Väitös: Kyberturvallisuus terveydenhuollossa – hallittua vai ei?
Kyberturvallisuuden johtamisessa terveydenhuollossa on merkittäviä puutteita, todetaan Tero Haukilehdon tuoreessa, Vaasan yliopistoon tehdyssä väitöskirjassa.
Terveydenhuollon toimivuus on entistä riippuvaisempi sähköisistä ja verkottuneista palveluista. Alan nopea digitalisoituminen on tehostanut terveydenhuollon toimintaa, mahdollistanut uusia palvelumuotoja ja tuonut asioinnin myös kotisohville.
– Samalla digitalisaatio on tuonut kuitenkin uusia uhkakuvia, kuten kyberhyökkäykset, jotka pahimmillaan ovat lamauttaneet terveydenhuolto-organisaatioiden toimintaa, aiheuttaneet miljoonien eurojen vahinkoja sekä vaarantaneet potilasturvallisuuden, muistuttaa Vaasan yliopistossa 12. kesäkuuta väittelevä Tero Haukilehto.
Terveydenhuollossa käsitellään valtavia määriä arkaluonteisia asiakas- ja potilastietoja. Koko SOTE-sektorin tiedetäänkin kiinnostavan rikollisia. Esimerkiksi Irlannissa kyberhyökkäys vaikutti vakavasti koko julkisen terveydenhuollon toimivuuteen kuukausien ajan, saastutti kymmeniä tuhansia tietokoneita ja johti arkaluonteisten potilastietojen päätymiseen hyökkääjien käsiin. Arviot lopullisista kustannuksista nousivat jopa satoihin miljooniin euroihin. Suomessa psykoterapiakeskus Vastaamon tietomurrossa yli 33 000 asiakkaan henkilö- ja potilastiedot varastettiin ja niitä käytettiin sekä yrityksen että sen asiakkaiden kiristämiseen. Tapaus johti lopulta yrityksen konkurssiin sekä miljoonien eurojen takavarikointiin yrityksen omistajilta.
Uhreille aiheutuneiden kärsimysten hintaa on mahdotonta laskea. Julkisuuteen tulleiden tietojen mukaan osa Vastaamon tietomurron uhreista on päätynyt tapauksen vuoksi itsemurhaan.
– Suomessa saatetaan ajatella, että meillä nämä asiat ovat kunnossa, mutta kun katsotaan Pohjoismaissa pelkästään viimeisen vuoden sisällä ilmi tulleita tapahtumia, kuten Helsingin kaupungin tietomurto, ruotsalaiseen sairaalaan kohdistunut kiristyshaittaohjelmahyökkäys tai tietomurto virolaiseen geenitestiyhtiöön, täytyy meidän olla jatkuvasti hereillä tämän asian kanssa, sanoo Haukilehto.
Esimerkit kertovat, kuinka terveydenhuolto tarvitsee kyberturvallisuutta enemmän kuin koskaan. Toistaiseksi tutkimusta kyberturvallisuuden johtamisesta terveydenhuollossa on ollut kuitenkin vain vähän. Tähän haasteeseen tarttui Haukilehto, joka toimii päivätyökseen Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä. Hän tutki tietojärjestelmäntieteen väitöstutkimuksessaan suomalaisten terveydenhuolto-organisaatioiden kyberturvallisuuden hallintaa tietoturvapolitiikkojen, työntekijöiden kyberturvallisuustietoisuuden sekä raportoitujen poikkeamien avulla. Haukilehdon tutkimuksen mukaan jokaiselta osa-alueelta löytyi parannettavaa.
Terveydenhuolto-organisaatioiden tietoturvapolitiikat eivät huomio uhkaympäristöä
Tietoturvapolitiikat, jotka kuuluvat organisaatioiden tärkeimpiin asiakirjoihin tässä aiheessa, antavat kuvaa siitä, kuinka kyberturvallisuutta organisaatiossa hallitaan ja millaisilla resursseilla. Yksi silmiinpistävimmistä löydöksistä oli, ettei yksikään tutkituista politiikoista ottanut huomioon nykyistä tai tulevaa uhkaympäristöä.
