Väitös: Kyberturvallisuus terveydenhuollossa – hallittua vai ei?
Kyberturvallisuuden johtamisessa terveydenhuollossa on merkittäviä puutteita, todetaan Tero Haukilehdon tuoreessa, Vaasan yliopistoon tehdyssä väitöskirjassa.
Terveydenhuollon toimivuus on entistä riippuvaisempi sähköisistä ja verkottuneista palveluista. Alan nopea digitalisoituminen on tehostanut terveydenhuollon toimintaa, mahdollistanut uusia palvelumuotoja ja tuonut asioinnin myös kotisohville.
– Samalla digitalisaatio on tuonut kuitenkin uusia uhkakuvia, kuten kyberhyökkäykset, jotka pahimmillaan ovat lamauttaneet terveydenhuolto-organisaatioiden toimintaa, aiheuttaneet miljoonien eurojen vahinkoja sekä vaarantaneet potilasturvallisuuden, muistuttaa Vaasan yliopistossa 12. kesäkuuta väittelevä Tero Haukilehto.
Terveydenhuollossa käsitellään valtavia määriä arkaluonteisia asiakas- ja potilastietoja. Koko SOTE-sektorin tiedetäänkin kiinnostavan rikollisia. Esimerkiksi Irlannissa kyberhyökkäys vaikutti vakavasti koko julkisen terveydenhuollon toimivuuteen kuukausien ajan, saastutti kymmeniä tuhansia tietokoneita ja johti arkaluonteisten potilastietojen päätymiseen hyökkääjien käsiin. Arviot lopullisista kustannuksista nousivat jopa satoihin miljooniin euroihin. Suomessa psykoterapiakeskus Vastaamon tietomurrossa yli 33 000 asiakkaan henkilö- ja potilastiedot varastettiin ja niitä käytettiin sekä yrityksen että sen asiakkaiden kiristämiseen. Tapaus johti lopulta yrityksen konkurssiin sekä miljoonien eurojen takavarikointiin yrityksen omistajilta.
Uhreille aiheutuneiden kärsimysten hintaa on mahdotonta laskea. Julkisuuteen tulleiden tietojen mukaan osa Vastaamon tietomurron uhreista on päätynyt tapauksen vuoksi itsemurhaan.
– Suomessa saatetaan ajatella, että meillä nämä asiat ovat kunnossa, mutta kun katsotaan Pohjoismaissa pelkästään viimeisen vuoden sisällä ilmi tulleita tapahtumia, kuten Helsingin kaupungin tietomurto, ruotsalaiseen sairaalaan kohdistunut kiristyshaittaohjelmahyökkäys tai tietomurto virolaiseen geenitestiyhtiöön, täytyy meidän olla jatkuvasti hereillä tämän asian kanssa, sanoo Haukilehto.
Esimerkit kertovat, kuinka terveydenhuolto tarvitsee kyberturvallisuutta enemmän kuin koskaan. Toistaiseksi tutkimusta kyberturvallisuuden johtamisesta terveydenhuollossa on ollut kuitenkin vain vähän. Tähän haasteeseen tarttui Haukilehto, joka toimii päivätyökseen Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä. Hän tutki tietojärjestelmäntieteen väitöstutkimuksessaan suomalaisten terveydenhuolto-organisaatioiden kyberturvallisuuden hallintaa tietoturvapolitiikkojen, työntekijöiden kyberturvallisuustietoisuuden sekä raportoitujen poikkeamien avulla. Haukilehdon tutkimuksen mukaan jokaiselta osa-alueelta löytyi parannettavaa.
Terveydenhuolto-organisaatioiden tietoturvapolitiikat eivät huomio uhkaympäristöä
Tietoturvapolitiikat, jotka kuuluvat organisaatioiden tärkeimpiin asiakirjoihin tässä aiheessa, antavat kuvaa siitä, kuinka kyberturvallisuutta organisaatiossa hallitaan ja millaisilla resursseilla. Yksi silmiinpistävimmistä löydöksistä oli, ettei yksikään tutkituista politiikoista ottanut huomioon nykyistä tai tulevaa uhkaympäristöä.
– Jotta osattaisiin rakentaa tehokasta puolustusta, pitäisi olla kirkkaana mielessä mitä vastaan suojaudutaan, sanoo Haukilehto.
Turvallisuus on yhteistyötä, ja organisaatioiden tulisi osallistaa siihen jokainen työntekijä. Kuitenkin niin esihenkilöiden kuin muidenkin terveydenhuollon työntekijöiden kyberturvallisuustietoisuudessa näkyi koulutuksen puute ja se, ettei työntekijöitä ollut ohjeistettu siitä, mitä heidän tulisi tehdä poikkeamatilanteissa. Merkittävä osa tutkimukseen vastanneista ei ollut lukenut organisaationsa ohjeistuksia aiheesta, ja osa ei edes tiennyt mistä ohjeet löytyisivät.
– Koska turvallisuudesta vastaa viime kädessä organisaation johto, olisi tietoisuuden lisääminen syytä aloittaa ylimmästä johdosta, Haukilehto painottaa.
Raportit poikkeamista sekä niiden analysointi olivat usein puutteellisia. Ne johtivat vain harvoin toiminnan kehittämiseen. Erityisesti huomiota herättivät puutteet riskiperustaisessa lähestymistavassa.
– Mitä korkeampi arvioitu riski on, sitä enemmän sen pitäisi kiinnostaa johtoa. Riskienhallinta on turvallisuusjohtamisen ydintä, ja sen puutteellisuus kertoo johtamisen puutteesta, toteaa Haukilehto.
Uusi malli kyberturvallisuuden hallinnan kehittämiselle
Haukilehto loi väitöstutkimuksen pohjalta mallin kyberturvallisuuden hallinnan kehittämiselle terveydenhuollossa. Mallia voidaan hyödyntää niin terveydenhuollon kuin muidenkin alojen organisaatioissa sekä käyttää pohjana uudelle tutkimukselle. Tutkimus tuo esille, että etenkin terveydenhuoltoalalle tarvitaan lisää osaajia, jotka osaavat nimenomaan johtaa ja hallita organisaation kyberturvallisuutta.
Tässä yhteydessä Haukilehto jättäisi sanan kyber pois ja puhuisi mieluummin turvallisuusjohtamisesta. Hänen mukaansa on selvää, että nykymaailmassa turvallisuusjohtamista ei voida tehdä huomioimatta kybermaailmaa. Turvallisuusjohdon tulisi hallita niin kyberturvallisuus kuin muutkin turvallisuuden osa-alueet. Haukilehto arvioi, että isoissa organisaatioissa tulee jatkossa olemaan kova kysyntä turvallisuusjohtajille, jotka osaavat johtaa myös kyberturvallisuutta.
– Muutokset tapahtuvat usein joko johtajuuden tai kriisin kautta. Jos johtajuutta ei ole, kriisi viimeistään laittaa asioita liikkeelle. Toivottavasti meillä Suomessa panostettaisiin ennemmin johtajuuteen.
Väitöstilaisuus
Insinööri (YAMK) Tero Haukilehdon väitöstutkimus Cybersecurity management in healthcare. Policies, awareness and incident reporting tarkastetaan keskiviikkona 12.6.2024 klo 12 Vaasan yliopiston Nissi-auditoriossa.
Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana 145421)
Vastaväittäjinä tilaisuudessa toimivat professori Clemens Scott Kruse (Texas State University) ja professori Kimmo Halunen (Oulun yliopisto, Maanpuolustuskorkeakoulu) ja kustoksena professori Tero Vartiainen.
Väitöskirja
Haukilehto, Tero (2024) Cybersecurity management in healthcare. Policies, awareness and incident reporting. Acta Wasaensia 532. Väitöskirja. Vaasan yliopisto
Lisätiedot
Tero Haukilehto, puh. 050 4743538, sähköposti: d117531@student.uwasa.fi
Haukilehto on valmistunut datanomiksi Huittisten Ammatti- ja yrittäjäopistosta vuonna 2007 sekä kirjoittanut ylioppilaaksi Punkalaitumen lukiosta vuonna 2008. Hän valmistui tietotekniikan insinööriksi Seinäjoen ammattikorkeakoulusta vuonna 2013 ja suoritti insinöörin YAMK-tutkinnon Jyväskylän Ammattikorkeakoulussa vuonna 2019.
Haukilehto toimii nykyisin Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä.
Avainsanat
Yhteyshenkilöt
Riikka KalmiTiedeviestinnän asiantuntijaVaasan yliopisto / Viestintä, brändi ja markkinointi
Puh:0294498231riikka.kalmi@uwasa.fiKuvat
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Vaasan yliopisto
Virtuaalinen akkumalli avaa tietä sähköautosimulaatioille1.12.2025 09:42:55 EET | Tiedote
Sähköautojen mallintamiseen liittyvä laskennallinen monimutkaisuus on hidastanut tutkimustyötä sähköautojen liittämisestä paikallisiin energiamarkkinoihin. Seyed Mahoor Ebrahimin Vaasan yliopistoon tekemässä väitöskirjassa ratkaisuna esitellään virtaviivaistettu virtuaaliakkumalli ja kustannustehokas laturien jakamismenetelmä.
Tohtoriksi nopeammin, joustavammin ja vaikuttavammin25.11.2025 14:15:34 EET | Tiedote
Vaasan yliopiston yritysintegroitunut CoDoc-tohtorikoulutusmalli laajenee yhteistyössä Vaasan ja Seinäjoen ammattikorkeakoulujen kanssa. Strateginen tohtoripolku yhdistää yliopiston tutkimusvoiman ja ammattikorkeakoulujen työelämälähtöisyyden, tarjoten resurssiviisaan ratkaisun, joka vahvistaa Suomen kilpailukykyä kohti 6 % T&K-tavoitetta, nopeuttaa tohtorikoulutusta ja kehittää TKI-osaamista. Uutena elementtinä joustava PreDoc-väylä laajenee nyt myös ammattikorkeakouluopinnoista aina tohtoriksi asti. PreDoc ja CoDoc avaavat ovet huippututkimukseen, verkostoihin ja uramahdollisuuksiin jo opintojen alkuvaiheessa.
Stressi ja toksinen työkulttuuri voivat aiheuttaa sisäisiä kyberturvallisuusuhkia25.11.2025 12:09:57 EET | Tiedote
Useimmat organisaatiot ratkaisevat kyberturvallisuusongelmia teknologian ja valvonnan avulla, mutta Emmanuel Antin väitöskirjan mukaan empatia voi olla tehokkaampi puolustuskeino. Vaasan yliopistossa toteutetun tutkimuksen mukaan sisätoimijoiden poikkeavan käyttäytymisen takana olevien inhimillisten tekijöiden ymmärtäminen voi johtaa vahvempiin ja kestävämpiin kyberturvallisuuskäytäntöihin.
Stress and a toxic workplace culture can cause insider cybersecurity threats25.11.2025 12:09:57 EET | Press release
While most organisations address cybersecurity issues with technology and surveillance, Emmanuel Anti’s research argues that empathy may be a more effective defence. His doctoral dissertation at the University of Vaasa, Finland, explores insider deviance, and how understanding the human elements related to it can lead to stronger, more sustainable cybersecurity practices.
Vaasan yliopisto ja Hitachi Energy sopivat strategisesta koulutus- ja tutkimusyhteistyöstä24.11.2025 15:14:08 EET | Tiedote
Vaasan yliopisto ja Hitachi Energy Finland Oy ovat allekirjoittaneet maanantaina 24. marraskuuta laajan strategisen sopimuksen, joka vahvistaa yhteistyötä tutkimuksessa ja koulutuksessa. Tavoitteena on edistää monipuolista kumppanuutta, joka tukee kestävää hyvinvointia, kansainvälistä kilpailukykyä ja alueellista elinvoimaa.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme