stetoskooppi
Yleinen

SOTE kaipaa kyberturvallisuuden johtamista

Halusimme tai emme, asumme yhteiskunnassa, jonka toiminta on vahvasti riippuvainen kyberturvallisuudesta. Yhteiskuntamme kriittinen infrastruktuuri kuten liikennejärjestelmät, maksuliikenne, kaukolämpö, vesihuolto tai sähköverkot tarvitsevat kaikki toimiakseen mittavan määrän informaatioteknologiaa (IT). Yhteistä kaikelle kriittiselle infrastruktuurille on, että vahingoittuessaan seuraukset saattavat olla vakavia koko yhteiskunnan toiminnalle.

Ilman toimivaa IT:tä eivät junat kulje, autoa ei voi tankata, korttimaksut eivät toimi, valoista, puhelinliikenteestä tai internetistä puhumattakaan. Talvipakkasilla alkaa myös monessa kodissa tulla nopeasti kylmä. IT:tä ja siten koko modernin yhteiskunnan toimintaa pyritään suojaamaan kyberturvallisuudella.

Yksi kriittisen infrastruktuurin osa on sosiaali- ja terveydenhuolto -sektori (SOTE), joka on myös riippuvainen kyberturvallisuudesta. Nopeasti edennyt digitalisaatio on tehostanut alan toimintaa ja nykyisen tasoisia ja hintaisia palveluita olisikin mahdotonta tuottaa ilman lukuisia käytössä olevia sähköisiä palveluita, laitteita ja järjestelmiä. Valitettavasti SOTE-sektorin turvallisuusasiat eivät ole pysyneet kehityksessä mukana, ja sekä valtiolliset toimijat että rikolliset tietävät tämän.

SOTE-sektori on ollut jo vuosia yksi eniten kyberhyökkäyksiä kokeneista aloista. Pahimmillaan terveydenhuoltoon kohdistuneet kyberhyökkäykset ovat johtaneet kokonaisten sairaaloiden sulkemiseen ja potilasturvallisuuden vaarantumiseen. Tuoreessa muistissa on myös sosiaalialan psykoterapiakeskus Vastaamon tietomurto, jossa kymmenien tuhansien suomalaisten hyvin arkaluonteiset potilastiedot varastettiin ja niitä vuodettiin internetiin kaikkien nähtäville. Tällaisten kyberhyökkäysten taloudellisten kustannusten lisäksi inhimilliset kärsimykset ovat valtavia, ja ne saattavat vaikuttaa kohteeksi joutuneisiin ja heidän läheisiinsä peruuttamattomasti. Yhteiskunnallamme ei kerta kaikkiaan ole varaa hoitaa kyberturvallisuuttaan huonosti.

Kuitenkin terveydenhuollon kyberturvallisuuden tiedetään olevan muita aloja alhaisemmalla tasolla. Tähän tilanteeseen on useita syitä. Yksi syy löytyy käytössä olevasta tekniikasta. Yhdessä sairaalassa voi olla satoja eri järjestelmiä, jotka muodostavat laajan hyökkäyspinta-alan mahdollisille tunkeutujille. Käytössä saattaa olla kalliita ja herkkiä laitteita, joita ei ole alun perin suunniteltu tietoturvalliseksi, tai niitä ei voida päivittää, mutta niitä tarvitaan potilastyöhön. Kaikki SOTE-organisaatiot ovat myös tavalla tai toisella yhteydessä internetiin ja monien muiden toimijoiden verkkoihin ja järjestelmiin, jatkuvasti.

Kyberturvallisuus, kuten sen tuomat haasteetkaan, eivät rajoitu pelkästään teknisiin asioihin. Ongelmat ovat myös toiminnallisia. Sosiaali- ja terveydenhuollon organisaatioiden ja niiden työntekijöiden tiedetään olevan verkossa toimivien rikollisten hyökkäysten kohteena. Tänä päivänä SOTE-ammattilaiset käyttävät työssään lukuisia erilaisia sähköisiä laitteita ja järjestelmiä, mutta heitä ei ole koulutettu kyberturvallisuuden asiantuntijoiksi.

Teknisten ja toiminnallisten haasteiden lisäksi alan ongelmat ovat hallinnollisia. Suomessa kriittisen infrastruktuurin turvaamisen toimenpiteet ja toimivaltuudet ovat olleet hajallaan, eikä kokonaisvastuuta ole ollut kenelläkään. Myöskään SOTE-sektorin kyberturvallisuuden velvoitteiden sekavuus ei ole tukenut sektorin järjestelmällistä kyberturvallisuuden kehitystä tai ymmärrystä siitä, kuinka SOTE-organisaatioissa kyberturvallisuutta tulisi ylipäätään hallita.

Onkin aiheellista kysyä, kuka johtaa kyberturvallisuutta SOTE-organisaatioissa? Mikäli tietotaitoa kyberturvallisuuden ammattimaiseen johtamiseen ei löydy organisaation sisältä, sitä voidaan ostaa ulkopuolelta. Tällä hetkellä SOTE-organisaatioiden johtajat tarvitsevat enemmän kuin koskaan tuekseen kyberturvallisuuden ammattilaisia, sillä viime kädessä organisaation kyberturvallisuudesta on vastuussa organisaation johto.

 

Tero Haukilehto
Väitöskirjatutkija
Vaasan yliopisto
Tekniikan ja innovaatiojohtamisen yksikkö

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Verkkotoimitus

Verkkotoimitus - Väitöskuiskaaja