Väitös: Kyberturvallisuus terveydenhuollossa – hallittua vai ei?
6.6.2024 09:43:08 EEST | Vaasan yliopisto | Tiedote
Kyberturvallisuuden johtamisessa terveydenhuollossa on merkittäviä puutteita, todetaan Tero Haukilehdon tuoreessa, Vaasan yliopistoon tehdyssä väitöskirjassa.
Terveydenhuollon toimivuus on entistä riippuvaisempi sähköisistä ja verkottuneista palveluista. Alan nopea digitalisoituminen on tehostanut terveydenhuollon toimintaa, mahdollistanut uusia palvelumuotoja ja tuonut asioinnin myös kotisohville.
– Samalla digitalisaatio on tuonut kuitenkin uusia uhkakuvia, kuten kyberhyökkäykset, jotka pahimmillaan ovat lamauttaneet terveydenhuolto-organisaatioiden toimintaa, aiheuttaneet miljoonien eurojen vahinkoja sekä vaarantaneet potilasturvallisuuden, muistuttaa Vaasan yliopistossa 12. kesäkuuta väittelevä Tero Haukilehto.
Terveydenhuollossa käsitellään valtavia määriä arkaluonteisia asiakas- ja potilastietoja. Koko SOTE-sektorin tiedetäänkin kiinnostavan rikollisia. Esimerkiksi Irlannissa kyberhyökkäys vaikutti vakavasti koko julkisen terveydenhuollon toimivuuteen kuukausien ajan, saastutti kymmeniä tuhansia tietokoneita ja johti arkaluonteisten potilastietojen päätymiseen hyökkääjien käsiin. Arviot lopullisista kustannuksista nousivat jopa satoihin miljooniin euroihin. Suomessa psykoterapiakeskus Vastaamon tietomurrossa yli 33 000 asiakkaan henkilö- ja potilastiedot varastettiin ja niitä käytettiin sekä yrityksen että sen asiakkaiden kiristämiseen. Tapaus johti lopulta yrityksen konkurssiin sekä miljoonien eurojen takavarikointiin yrityksen omistajilta.
Uhreille aiheutuneiden kärsimysten hintaa on mahdotonta laskea. Julkisuuteen tulleiden tietojen mukaan osa Vastaamon tietomurron uhreista on päätynyt tapauksen vuoksi itsemurhaan.
– Suomessa saatetaan ajatella, että meillä nämä asiat ovat kunnossa, mutta kun katsotaan Pohjoismaissa pelkästään viimeisen vuoden sisällä ilmi tulleita tapahtumia, kuten Helsingin kaupungin tietomurto, ruotsalaiseen sairaalaan kohdistunut kiristyshaittaohjelmahyökkäys tai tietomurto virolaiseen geenitestiyhtiöön, täytyy meidän olla jatkuvasti hereillä tämän asian kanssa, sanoo Haukilehto.
Esimerkit kertovat, kuinka terveydenhuolto tarvitsee kyberturvallisuutta enemmän kuin koskaan. Toistaiseksi tutkimusta kyberturvallisuuden johtamisesta terveydenhuollossa on ollut kuitenkin vain vähän. Tähän haasteeseen tarttui Haukilehto, joka toimii päivätyökseen Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä. Hän tutki tietojärjestelmäntieteen väitöstutkimuksessaan suomalaisten terveydenhuolto-organisaatioiden kyberturvallisuuden hallintaa tietoturvapolitiikkojen, työntekijöiden kyberturvallisuustietoisuuden sekä raportoitujen poikkeamien avulla. Haukilehdon tutkimuksen mukaan jokaiselta osa-alueelta löytyi parannettavaa.
Terveydenhuolto-organisaatioiden tietoturvapolitiikat eivät huomio uhkaympäristöä
Tietoturvapolitiikat, jotka kuuluvat organisaatioiden tärkeimpiin asiakirjoihin tässä aiheessa, antavat kuvaa siitä, kuinka kyberturvallisuutta organisaatiossa hallitaan ja millaisilla resursseilla. Yksi silmiinpistävimmistä löydöksistä oli, ettei yksikään tutkituista politiikoista ottanut huomioon nykyistä tai tulevaa uhkaympäristöä.
– Jotta osattaisiin rakentaa tehokasta puolustusta, pitäisi olla kirkkaana mielessä mitä vastaan suojaudutaan, sanoo Haukilehto.
Turvallisuus on yhteistyötä, ja organisaatioiden tulisi osallistaa siihen jokainen työntekijä. Kuitenkin niin esihenkilöiden kuin muidenkin terveydenhuollon työntekijöiden kyberturvallisuustietoisuudessa näkyi koulutuksen puute ja se, ettei työntekijöitä ollut ohjeistettu siitä, mitä heidän tulisi tehdä poikkeamatilanteissa. Merkittävä osa tutkimukseen vastanneista ei ollut lukenut organisaationsa ohjeistuksia aiheesta, ja osa ei edes tiennyt mistä ohjeet löytyisivät.
– Koska turvallisuudesta vastaa viime kädessä organisaation johto, olisi tietoisuuden lisääminen syytä aloittaa ylimmästä johdosta, Haukilehto painottaa.
Raportit poikkeamista sekä niiden analysointi olivat usein puutteellisia. Ne johtivat vain harvoin toiminnan kehittämiseen. Erityisesti huomiota herättivät puutteet riskiperustaisessa lähestymistavassa.
– Mitä korkeampi arvioitu riski on, sitä enemmän sen pitäisi kiinnostaa johtoa. Riskienhallinta on turvallisuusjohtamisen ydintä, ja sen puutteellisuus kertoo johtamisen puutteesta, toteaa Haukilehto.
Uusi malli kyberturvallisuuden hallinnan kehittämiselle
Haukilehto loi väitöstutkimuksen pohjalta mallin kyberturvallisuuden hallinnan kehittämiselle terveydenhuollossa. Mallia voidaan hyödyntää niin terveydenhuollon kuin muidenkin alojen organisaatioissa sekä käyttää pohjana uudelle tutkimukselle. Tutkimus tuo esille, että etenkin terveydenhuoltoalalle tarvitaan lisää osaajia, jotka osaavat nimenomaan johtaa ja hallita organisaation kyberturvallisuutta.
Tässä yhteydessä Haukilehto jättäisi sanan kyber pois ja puhuisi mieluummin turvallisuusjohtamisesta. Hänen mukaansa on selvää, että nykymaailmassa turvallisuusjohtamista ei voida tehdä huomioimatta kybermaailmaa. Turvallisuusjohdon tulisi hallita niin kyberturvallisuus kuin muutkin turvallisuuden osa-alueet. Haukilehto arvioi, että isoissa organisaatioissa tulee jatkossa olemaan kova kysyntä turvallisuusjohtajille, jotka osaavat johtaa myös kyberturvallisuutta.
– Muutokset tapahtuvat usein joko johtajuuden tai kriisin kautta. Jos johtajuutta ei ole, kriisi viimeistään laittaa asioita liikkeelle. Toivottavasti meillä Suomessa panostettaisiin ennemmin johtajuuteen.
Väitöstilaisuus
Insinööri (YAMK) Tero Haukilehdon väitöstutkimus Cybersecurity management in healthcare. Policies, awareness and incident reporting tarkastetaan keskiviikkona 12.6.2024 klo 12 Vaasan yliopiston Nissi-auditoriossa.
Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana 145421)
Vastaväittäjinä tilaisuudessa toimivat professori Clemens Scott Kruse (Texas State University) ja professori Kimmo Halunen (Oulun yliopisto, Maanpuolustuskorkeakoulu) ja kustoksena professori Tero Vartiainen.
