Kyberuhkiin varautuminen ontuu

Terveydenhuolto vasta opettelee ­kyberturvallisuutta.

Terveydenhuollon varautuminen kyberuhkiin vaihtelee. Monessa yksikössä kyberturvallisuuden perusasioissa on parantamisen varaa.

Terveydenhuollon henkilökunta osaa käyttää tietotekniikkaa kohtalaisen hyvin, mutta riskejä löytyy etenkin kuvantamiseen ja muihin sairaaloiden lääketieteellisiin laitteisiin liittyvissä järjestelmissä.

– Monessa organisaatiossa kyberturvallisuus ei ole ollut kovin fokuksessa. Sitä vasta opetellaan, kun taas yrityselämässä on jo vuosikymmeniä jouduttu painimaan erilaisten tietoteknisten uhkien kanssa, tietoturva-asiantuntija Perttu Halonen Viestintäviraston Kyberturvallisuuskeskuksesta sanoo.

Halosen mukaan ajattelutapa on muuttumassa. Terveydenhuollossa on ehkä uskottu, ettei ketään kiinnostaisi vahingoittaa yhteisen hyvän eteen toimivaa organisaatiota.

– Kyberrikollisuus on nykyään kansainvälistä. Vaikkei terveydenhuollossa liikkuisi paljon rahaa, sitä voidaan käyttää väliaskeleena.

Esimerkiksi Yhdysvalloissa terveydenhuollosta varastetaan paljon henkilötietoja, jotka ovat arvokasta kauppatavaraa pimeillä markkinoilla.

Kuvantaminen ja lääkepumput häiriintyvät herkästi

Kyberturvallisuuskeskus julkaisi alkuvuodesta sosiaali- ja terveyssektorin ­kyberturvallisuusasiantuntijoiden verkoston raportin terveydenhuollon kyber­uhkista. Sairaaloihin painottuvan raportin on tarkoitus herättää keskustelua ­kyberturvallisuudesta ja valaista sen ­merkitystä.

Raportissa todetaan muun muassa, ­että monet suurimmista kyberuhkista liittyvät lääketieteellisiin laitteisiin, joiden hallinta ei yleensä kuulu tietohallinnolle vaan lääketieteellisen tekniikan ­yksiköille. Niissä ei aina löydy kykyä ­kyberturvallisuudesta huolehtimiseen.

Tietokoneavusteinen kuvantaminen, lääkepumput ja potilaiden elintoimintoja mittaavat laitteet ovat esimerkkejä automaatiojärjestelmistä, jotka on sairaaloissa usein toteutettu tietoturvattomasti. Muitakin ongelmia on.

– Automaatiojärjestelmät voivat olla herkkiä sille, että verkkoliitäntään tulee vääränlaista liikennettä, kuten roskapostia. Laite voi lakata toimimasta. Jos laite ei toimi oikein tai tieto muuttuu, seu­raukset voivat olla ikäviä, Perttu Halonen sanoo.

Osaaminen on hajallaan

Kyberuhkien toteutumisen todennäköisyyttä on vaikea arvioida. Vieras ilmiö ne eivät ole.

Esimerkiksi syksyllä Pohjois-Karjalan sairaanhoitopiiri ja terveysasemat joutuivat palvelunestohyökkäyksen kohteeksi, ja tämä vaikutti muun muassa potilastietojärjestelmään.

Kybertuvallisuuskeskuksen raportin mukaan ongelma terveydenhuollossa on, että kyberturvallisuuteen liittyvä osaaminen on hajallaan eri yksiköissä. Organisaatioiden pitäisi esimerkiksi koota poikkihallinnollisia asiantuntijaryhmiä, jotka voivat viedä kyberturvallisuusasioita yksiköiden ja ylimmän johdon tietoon.

– Kyber pitää ottaa mukaan normaaliin riskinhallintaan riittävällä painolla, Perttu Halonen toteaa.

➤ Mitä kyber tarkoittaa?

– viittaa sähköisessä muodossa olevan informaation käsittelyyn eli tietotekniikkaan, sähköiseen viestintään (tiedonsiirtoon), tietojärjestelmiin tai tietokonejärjestelmiin. Lähde: Sanastokeskus TSK

Miia Soininen
toimittaja
Kuva: Panthermedia