Väitös: Kyberturvallisuus terveydenhuollossa – hallittua vai ei?
Kyberturvallisuuden johtamisessa terveydenhuollossa on merkittäviä puutteita, todetaan Tero Haukilehdon tuoreessa, Vaasan yliopistoon tehdyssä väitöskirjassa.
Terveydenhuollon toimivuus on entistä riippuvaisempi sähköisistä ja verkottuneista palveluista. Alan nopea digitalisoituminen on tehostanut terveydenhuollon toimintaa, mahdollistanut uusia palvelumuotoja ja tuonut asioinnin myös kotisohville.
– Samalla digitalisaatio on tuonut kuitenkin uusia uhkakuvia, kuten kyberhyökkäykset, jotka pahimmillaan ovat lamauttaneet terveydenhuolto-organisaatioiden toimintaa, aiheuttaneet miljoonien eurojen vahinkoja sekä vaarantaneet potilasturvallisuuden, muistuttaa Vaasan yliopistossa 12. kesäkuuta väittelevä Tero Haukilehto.
Terveydenhuollossa käsitellään valtavia määriä arkaluonteisia asiakas- ja potilastietoja. Koko SOTE-sektorin tiedetäänkin kiinnostavan rikollisia. Esimerkiksi Irlannissa kyberhyökkäys vaikutti vakavasti koko julkisen terveydenhuollon toimivuuteen kuukausien ajan, saastutti kymmeniä tuhansia tietokoneita ja johti arkaluonteisten potilastietojen päätymiseen hyökkääjien käsiin. Arviot lopullisista kustannuksista nousivat jopa satoihin miljooniin euroihin. Suomessa psykoterapiakeskus Vastaamon tietomurrossa yli 33 000 asiakkaan henkilö- ja potilastiedot varastettiin ja niitä käytettiin sekä yrityksen että sen asiakkaiden kiristämiseen. Tapaus johti lopulta yrityksen konkurssiin sekä miljoonien eurojen takavarikointiin yrityksen omistajilta.
Uhreille aiheutuneiden kärsimysten hintaa on mahdotonta laskea. Julkisuuteen tulleiden tietojen mukaan osa Vastaamon tietomurron uhreista on päätynyt tapauksen vuoksi itsemurhaan.
– Suomessa saatetaan ajatella, että meillä nämä asiat ovat kunnossa, mutta kun katsotaan Pohjoismaissa pelkästään viimeisen vuoden sisällä ilmi tulleita tapahtumia, kuten Helsingin kaupungin tietomurto, ruotsalaiseen sairaalaan kohdistunut kiristyshaittaohjelmahyökkäys tai tietomurto virolaiseen geenitestiyhtiöön, täytyy meidän olla jatkuvasti hereillä tämän asian kanssa, sanoo Haukilehto.
Esimerkit kertovat, kuinka terveydenhuolto tarvitsee kyberturvallisuutta enemmän kuin koskaan. Toistaiseksi tutkimusta kyberturvallisuuden johtamisesta terveydenhuollossa on ollut kuitenkin vain vähän. Tähän haasteeseen tarttui Haukilehto, joka toimii päivätyökseen Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä. Hän tutki tietojärjestelmäntieteen väitöstutkimuksessaan suomalaisten terveydenhuolto-organisaatioiden kyberturvallisuuden hallintaa tietoturvapolitiikkojen, työntekijöiden kyberturvallisuustietoisuuden sekä raportoitujen poikkeamien avulla. Haukilehdon tutkimuksen mukaan jokaiselta osa-alueelta löytyi parannettavaa.
Terveydenhuolto-organisaatioiden tietoturvapolitiikat eivät huomio uhkaympäristöä
Tietoturvapolitiikat, jotka kuuluvat organisaatioiden tärkeimpiin asiakirjoihin tässä aiheessa, antavat kuvaa siitä, kuinka kyberturvallisuutta organisaatiossa hallitaan ja millaisilla resursseilla. Yksi silmiinpistävimmistä löydöksistä oli, ettei yksikään tutkituista politiikoista ottanut huomioon nykyistä tai tulevaa uhkaympäristöä.