Väitöskirja
Haukilehto, Tero (2024) Cybersecurity management in healthcare. Policies, awareness and incident reporting. Acta Wasaensia 532. Väitöskirja. Vaasan yliopisto
Lisätiedot
Tero Haukilehto, puh. 050 4743538, sähköposti: d117531@student.uwasa.fi
Haukilehto on valmistunut datanomiksi Huittisten Ammatti- ja yrittäjäopistosta vuonna 2007 sekä kirjoittanut ylioppilaaksi Punkalaitumen lukiosta vuonna 2008. Hän valmistui tietotekniikan insinööriksi Seinäjoen ammattikorkeakoulusta vuonna 2013 ja suoritti insinöörin YAMK-tutkinnon Jyväskylän Ammattikorkeakoulussa vuonna 2019.
Haukilehto toimii nykyisin Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä.
Avainsanat
Yhteyshenkilöt
Riikka KalmiTiedeviestinnän asiantuntijaVaasan yliopisto / Viestintä, brändi ja markkinointi
Puh:0294498231riikka.kalmi@uwasa.fiKuvat
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Vaasan yliopisto
Energia-alan myyntisektori eskaloituvien kyberuhkien kohteena – suojakeinoja vahvistettava2.6.2026 12:11:44 EEST | Tiedote
Vaasan yliopistossa tarkastettava Mikko Suorsan väitöstutkimus osoittaa, että energia-alan myyntisektori on keskeinen, mutta haavoittuva osa energiateollisuuden arvoketjua ja yhteiskunnan kriittistä infrastruktuuria. Sektori on jäänyt kyberturvallisuuden katvealueeksi, ja tutkimus esittelee konkreettisia keinoja sen resilienssin vahvistamiseen. Kyseessä on yksi ensimmäisistä tutkimuksista, joka keskittyy nimenomaisesti energia-alan myyntiorganisaatioihin.
Energy retail sector faces escalating cyber threats – stronger security measures required2.6.2026 12:11:44 EEST | Press release
A doctoral dissertation by Mikko Suorsa, to be defended at the University of Vaasa, reveals that the energy retail sector is an essential yet vulnerable part of the energy industry’s value chain and of critical infrastructure. Having received comparatively little attention in cybersecurity efforts, the sector requires strengthened resilience, and the study introduces concrete methods to achieve this. It is one of the first studies to focus specifically on energy retail organisations.
Pienten elintarvikeyritysten aktiivisuus suhdemarkkinoinnissa antaa niille neuvotteluvoimaa1.6.2026 12:40:49 EEST | Tiedote
Pienten elintarvikealan yritysten ja isojen asiakkaiden välisiä liikesuhteita leimaa usein vallan epätasapaino. Leena Viitaharjun Vaasan yliopistolle tekemä tuore väitöstutkimus osoittaa kuitenkin, että pienyritykset voivat parantaa asemaansa rakentamalla luottamusta suunnitelmallisesti ja hoitamalla liikesuhdetta aktiivisesti.
Vaasan yliopistolle kansainvälisesti erittäin arvostettu EQUIS-akkreditointi27.5.2026 12:02:59 EEST | Tiedote
Vaasan yliopistolle on myönnetty kansainvälisesti arvostettu EFMD Quality Improvement System (EQUIS) -laatuakkreditointi toukokuusta 2026 alkaen.
Tekoäly ei viekään työtäsi, vaan muuttaa sen – mutta vain, jos luotat siihen20.5.2026 13:24:05 EEST | Tiedote
Generatiivisen tekoälyn nousu on herättänyt laajaa huolta työpaikkojen säilymisestä ja ihmistyön tulevaisuudesta. Vaasan yliopistossa tarkastettava Zhe Zhun väitöstutkimus kuitenkin osoittaa, että kun työntekijät luottavat järjestelmään ja näkevät sen hyödyllisenä kumppanina uhan sijaan, tekoäly voi lisätä työhön sitoutumista ja auttaa rakentamaan kestävämpiä työuria.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme