10.1016/j.maturitas.2018.04.008

Coventry, L., Branley-Bell, D., Sillence, E., Magalini, S., Mari, P., Magkanaraki, A. & Anastasapoulou, K. (2020). Cyber-risk in Healthcare: Exploring Facilitators and Barriers to Secure Behaviour. Teoksessa A. Moallem (ed.), HCI for Cybersecurity, Privacy and Trust (s. 105–122). https://doi.org/10.1007/978-3-030-50309-3_8

Dart, M. & Ahmed, M. (2023). Evaluating Staff Attitudes, Intentions, and Behaviors Related to Cyber Security in Large Australian Health Care Environments: Mixed Methods Study. JMIR Hum Factors, 10, e48220. https://doi.org/10.2196/48220

ENISA. (2023). ENISA Threat Landscape: Health Sector. https://www.enisa.europa.eu/sites/default/files/publications/Health%20Threat%20Landscape.pdf

Jerry-Egemba, N. (2024). Safe and sound: Strengthening cybersecurity in healthcare through robust staff educational programs. Health Management Forum, 37(1), 21-25. https://doi.org/10.1177/08404704231194577

Kamerer, J. & McDermott, D. (2020). Cybersecurity: nurses on the front line of prevention and education. Journal of nursing regulation, 10(4), 48–53. https://doi.org/10.1016/S2155-8256(20)30014-4

Valtioneuvoston kanslia. (2024). Suomen kyberturvallisuusstrategia 2024–2035. Valtioneuvoston kanslian julkaisuja 2024:11. https://urn.fi/URN:ISBN:978-952-383-376-0

World Health Organization. (2024). Cyber-attacks on critical health infrastructure. Haettu 7.10.2025 osoitteesta https://www.who.int/news-room/questions-and-answers/item/cyber-attacks-on-critical-health-infrastructure

KyberSoTe

KyberSoTe on Jyväskylän ammattikorkeakoulun vetämä projekti, jossa edistetään sosiaali- ja terveydenhuollon organisaatioiden varautumista kyberuhkiin, palveluiden jatkuvuutta sekä potilasturvallisuutta kahdesta näkökulmasta. Projektissa lisätään sote-alan ammattilaisten kyberturvallisuusosaamista ja kyberturvallisten toimintamallien käyttöä sekä vahvistetaan sote-alan ja tietohallinnon ammattilaisten välistä yhteistyötä kyberturvallisuuden osalta. Projektin osatoteuttajina ovat Laurea sekä Tampereen ja Turun ammattikorkeakoulut, ja sitä toteutetaan yhteistyössä viiden hyvinvointialueen kanssa. Projektia rahoitetaan Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelmasta.

Artikkelissa mainitut havainnekuvat, sekä muut KyberSoTe-projektissa kehitetyt materiaalit sosiaali- ja terveysalan kyberturvallisuuden vahvistamiseksi löydät hankkeen verkkosivuilta osiosta Kyberturvallisuuden työkalupakki (täydentymässä vuoden 2026 aikana).

Seuraa projektia verkkosivuilla