Arena Pro
Käsi mobiililaitteen päällä, lukkokuvake ja terveydenhuoltoon liittyviä kuvakkeita ympärillä

Kuva: Adobe Stock

Sote-ammattilaisten kyberturvallisella toiminnalla varmistetaan asiakas- ja potilasturvallisuutta 

Teknologia ja teollisuus Terveys ja hyvinvointi

Sosiaali- ja terveysalaan kohdistuvat kyberhyökkäykset ovat lisääntyneet. Sote-ammattilaisilla on tärkeä rooli kyberturvallisuuden varmistamisessa - vastuu ei ole vain tietohallinnolla. Kyberturvallisen sote-arjen vahvistamiseksi tarvitaan sekä osaamista että yhteistyötä.

Sosiaali- ja terveysalan nopea teknologiakehitys ja palveluiden digitalisoituminen ovat tuoneet mukanaan monia hyötyjä. Näistä esimerkkeinä ovat sähköiset terveystiedot ja etähoitopalvelut, toiminnan tehokkuus ja hoidon laadun paraneminen (Jerry-Egemba, 2023). Digitalisaation kääntöpuolena kyberturvallisuusuhat, kuten tietomurrot, ovat lisääntyneet (Jerry-Egemba, 2023; Nifakos, 2021).

Sosiaali- ja terveydenhuollon organisaatiot ovat kyberrikollisille erityisen kiinnostavia hyökkäyksen kohteita. Ihmisten terveystiedot ovat arvokasta kauppatavaraa pimeillä markkinoilla (Javaid ym., 2023) – jopa 10-kertaa arvokkaampia kuin luottokorttitiedot (Cartwright, 2023). Terveystiedot ovat myös arkaluonteisia, ja niiden vuotaminen julkisuuteen aiheuttaa valtavasti inhimillistä kärsimystä (Javaid ym., 2023).

Suomen kyberturvallisuustilanteessa nähtiin jotain ennen näkemätöntä vuonna 2020, kun Psykoterapiakeskus Vastaamon maailmanlaajuisestikin historiallinen tietomurto tuli julkisuuteen. Tuolloin verkossa julkaistiin potilastietokanta, joka sisälsi yli 33 000 ihmisen potilastietoja. Vuotaneita tietoja on sittemmin myyty pimeässä verkossa ja hyödynnetty muun muassa identiteettivarkauksissa sekä erilaisissa petoksissa (Kyberturvallisuuskeskus, 2022). Tietomurron uhreja edustavan asianajajan mukaan osa uhreista on päätynyt jopa itsemurhaan tapahtumien vuoksi (Yle 1.3.2024). Vaikutus tietomurron kohteeksi joutuneisiin ihmisiin on siis ollut merkittävä (mm. Rajamäki, 2023; Kyberturvallisuuskeskus, 2022).

Tietojen luotettavuuteen ja saatavuuteen liittyvien sekä taloudellisten vaikutusten lisäksi kyberhyökkäykset uhkaavat siis myös asiakas- ja potilasturvallisuutta. Jotta organisaatio pysyisi suojassa kyberhyökkäyksiltä, on riskejä pyrittävä ehkäisemään ja vähentämään. Kyberhyökkäysten lisääntymisen ja kehittyvän luonteen vuoksi tähän vaaditaan koko organisaation laajuisia toimia. (Nifakos ym., 2021.)

Ihmisellä tärkeä rooli kyberturvallisuuden varmistamisessa

Ihmiset ja heidän toimintansa nähdään edelleen suurimpana uhkana kyberturvallisuuden toteutumiselle myös sote-alan organisaatioissa (Kioskli ym., 2023; Rajamäki ym., 2023). Kyberturvallisuutta vaarantavat toimintatavat liittyvät muun muassa käyttäjätileihin ja -tunnuksiin, sähköpostin, muistitikkujen ja henkilökohtaisten laitteiden käyttöön, etätyöskentelyyn, päivitysten puutteeseen sekä verkkoon kytkettyihin lääkinnällisiin laitteisiin (Coventry ym., 2021). Taustalla on usein tietämättömyyttä ja riittämätöntä osaamista (Aljuraid & Justinia, 2022; Kamerer & McDermott, 2020; Kioskli ym., 2023). Lisäksi holtittomuus (riskinotto), huolimattomuus ja uteliaisuus (Aljuraid & Justinia, 2022) sekä toistuvat, rutiininomaiset työtehtävät ja väsymys lisäävät kyberturvallisuuden kannalta epäsuotuisan toiminnan riskiä (Jerry-Egemba, 2023). Sote-alalla myös priorisoidaan asiakkaan/potilaan tehokasta hoitoa, jolloin kyberturvallisuus voi jäädä vähäisemmälle huomiolle (Coventry ym., 2021).

Kyberturvallisuuskeskuksen kuukausittain julkaistavan Kybersää 2024 -julkaisun mukaan esimerkiksi M365- ja sähköpostitilien murrot sekä valtiollinen vakoilutoiminta, huijaukset ja tietojenkalastelu (phishing) ovat lisääntyneet alkuvuonna 2024. Kaikissa näissä yhtenä olennaisena riskitekijänä ja oven avaajana kyberrikollisille on ihminen ja hänen toimintansa. Etenkin tietojenkalastelu on yleistä ja on myös kyberuhista se, johon henkilöstö helpoiten kompastuu. (Cartwright 2023; Kyberturvallisuuskeskus 2024, 12; Helsingin seudun kauppakamari 2022, 4.)

Kyberturvallisuusriskien ymmärtämisen arvioidaan olevan edelleen melko heikolla tasolla sosiaali- ja terveysalalla (Rajamäki ym., 2023; Sendelj & Ognajovic, 2022). Henkilöstöllä on todettu olevan puutteellinen ymmärrys siitä, millaisia kyberturvallisuusuhkia organisaatiot kohtaavat (Dart & Mohiuddin, 2023) ja mitä niillä tarkoitetaan. Kyberturvallisuuskeskuksen (2024, 12, 18) arvion mukaan osaamisen riittävälle tasolle saattaminen saattaa viedä vielä pitkään.

Kaikilla tulisi olla kyberturvallisuusosaamista

Tänä päivänä kyberturvallisuusosaamisen nähdään olevan osa koko henkilöstön osaamistarvetta. (Saharinen, 2024; Cartwright, 2023; Kyberturvallisuuskeskus, 2024, 18). Sen kehittäminen on yksi Suomen kyberturvallisuusstrategian keskeisistä tavoitteista. Jokaisen yksilön tunnistetaan olevan tärkeä toimija, jonka on mahdollista vaikuttaa omaan ja muiden turvallisuuteen omilla arjen kyberturvallisuutta vahvistavilla teoillaan. (Turvallisuuskomitea, 2019). Myös sosiaali- ja terveysalalla kyberturvallisuusosaaminen on ajankohtainen teema, joka nähdään yhä vahvemmin jokaisen sote-ammattilaisen osaamistarpeena (Clarke & Martin, 2024; ENISA, 2023; Jerry-Egemba, 2023; Kioskli ym., 2023). Teknisillä keinoilla voidaan suojautua kyberrikoksia vastaan, mutta ilman valistunuttahenkilöstöä ja vahvaa tietoturvakulttuuria organisaation suojaus jää vajaaksi (Kamerer & McDermott, 2020).

Kyberturvallisuudessa on siis kyse muustakin kuin teknologiasta (Jerry-Egemba 2023) ja kyberturvallisuusosaamisessa muustakin kuin teknisestä osaamisesta. Sote-ammattilaisen ei odoteta ymmärtävän koodeja tai järjestelmien käyttöön liittyviä teknologisia tekijöitä, vaan hänen tulisi kyetä toimimaan kyberturvallisesti oman roolinsa ja ammatillisten vastuidensa näkökulmasta (Kamerer & McDermott, 2020; Rajamäki ym., 2023). Keskeisiin osaamisiin kuuluvat lisäksi kyberhäiriöiden tunnistaminen ja häiriötilanteessa toimiminen sekä erilaisiin verkkoon kytkettyihin laitteisiin ja välineisiin liittyvien kyberturvallisuusuhkien tunnistaminen (Rajamäki ym., 2023). Näistä viimeksi mainittuun lukeutuvat myös lääkinnälliset laitteet, jotka tunnistetaan yhdeksi merkittävimmistä kyberuhkista sote-alalla (Health Industry Cybersecurity Practices, 2023).

