kyberturvallisuus terveydenhuollossa

Näkökulmia

Terveydenhuollon kyberturvallisuus on kaikkien etu

Erilaiset digitaaliset innovaatiot, lääketieteellisten laitteiden käyttö ja markkinoiden monimutkaisuus ovat lisänneet riskienhallinnan ja lainsäädännön tarvetta terveydenhuoltoalalla. Terveydenhuollon kyberturvallisuus onkin yksi suurimmista alan huolenaiheista. Ihmisten terveyteen ja hyvinvointiin liittyvää tietoa kertyy valtavat määrät monista eri lähteistä ja maailmalla terveydenhuollon organisaatioista on tullut houkutteleva kohde kyberrikollisille.

Terveydenhuollon kyberuhkat ovat monimuotoisia

Terveydenhuollossa tietojen saatavuus ja käytettävien lääketieteellisten laitteiden turvallisuus ovat potilasturvallisuuden ja laadukkaan hoidon kannalta välttämättömiä. Esimerkiksi leikkauksissa on äärimmäisen tärkeää, että hoitohenkilökunnalla on saatavilla potilaasta oikeat tiedot oikeaan aikaan. Lisäksi on tärkeää valvoa ja varmistaa käytettävien hoitolaitteiden tietoturvapäivitysten ajantasaisuus.

Samanaikaisesti tietojen luottamuksellisuutta täytyy suojata paitsi yksityisyyden suojan takaamiseksi, myös henkilötietojen väärinkäytön estämiseksi. Ihmisten terveydentilaa tai muun muassa etnistä alkuperää koskevat tiedot kuuluvat erityisiin henkilötietoryhmiin eli ne ovat ns. arkaluonteisia henkilötietoja. Niiden joutuminen vääriin käsiin voi aiheuttaa haittaa yksityisyydensuojalle ja taloudellisia riskejä tietovuodon kohteeksi joutuneelle henkilölle tai organisaatiolle. Myös vuoden 2018 toukokuussa sovellettavaksi tullut EU:n yleinen tietosuoja-asetus GDPR asettaa tulevaisuudessakin monenlaisia vaatimuksia ja rajoituksia tiedon suojaamiselle.

Suomessakin on viime aikoina keskusteltu sosiaali- ja terveystietojen toissijaisesta käytöstä, jolloin esimerkiksi lääkekehityksessä voitaisiin hyödyntää yksilöiden tietoja anonyymisti. Tietosuojasta on pidettävä tällaisessa käyttötarkoituksessa erityistä huolta. Terveydenhuoltoala ja sen laajat tietovarannot kiinnostavat myös rikollisia, jotka voivat hyötyä esimerkiksi potilastietojen myymisestä. Terveystiedot ovatkin kyberrikollisten käsissä erityisen arvokasta kauppatavaraa.

Kuinka terveydenhuoltoalan organisaatioiden kannattaa varautua kyberuhkiin?

Varautumista kannattaa tehdä niin viranomaisten tuella kansallisella tasolla kuin yksittäisissä organisaatioissa omia toimintamalleja arvioiden ja vahvistaen.

Viranomaiset pyrkivät vastaamaan kyberturvallisuuden haasteisiin harjoittelemalla ja varautumalla tunnistettuihin uhkiin sekä laatimalla säännöllisiä riskiarvioita. Vuosittain järjestetään esimerkiksi useampia harjoituksia, joissa testataan osanottajien kykyä tunnistaa ja reagoida kyberhyökkäyksiin. Näihin harjoituksiin osallistuu myös terveydenhuollon edustajia.

Suomessa julkaistiin vuonna 2018 Kansallinen riskiarvio, jossa kuvataan yhteiskunnan elintärkeisiin toimintoihin kansallisesti vaikuttavia uhkamalleja ja häiriötilanteita. Lähes kaikkiin näihin liittyy tavalla tai toisella kyberturvallisuus. Julkaisussa on useita uhkamalleja ja häiriötilanteita, joissa vaikutus kohdistuu suoraan tai välillisesti myös terveydenhuoltoon.

Yksittäisten terveydenhuoltoalan organisaatioiden on hoidettava kyberturvallisuuteen liittyviä kysymyksiä huolellisesti ja eettisesti. Lainsäädännön noudattaminen on tärkeää potilasturvallisuutta unohtamatta. Lisäksi organisaatioiden on tärkeä kasvattaa sisäistä tietoisuutta kyberturvallisuusasioissa – turvallisuuden jatkuva parantaminen ja riskeihin varautuminen on kaikkien kansalaisten etu.

Oliko tieto hyödyllistä?