– Jotta osattaisiin rakentaa tehokasta puolustusta, pitäisi olla kirkkaana mielessä mitä vastaan suojaudutaan, sanoo Haukilehto.
Turvallisuus on yhteistyötä, ja organisaatioiden tulisi osallistaa siihen jokainen työntekijä. Kuitenkin niin esihenkilöiden kuin muidenkin terveydenhuollon työntekijöiden kyberturvallisuustietoisuudessa näkyi koulutuksen puute ja se, ettei työntekijöitä ollut ohjeistettu siitä, mitä heidän tulisi tehdä poikkeamatilanteissa. Merkittävä osa tutkimukseen vastanneista ei ollut lukenut organisaationsa ohjeistuksia aiheesta, ja osa ei edes tiennyt mistä ohjeet löytyisivät.
– Koska turvallisuudesta vastaa viime kädessä organisaation johto, olisi tietoisuuden lisääminen syytä aloittaa ylimmästä johdosta, Haukilehto painottaa.
Raportit poikkeamista sekä niiden analysointi olivat usein puutteellisia. Ne johtivat vain harvoin toiminnan kehittämiseen. Erityisesti huomiota herättivät puutteet riskiperustaisessa lähestymistavassa.
– Mitä korkeampi arvioitu riski on, sitä enemmän sen pitäisi kiinnostaa johtoa. Riskienhallinta on turvallisuusjohtamisen ydintä, ja sen puutteellisuus kertoo johtamisen puutteesta, toteaa Haukilehto.
Uusi malli kyberturvallisuuden hallinnan kehittämiselle
Haukilehto loi väitöstutkimuksen pohjalta mallin kyberturvallisuuden hallinnan kehittämiselle terveydenhuollossa. Mallia voidaan hyödyntää niin terveydenhuollon kuin muidenkin alojen organisaatioissa sekä käyttää pohjana uudelle tutkimukselle. Tutkimus tuo esille, että etenkin terveydenhuoltoalalle tarvitaan lisää osaajia, jotka osaavat nimenomaan johtaa ja hallita organisaation kyberturvallisuutta.
Tässä yhteydessä Haukilehto jättäisi sanan kyber pois ja puhuisi mieluummin turvallisuusjohtamisesta. Hänen mukaansa on selvää, että nykymaailmassa turvallisuusjohtamista ei voida tehdä huomioimatta kybermaailmaa. Turvallisuusjohdon tulisi hallita niin kyberturvallisuus kuin muutkin turvallisuuden osa-alueet. Haukilehto arvioi, että isoissa organisaatioissa tulee jatkossa olemaan kova kysyntä turvallisuusjohtajille, jotka osaavat johtaa myös kyberturvallisuutta.
– Muutokset tapahtuvat usein joko johtajuuden tai kriisin kautta. Jos johtajuutta ei ole, kriisi viimeistään laittaa asioita liikkeelle. Toivottavasti meillä Suomessa panostettaisiin ennemmin johtajuuteen.
Väitöstilaisuus
Insinööri (YAMK) Tero Haukilehdon väitöstutkimus Cybersecurity management in healthcare. Policies, awareness and incident reporting tarkastetaan keskiviikkona 12.6.2024 klo 12 Vaasan yliopiston Nissi-auditoriossa.
Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana 145421)
Vastaväittäjinä tilaisuudessa toimivat professori Clemens Scott Kruse (Texas State University) ja professori Kimmo Halunen (Oulun yliopisto, Maanpuolustuskorkeakoulu) ja kustoksena professori Tero Vartiainen.
Väitöskirja
Haukilehto, Tero (2024) Cybersecurity management in healthcare. Policies, awareness and incident reporting. Acta Wasaensia 532. Väitöskirja. Vaasan yliopisto
Lisätiedot
Tero Haukilehto, puh. 050 4743538, sähköposti: d117531@student.uwasa.fi
Haukilehto on valmistunut datanomiksi Huittisten Ammatti- ja yrittäjäopistosta vuonna 2007 sekä kirjoittanut ylioppilaaksi Punkalaitumen lukiosta vuonna 2008. Hän valmistui tietotekniikan insinööriksi Seinäjoen ammattikorkeakoulusta vuonna 2013 ja suoritti insinöörin YAMK-tutkinnon Jyväskylän Ammattikorkeakoulussa vuonna 2019.
