Kyberturvalaki tulee oletko valmis?
Aikalailla vuosi sitten kävin ensimmäisessä NIS2- lainsäädäntöön liittyvässä koulutuksessa ja tämän jälkeen olen tutustunut syvemmin lainsäädännön vaatimuksiin ja kouluttanut aiheesta itse. Koulutuksissa on ollut aistittavissa odottava kanta, sillä EU:n kyberturvadirektiiviin (NIS2) pohjautuva kansallinen lainsäädäntö on ollut pitkään valmisteltavana. Nyt viimeinkin elämme hetkeä, jolloin hallitus on esittänyt uuden kyberturvalain vahvistamista ja vaatimukset alkavat realisoitumaan lainsäädännön piiriin kuuluville toimijoille.
Tämän lain piirissä ovat esimerkiksi keskikokoiset ja isot terveydenhuollon toimijat, lääkevalmistajat, sekä hyvinvointialueet. Kyberturvalain vaatimukset päivitetään julkisia palveluntuottajia koskevaan julkisen hallinnon tiedonhallinta lakiin. Jos nyt pohdit koskeeko laki juuri sinua, kannustan jatkamaan tämän blogin lukemista. Haluan nimittäin vakuuttaa sinut siitä, että lainvaatimuksiin sisältyvä riskienhallinnan toimintamalli, sekä osaamisen päivittäminen kyberturvallisuuden osalta kannattaa tehdä joka tapauksessa, koski laki teitä tai ei. Ja toisaalta jos toimit palveluntuottajana hyvinvointialueelle, on todennäköistä, että toimitusketjuturvallisuuden nimissä organisaatioltasi tullaan odottamaan varautimista myös kyberturvan saralla.
Mikä uhkaa kyberturvaa sosiaali- ja terveydenhuollossa?
Sote-alaan kohdistuvien kyberuhkien top5 lista on kokolailla seuraava:
1. Kiristyshaittaohjelmat
2. Tietomurrot ja näitä seuraavat tietovuodot
3. Palvelunestohyökkäykset
4. Sosiaalinen manipulointi
5. Hyökkäykset toimitusketjujen kautta
Varmasti suurin pelko niin sosiaali- kuin terveydenhuollon puolellakin ovat tietomurrot ja niiden seurauksena tapahtuvat tietovuodot. Väittäisin, että kukaan ei halua olla se toimija, jolta on päässyt karkaamaan asiakas- tai potilastietoja vääriin käsiin. Sosiaali- ja terveydenhuollon tietovuotoihin sisältyy aina paljon myös tunteita riippuen toki vuodetun tiedon luonteesta. Selvää kuitenkin on, että tietovuodot lisäävät luottamuspulaa ja mainehaittaa toimijaa kohtaan, jolta tietoja on päässyt vuotamaan. Nämä molemmat puolestaan vaikuttavat lopulta myös taloudellisiin tekijöihin, ovathan sote-alan tietovuodot myös klikkiotsikoiden suosikki aiheita. Eniten tämä näkökulma vaikuttaa sote-alan yksityisiä toimijoita, joiden osalta luottamuspula voi johtaa jopa siihen, että yrityksellä ei ole enää liiketoimintaedellytyksiä, mikäli asiakkaat kaikkoavat tietovuodon seurauksena.
Yksistään tietovuodot eivät ole haasteellisia, vaan käytännössä kaikki asiakas- ja potilastiedoille tapahtuvat häiriöt koetaan alalla hankaliksi. Ne vaikuttavat asiakkaiden saamaan hoitoon ja hoivaan ja hidastavat selvästi palveluiden tuottamista, mikä tuo omat haasteensa tiukasti henkilömitoitetulla alalla.
Lääkinnällisiin laitteisiin liittyviä huolenaiheita sivuttiinkin jo edellisessä kappaleessa, näiden osalta huolena ovat myös laitteissa havaitut haavoittuvuudet. Haavoittuvuuksien toteamisen taustalla on myös lääkinnällisiin laitteisiin liittyvä hidas byrokratia. Siinä yhteydessä, kun lääkinnällisen laitteen ohjelmistoon tehdään korjaavia toimia, tulee laitteen valmistajan varmistaa uudelleen virallisia teitä käyttäen, laitteen vaatimustenmukaisuus. Prosessin hitaus mahdollistaa havaittujen haavoittuvuuksien potentiaalisen hyväksikäytön paljon ennen kuin korjaava versio on saatavilla. (Sosiaali- ja terveysministeriö 2019, 20.).