Vaikka ihmisen toimintaan liittyvät riskit on tunnistettu keskeiseksi haavoittuvuudeksi sosiaali- ja terveysalalla, niihin ei resursoida yhtä paljon kuin esimerkiksi teknisiin kyberturvallisuusratkaisuihin (Waddell, 2024). Huoltovarmuuskeskus (2023) on arvioinut terveydenhuollon yhdeksi merkittäväksi riskiksi työvoimapulan ja runsaat sijaisuudet, jotka osaltaan luovat kyberturvallisuusosaamisen tasoeroja. Jalali ym. (2020, 8) totesivat tutkimuksessaan henkilöstön työmäärän olevan (ainoa) tilastollisesti merkitsevä tekijä tietojenkalasteluviestin avaamisessa. Mitä kiireisempi työntekijä, sitä useammin hän avaa sähköpostiviestin ja vastaa siihen, asiaan tarkemmin perehtymättä (Jalali ym., 2020, 8).

Henkilöstön kyberturvallisuusosaaminen tulisi nähdä kaikkien yhteisenä asiana ja varmistaa, että osaamisen kehittyminen mahdollistetaan soveltuvilla ja tehokkailla tavoilla (Jerry-Egemba, 2023). Nykyiset organisaatioiden kyberturvallisuuskoulutukset eivät näytä valmistavan sote-alan työntekijöitä riittävästi huomioimaan ihmisten aiheuttamia kyberturvallisuusuhkia (Kioskli ym., 2023). Vaikuttavat koulutussisällöt ovat relevantteja, käytännönläheisiä ja linjassa niiden uhkien kanssa, joita eri ammattiryhmät kohtaavat (Jerry-Egemba, 2023). Koulutustoimenpiteitä tulisi myös testien ja erillisten koulutusten lisäksi sisällyttää henkilöstön työprosesseihin, jotta ne olisivat tehokkaita (mm. Darti & Mohiuddin, 2023). Esimerkiksi simuloitujen tietojenkalasteluharjoitusten on todettu pitävän henkilöstöä ajan tasalla uhista sekä edistävän valpasta ja kyberuhkia tiedostavaa kulttuuria (Waddell, 2024; Cartwright, 2023; Jerry-Egemba, 2023).

Tunnistetaanko osaamistarpeet?

Sote-henkilöstön kyberturvallisuusosaamisen arviointi on haastavaa. Henkilöstö saattaa arvioida osaamisensa todellista tilannetta paremmaksi esimerkiksi siksi, ettei täysin ymmärrä, mitä kyberturvallisella toiminnalla tarkoitetaan (mm. Blek & Solankallio-Vahteri, 2022; Kannelonning & Katsikas, 2023). HealthCare Cyber Range (HCCR) -hankkeessa tehdyssä tutkimuksessa Blek & Solankallio-Vahteri (2022, 359) toteavat myös ristiriidan; 74 % terveydenhuollon ammattihenkilöistä arvioi kyberturvallisuusosaamisensa olevan riittävällä tasolla. Kuitenkin selvitykset, tutkimusnäyttö ja kyberturvallisuuden vaarantumistapahtumat kertovat päinvastaista (mm. Coventry ym., 2020).

Terveydenhuollon henkilöstön kyberturvalliseen toimintaan vaikuttavat kolme keskeistä tekijää: 1) turvallisuuden koetaan haittaavan tehokkuutta ja potilaiden hoitoa, 2) tietoisuus käyttäytymisen seurauksista on puutteellista ja 3) turvallisen käyttäytymisen toimintatapoja ja vahvistamista ei ole riittävästi. (Coventry ym., 2020.) Javaid ym. (2023) ovat tutkimuksessaan todenneet, että henkilöstö arvioi osaamistaan realistisemmin ja noudattaa todennäköisemmin kyberturvallisia käytäntöjä silloin, kun he ymmärtävät käytäntöjen merkityksen ja ovat tietoisia niin omasta roolistaan, uhista kuin kyberturvallisuuteen vaikuttavista tekijöistäkin (Javaid ym., 2023).

Kyberturvallista sote-arkea tehdään yhdessä

Avoin ja läpinäkyvä IT-ammattilaisten ja sote-henkilöstön välinen viestintä on ratkaisevassa asemassa turvallisuustietoisuuden ja -kulttuurin edistämisessä (Clarke & Martin, 2024). Henkilöstön osallistaminen kyberturvallisuuteen liittyviin keskusteluihin ja päätöksentekoon auttaa heitä ymmärtämään ohjeistuksia ja mahdollistaa tietoturvakäytäntöjen sitomisen osaksi kliinistä työtä (potilaan hoitoprosessia hidastamatta). Lisäksi henkilöstön osallistamisella riskinarviointeihin ja toimintatapojen kehittämiseen sekä teknologian valintaan varmistetaan, että turvatoimenpiteet ovat linjassa kliinisten työprosessien kanssa ja vastaavat tehokkaasti henkilöstön huolenaiheisiin. (Health Industry Cybersecurity Practices, 2023.)

Kyberhyökkäyksen vaikutukset eri ammattiryhmiin ovat erilaiset. Kyberhyökkäyksen tapahtuessa sote-ammattilaisten pääsyä tietoihin, kuten hoito-ohjelmiin ja asiakastietoihin on rajoitettu tai lääkinnälliset laitteet voivat olla pois käytöstä. IT-asiantuntijat taas eivät pysty ylläpitämään teknisiä toimintoja ja kriittisiä järjestelmiä. Johdon huoli voi kohdistua organisaation talouteen ja maineeseen. (Health Industry cybersecurity practices, 2023.) Kaikista näkökulmista on löydettävissä intressi kyberturvallisuuden varmistamiseen, mutta kullakin ammattiryhmällä se on vähän erilainen. Jotta yhteistyöhön sitoudutaan, on näkemyseroja eri ammattiryhmien välillä tärkeä huomioida. Mielenkiintoinen kysymys on, tunnistetaanko näitä riittävällä tasolla.

Kyberturvallisuusosaamista ja eri ammattiryhmien välistä yhteistyötä kehittämässä

Sosiaali- ja terveydenhuoltopalvelut luetaan kriittisten infrastruktuurien joukkoon. Kriittisellä infrastruktuurilla tarkoitetaan sellaisia yhteiskunnan perusrakenteita ja palveluja, jotka ovat kriittisiä yhteiskunnan elintärkeiden toimintojen ylläpitämiseksi (Sanastokeskus, 2018). Kyberhyökkäykset näitä toimijoita kohtaan ovat lisääntyneet ja saavuttaneet myös suuren yleisön tietoisuuden. Ihmisellä on tärkeä rooli kyberturvallisuuden varmistamisessa (Kannelonning & Katsikas, 2023.) Toimenpiteitä kyberturvallisuuden turvaamiseksi tullaan siis tarvitsemaan tulevaisuudessa luontevana ja jatkuvana osana sosiaali- ja terveysalan arkipäiväistä toimintaa.

Jamkin terveysalan tulosalue yhdessä IT-instituutin ja liiketoimintayksikön kanssa koordinoi helmikuussa 2024 alkanutta KyberSoTe -projektia, joka rahoitetaan Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030-ohjelmasta. Projekti jatkuu vuoden 2026 loppuun, ja sen yhteistyökumppanina on Keski-Suomen hyvinvointialue sekä osatoteuttajina Laurea-, Tampereen ja Turun ammattikorkeakoulut. Projektissa edistetään sosiaali- ja terveydenhuollon organisaatioiden varautumista kyberturvallisuusuhkiin. Projektin keskiössä ovat sosiaali- ja terveysalan ammattilaisten kyberturvallisuusosaamisen lisääminen sekä kestävien ja skaalattavien koulutusratkaisujen luominen. Lisäksi projektissa vahvistetaan sote-ammattilaisten ja tietohallinnon välistä yhteistyötä ja vuorovaikutusta.

KyberSoTe

Projekti vahvistaa sote-alan ammattilaisten kyberosaamista ja eri ammattiryhmien välistä yhteistyötä . Päätavoitteena projektissa on edistää sosiaali- ja terveydenhuollon organisaatioiden varautumista kyberuhkiin, palveluiden jatkuvuutta sekä potilasturvallisuutta.

Seuraa projektia verkkosivuilla Avautuu uuteen välilehteen
Huoltovarmuuskeskuksen logo