Kyberuhkiin varautuminen ontuu
Terveydenhuolto vasta opettelee kyberturvallisuutta.
Terveydenhuollon varautuminen kyberuhkiin vaihtelee. Monessa yksikössä kyberturvallisuuden perusasioissa on parantamisen varaa.
Terveydenhuollon henkilökunta osaa käyttää tietotekniikkaa kohtalaisen hyvin, mutta riskejä löytyy etenkin kuvantamiseen ja muihin sairaaloiden lääketieteellisiin laitteisiin liittyvissä järjestelmissä.
– Monessa organisaatiossa kyberturvallisuus ei ole ollut kovin fokuksessa. Sitä vasta opetellaan, kun taas yrityselämässä on jo vuosikymmeniä jouduttu painimaan erilaisten tietoteknisten uhkien kanssa, tietoturva-asiantuntija Perttu Halonen Viestintäviraston Kyberturvallisuuskeskuksesta sanoo.
Halosen mukaan ajattelutapa on muuttumassa. Terveydenhuollossa on ehkä uskottu, ettei ketään kiinnostaisi vahingoittaa yhteisen hyvän eteen toimivaa organisaatiota.
– Kyberrikollisuus on nykyään kansainvälistä. Vaikkei terveydenhuollossa liikkuisi paljon rahaa, sitä voidaan käyttää väliaskeleena.
Esimerkiksi Yhdysvalloissa terveydenhuollosta varastetaan paljon henkilötietoja, jotka ovat arvokasta kauppatavaraa pimeillä markkinoilla.
Kuvantaminen ja lääkepumput häiriintyvät herkästi
Kyberturvallisuuskeskus julkaisi alkuvuodesta sosiaali- ja terveyssektorin kyberturvallisuusasiantuntijoiden verkoston raportin terveydenhuollon kyberuhkista. Sairaaloihin painottuvan raportin on tarkoitus herättää keskustelua kyberturvallisuudesta ja valaista sen merkitystä.
Raportissa todetaan muun muassa, että monet suurimmista kyberuhkista liittyvät lääketieteellisiin laitteisiin, joiden hallinta ei yleensä kuulu tietohallinnolle vaan lääketieteellisen tekniikan yksiköille. Niissä ei aina löydy kykyä kyberturvallisuudesta huolehtimiseen.
Tietokoneavusteinen kuvantaminen, lääkepumput ja potilaiden elintoimintoja mittaavat laitteet ovat esimerkkejä automaatiojärjestelmistä, jotka on sairaaloissa usein toteutettu tietoturvattomasti. Muitakin ongelmia on.
– Automaatiojärjestelmät voivat olla herkkiä sille, että verkkoliitäntään tulee vääränlaista liikennettä, kuten roskapostia. Laite voi lakata toimimasta. Jos laite ei toimi oikein tai tieto muuttuu, seuraukset voivat olla ikäviä, Perttu Halonen sanoo.
Osaaminen on hajallaan
Kyberuhkien toteutumisen todennäköisyyttä on vaikea arvioida. Vieras ilmiö ne eivät ole.
Esimerkiksi syksyllä Pohjois-Karjalan sairaanhoitopiiri ja terveysasemat joutuivat palvelunestohyökkäyksen kohteeksi, ja tämä vaikutti muun muassa potilastietojärjestelmään.
Kybertuvallisuuskeskuksen raportin mukaan ongelma terveydenhuollossa on, että kyberturvallisuuteen liittyvä osaaminen on hajallaan eri yksiköissä. Organisaatioiden pitäisi esimerkiksi koota poikkihallinnollisia asiantuntijaryhmiä, jotka voivat viedä kyberturvallisuusasioita yksiköiden ja ylimmän johdon tietoon.
– Kyber pitää ottaa mukaan normaaliin riskinhallintaan riittävällä painolla, Perttu Halonen toteaa.
Mitä sinä voit tehdä tietoturvan hyväksi?
• Valitse hyvät salasanat.
• Käytä joka järjestelmässä eri salasanoja.
• Suojaa potilastiedot. Älä puhu niistä, tuhoa tulosteet ja varmista, ettei kukaan katso olkasi yli.
• Muista yleinen nettifiksuus. Epäile esimerkiksi konferenssikutsuja, joissa pyydetään henkilötietoja.
Kyber
viittaa sähköisessä muodossa olevan informaation käsittelyyn eli tietotekniikkaan, sähköiseen viestintään (tiedonsiirtoon), tietojärjestelmiin tai tietokonejärjestelmiin.
Lähde: Sanastokeskus TSK