Inhimillinen uhka on sosiaali- ja terveysalalla hyvin todennäköinen, onhan palveluiden tuottaminen pitkälti ihminen-ihmiselle periaatteella toteutettavaa, jossa aikapaine on alituisesti läsnä. Sosiaali- ja terveydenhuollon käytössä olevat ohjelmistot eivät välttämättä ole aina teknologian terävintä kärkeä, vaan joissakin niistä on vikoja korjatessa harjoitettu ”paikkaa, paikanpäälle”- toimintamallia. Hitaat ja kankeat järjestelmät puolestaan ajavat ammattihenkilöstöä turhautumiseen mikä taas johtaa turvattomiin ratkaisuihin. Tällöin henkilöstö saattaa tietämättään tai osittain tiedostaen esimerkiksi kiertää hitaaksi koettuja suojausmekanismeja. Näistä tyypillisin poikkeamatilanne on esimerkiksi se, että aikaa säästääkseen useampi henkilö käyttää tietojärjestelmiä yhden ja saman henkilön tunnuksilla tai oletussalasanoin tai laitteen aikalukittuminen estetään. Salasanojen kontrolleissa on siis paljon parantamisen varaa, kuten myös heikkojen salasanojen käytön yleisyydessä. Sote-ammattikortitkaan eivät ole tähän helpotusta tuoneet sillä kortteja saatetaan jättää esimerkiksi vartioimatta, vaikka ne ovat henkilökorttiin verrattavissa olevia kortteja ja käyvät missä tahansa muussakin sähköisessä instanssissa tunnistautumisvälineenä. (Lehto ym. 2019, 35.)
Kiristyshaittaohjelmat ovat alalla myös tunnettu uhka. Esimerkiksi vuonna 2017 laajalti levinnyt WannaCry kiristyshaittaohjelma sai laajaa huomiota sen jälkeen, kun se levisi yli neljäänkymmeneen National Health Servicen organisaatioon Isossa-Britanniassa. Saksassa puolestaan tehtiin tiettävästi ensimmäinen rikosilmoitus kiristyshaittaohjelman aiheuttamasta kuolemantapauksesta. Yliopistolliseen sairaalaan iskenyt kiristyshaittaohjelma esti kriittisessä hoidossa olleen potilaan hoidon ja häntä lähdettiin siirtämään 30 km päähän saamaan vastaavaa hoitoa. Kuljetus koitui kuitenkin potilaan kohtaloksi ja hän menehtyi. Yhdysvalloissa vuonna 2018 terveydenhuolto toimialana oli kohteena 88% kaikista kiristyshaittaohjelma tartunnoista. Tyypillisin väylä kiristyshaittaohjelmille ovat sähköpostien liitetiedostot tai roskapostit, jotka sisältävät linkkejä, jotka johtavat haittaohjelmia koneelle lataavalle sivustolle. Olipa kiristyshaittaohjelman tie mikä tahansa on taustalla kuitenkin aina inhimillinen tekijä, joka lopulta mahdollistaa haittaohjelma tartunnan. (Lehto ym. 2019, 38.)
Vaarallisin ja suurin riski on kuitenkin ajatus siitä, että kyberturvallisuus on asia, joka ei koske omaa toimintaa. Kyberturvallisuuteen liittyvät poikkeavat tilanteet ovat tätä päivää eikä niiltä ole yksikään toimija, eikä myöskään yksityishenkilö suojassa. Siksi ainoa keino on olla realisti ja varautua siihen, että jotakin tapahtuu, sillä jotakin tulee tapahtumaan, ennemmin tai myöhemmin. 100% toimiva kyberturva, tietoturva tai edes tietosuoja ei ole mahdollista, mutta tärkeintä on välttää pahimmat mokat. Näin varmistetaan ja turvataan asiakkaiden ja potilaiden yksityisyys parhaalla mahdollisella tavalla ja toimintaa pystytään jatkamaan häiriöistä huolimatta.
Lähteet:
Sosiaali- ja terveysministeriö 2019. Kyberturvallisuus – Ohje sosiaali- ja terveydenhuollon toimijoille. E-kirja. Saatavissa: Kyberturvallisuus Ohje sosiaali- ja terveydenhuollon toimijoille
Lehto, M., Pöyhönen, J. & Lehto, M. 2019. Kyberturvallisuus sosiaali- ja terveydenhuollossa. Loppuraportti vol. 2. Jyväskylän yliopisto. E-kirja. Saatavissa: http://urn.fi/URN:ISBN:978-951-39-7711-5