– Jotta osattaisiin rakentaa tehokasta puolustusta, pitäisi olla kirkkaana mielessä mitä vastaan suojaudutaan, sanoo Haukilehto.
Turvallisuus on yhteistyötä, ja organisaatioiden tulisi osallistaa siihen jokainen työntekijä. Kuitenkin niin esihenkilöiden kuin muidenkin terveydenhuollon työntekijöiden kyberturvallisuustietoisuudessa näkyi koulutuksen puute ja se, ettei työntekijöitä ollut ohjeistettu siitä, mitä heidän tulisi tehdä poikkeamatilanteissa. Merkittävä osa tutkimukseen vastanneista ei ollut lukenut organisaationsa ohjeistuksia aiheesta, ja osa ei edes tiennyt mistä ohjeet löytyisivät.
– Koska turvallisuudesta vastaa viime kädessä organisaation johto, olisi tietoisuuden lisääminen syytä aloittaa ylimmästä johdosta, Haukilehto painottaa.
Raportit poikkeamista sekä niiden analysointi olivat usein puutteellisia. Ne johtivat vain harvoin toiminnan kehittämiseen. Erityisesti huomiota herättivät puutteet riskiperustaisessa lähestymistavassa.
– Mitä korkeampi arvioitu riski on, sitä enemmän sen pitäisi kiinnostaa johtoa. Riskienhallinta on turvallisuusjohtamisen ydintä, ja sen puutteellisuus kertoo johtamisen puutteesta, toteaa Haukilehto.
Uusi malli kyberturvallisuuden hallinnan kehittämiselle
Haukilehto loi väitöstutkimuksen pohjalta mallin kyberturvallisuuden hallinnan kehittämiselle terveydenhuollossa. Mallia voidaan hyödyntää niin terveydenhuollon kuin muidenkin alojen organisaatioissa sekä käyttää pohjana uudelle tutkimukselle. Tutkimus tuo esille, että etenkin terveydenhuoltoalalle tarvitaan lisää osaajia, jotka osaavat nimenomaan johtaa ja hallita organisaation kyberturvallisuutta.
Tässä yhteydessä Haukilehto jättäisi sanan kyber pois ja puhuisi mieluummin turvallisuusjohtamisesta. Hänen mukaansa on selvää, että nykymaailmassa turvallisuusjohtamista ei voida tehdä huomioimatta kybermaailmaa. Turvallisuusjohdon tulisi hallita niin kyberturvallisuus kuin muutkin turvallisuuden osa-alueet. Haukilehto arvioi, että isoissa organisaatioissa tulee jatkossa olemaan kova kysyntä turvallisuusjohtajille, jotka osaavat johtaa myös kyberturvallisuutta.
– Muutokset tapahtuvat usein joko johtajuuden tai kriisin kautta. Jos johtajuutta ei ole, kriisi viimeistään laittaa asioita liikkeelle. Toivottavasti meillä Suomessa panostettaisiin ennemmin johtajuuteen.
Väitöstilaisuus
Insinööri (YAMK) Tero Haukilehdon väitöstutkimus Cybersecurity management in healthcare. Policies, awareness and incident reporting tarkastetaan keskiviikkona 12.6.2024 klo 12 Vaasan yliopiston Nissi-auditoriossa.
Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana 145421)
Vastaväittäjinä tilaisuudessa toimivat professori Clemens Scott Kruse (Texas State University) ja professori Kimmo Halunen (Oulun yliopisto, Maanpuolustuskorkeakoulu) ja kustoksena professori Tero Vartiainen.
Väitöskirja
Haukilehto, Tero (2024) Cybersecurity management in healthcare. Policies, awareness and incident reporting. Acta Wasaensia 532. Väitöskirja. Vaasan yliopisto
Lisätiedot
Tero Haukilehto, puh. 050 4743538, sähköposti: d117531@student.uwasa.fi
Haukilehto on valmistunut datanomiksi Huittisten Ammatti- ja yrittäjäopistosta vuonna 2007 sekä kirjoittanut ylioppilaaksi Punkalaitumen lukiosta vuonna 2008. Hän valmistui tietotekniikan insinööriksi Seinäjoen ammattikorkeakoulusta vuonna 2013 ja suoritti insinöörin YAMK-tutkinnon Jyväskylän Ammattikorkeakoulussa vuonna 2019.
Haukilehto toimii nykyisin Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä.
Avainsanat
Yhteyshenkilöt
Riikka KalmiTiedeviestinnän asiantuntijaVaasan yliopisto / Viestintä, brändi ja markkinointi
Puh:0294498231riikka.kalmi@uwasa.fiKuvat
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Vaasan yliopisto
Vaasan yliopiston uusi työelämäprofessori Pekka Tiitinen tuo kokemusta globaalista teollisuudesta kestävän energiasiirtymän tueksi14.10.2025 10:37:12 EEST | Tiedote
Diplomi-insinööri Pekka Tiitinen on kutsuttu Vaasan yliopiston työelämäprofessoriksi tehtäväalueenaan kestävä energiasiirtymä.
Onnellisuus ei löydy pikamuodista – kulutuksen vähentäminen parantaa kehonkuvaa ja hyvinvointia13.10.2025 14:12:33 EEST | Tiedote
Vaasan yliopistossa tarkastettavan väitöstutkimuksen mukaan vetoaminen omaan hyvinvointiin on ympäristöhuolta tehokkaampi keino vähentää vaatteiden kulutusta. Essi Vesterisen markkinoinnin tutkimus paljastaa, että vaatteiden käyttöiän pidentäminen on yhteydessä parempaan subjektiiviseen hyvinvointiin ja positiivisempaan kehonkuvaan.
Vaasan yliopisto piti asemansa maailman 500 huippuyliopiston joukossa – Vahva tulos tutkimuksen laadussa ja kansainvälisyydessä9.10.2025 13:51:27 EEST | Tiedote
Vaasan yliopisto sijoittui kansainvälisessä Times Higher Education (THE) World University Rankings 2026 -vertailussa jälleen maailman 500 parhaan yliopiston joukkoon. Yliopisto sijoittui välille 401-500, kun vertailussa arvioitiin 2191 yliopistoa. Arvioitujen yliopistojen määrä kasvoi lähes sadalla vuoden takaisesta.
Vaasan yliopiston ja Vaasan ammattikorkeakoulun muodostamalle konsernille nimitettiin neuvottelukunta7.10.2025 09:14:59 EEST | Tiedote
Vaasan yliopiston ja Vaasan ammattikorkeakoulun muodostama korkeakoulukonserni perustettiin 26.6.2025. Nyt konsernille on nimitetty neuvottelukunta, jossa on edustajia yliopistosta, ammattikorkeakoulusta, Vaasan kaupungilta, Pohjanmaan kauppakamarilta sekä molempien korkeakoulujen opiskelijoista. Neuvottelukunnan puheenjohtajana toimii kansanedustaja Matias Mäkynen.
Saavutettava verkkopankki on hyvää palvelua – asiakaskokemuksella on todellista merkitystä6.10.2025 12:42:31 EEST | Tiedote
Vaasan yliopiston tuore väitöstutkimus paljastaa, että vaikka pankkien verkkopalvelut täyttävät tekniset vaatimukset, ne ovat monille käyttäjille vaikeaselkoisia ja aiheuttavat turhautumisen, pelon ja epävarmuuden tunteita. Annikki Hyppösen tutkimuksen mukaan jopa yli miljoona suomalaista tarvitsee saavutettavampia palveluja. Kyse ei ole enää vain digitaalisesta syrjäytymisestä, vaan myös kasvavasta tietoturvauhasta.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme