Terveydenhuollon kyberturvallisuuden heikoin lenkki ei usein ole ohjelmisto, vaan sen käyttäjät. Tällaiseen tulokseen päädyttiin tuoreessa Vaasan yliopistossa tarkastettavassa väitöskirjassa.
Väitöskirjan mukaan terveydenhuollon kyberturvallisuus pysyy haavoittuvana niin kauan, kun teknologiaa, ihmisiä ja organisaation prosesseja ei käsitellä yhtenä kokonaisuutena. Tietojärjestelmätieteen väitöskirjassaan Pius Ewoh korostaa, että terveydenhuollon suojaaminen vaatii muutakin kuin teknisiä puolustuskeinoja.
– Ihminen on usein kyberturvallisuusketjun heikoin lenkki. Henkilöstöltä saattaa puuttua koulutusta tai tietoisuutta riskeistä, he voivat langeta tietojenkalasteluun tai käyttää epävirallisia sovelluksia. Kun nämä arkipäivän toimet yhdistyvät vanhentuneisiin järjestelmiin tai epäselviin toimintatapoihin, riskit kasvavat nopeasti, Ewoh toteaa tiedotteessa.
Vaikka Suomen terveydenhuoltojärjestelmää voidaan pitää kyberturvallisuuden kannalta edistyneenä, haavoittuvuuksia löytyy yhä erityisesti niin sanotuista legacy-järjestelmistä ja kolmansien osapuolten sovelluksista. Vanhentuneet järjestelmät ovat alttiita tietomurroille, koska niihin ei enää ole saatavilla tarvittavia päivityksiä. Moni kolmannen osapuolen sovelluksista ei puolestaan täytä yleisen tietosuoja-asetuksen (GDPR), HIPAA-lain (Health Insurance Portability and Accountability Act) tai muiden turvallisuusstandardien vaatimuksia.
– Suomalaisten terveydenhuollon ja IT-alan ammattilaisten vastaukset osoittavat, että myös pitkälle kehitetty järjestelmä vaatii kolme asiaa pysyäkseen toimintakykyisenä: säännöllisiä auditointeja ja arviointeja, selkeämpiä käytäntöjä ja parempaa viestintää koko organisaation läpi, Ewoh sanoo.
Vastatakseen näihin haasteisiin Ewoh on kehittänyt terveydenhuollolle räätälöidyn sosioteknisen kyberturvallisuuden viitekehyksen. Malli yhdistää ihmisten toiminnan seurannan, organisatorisen oppimisen ja älykkäät incident response -kyvykkyydet haavoittuvuuksien tunnistamiseksi, ehkäisemiseksi ja kyberhyökkäyksiin reagoimiseksi.
Viitekehyksen ohella väitöskirja tarjoaa käytännön standardeja ja tarkistuslistoja, jotka auttavat organisaatioita arvioimaan omia käytäntöjään, rutiinejaan ja teknisiä järjestelmiään. Tarkistuslistat ohjeistavat sairaaloita muun muassa lääkinnällisten laitteiden turvallisessa suunnittelussa, suojatussa tiedonvaihdossa, anonymisoinnissa, monivaiheisessa tunnistautumisessa ja kolmannen osapuolen sovellusten hallinnassa.
– Selkeiden ohjeiden ja jäsennellyn arviointitavan avulla terveydenhuollon organisaatiot voivat vahvistaa järjestelmiään ja välttää tietomurtoja, jotka voisivat häiritä hoitoa tai vaarantaa arkaluonteisia terveystietoja, Ewoh kiteyttää.