Haukilehto toimii nykyisin Etelä-Pohjanmaan hyvinvointialueen tietoturvapäällikkönä.
Avainsanat
Yhteyshenkilöt
Riikka KalmiTiedeviestinnän asiantuntijaVaasan yliopisto / Viestintä, brändi ja markkinointi
Puh:0294498231riikka.kalmi@uwasa.fiKuvat
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Vaasan yliopisto
Vaasan yliopisto jälleen ykkönen suomalaisten yliopistojen kuntotestissä3.7.2025 15:15:42 EEST | Tiedote
Vaasan yliopisto on jälleen kärjessä suomalaisten yliopistojen kuntotestissä. Testissä arvioitiin yliopistojen kehitystä vuosina 2018–2024 viidellä eri osa-alueella: julkaisut, suoritetut tutkinnot, henkilöstön kansainvälisyys, kansainväliset hakijat sekä kansainväliset opiskelijat.
Biokaasu vauhdittaa vihreää siirtymää Pohjanmaan maakunnissa – uusi digitaalinen alusta yhdistää toimijat2.7.2025 09:03:45 EEST | Tiedote
Biokaasulla on merkittävä rooli alueellisen energiaomavaraisuuden ja kiertotalouden edistämisessä. Vaasan yliopiston, Centria-ammattikorkeakoulun ja Seinäjoen ammattikorkeakoulun yhteinen tutkimushanke DigiBiogasHubs tuo biokaasumarkkinoiden toimijat yhteen digitaalisen verkkoalustan avulla ja luo pohjan uudenlaiselle yhteistyölle. Alueellisten biokaasukeskittymien kehittäminen ja niiden välisten yhtymäpintojen tunnistaminen ovat keskiössä, kun tavoitteena on moninkertaistaa biokaasun tuotanto ja käyttö.
Vaasan yliopisto monipuolisesti Wasa Future Festivalin ohjelmistossa 11.–16.8.202530.6.2025 13:05:00 EEST | Tiedote
Wasa Future Festival toteutuu tänä vuonna suurempana kuin koskaan. Vaasan yliopiston kanssa läheistä yhteistyötä vuosia tehnyt Wasa Future Festival on koko viikon kestoinen kansainvälinen tapahtuma, joka sisältää luentoja, paneeleja, avajaisia, näyttelyitä ja osallistavia performansseja hyvin monenlaisille kohderyhmille asiantuntijoista ja poliitikoista koululaisiin.
Vaasan yliopiston tutkijoiden uusi politiikkasuositus: Valmiutta vapaaehtoisesti – kansalaisten osaaminen käyttöön27.6.2025 09:13:31 EEST | Tiedote
Vapaaehtoisten valmiusrekisteri mahdollistaisi turvallisuuskoulutettujen kansalaisten osaamisen hyödyntämisen kriisitilanteissa – erityisesti niiden, jotka eivät kuulu asevelvollisuusrekisteriin tai reserviin. Vaasan yliopiston tutkijoiden tuore politiikkasuositus esittää, että vapaaehtoisten valmiusrekisterin suunnittelussa tulee huomioida osallistujien näkemykset. Tällöin osaaminen voidaan hyödyntää tehokkaasti ja yhdenvertaisesti osana kokonaisturvallisuutta.
Vaasan yliopisto ja Vaasan ammattikorkeakoulu perustivat vahvan ja kilpailukykyisen konsernin26.6.2025 11:34:15 EEST | Tiedote
Vaasan yliopiston ja Vaasan ammattikorkeakoulun muodostama uusi korkeakoulukonserni on virallisesti perustettu tänään 26.6.2025. Osakassopimuksen allekirjoittaminen ja omistusjärjestelyjen tekeminen ovat merkittävät askeleet pitkäjänteisessä ja tiiviissä yhteistyössä, jota on rakennettu korkeakoulujen kesken vuosien ajan.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme