Kiristyshaittaohjelma jumitti sairaalan järjestelmän ja nainen kuoli ambulanssiin – terveydenhuollon kyberturvallisuus on kilpajuoksua Suomessakin: ”Uhka on jatkuvasti päällä”

Suomessa on 20 sairaanhoitopiiriä. Eri järjestelmien yhteensovittaminen on osoittautunut välillä ongelmalliseksi. Kuva: Pekka Fali

Yhdysvalloissa useat sairaalat ovat maksaneet lunnaita rikollisille, jotka ovat rampauttaneet niiden järjestelmiä haittaohjelmilla.

WannaCry-kiristyshaittaohjelma vei vuonna 2017 Britannian terveydenhuollon takaisin kynä-paperiaikaan.

Yksityisen Psykoterapiakeskus Vastaamon tietomurrossa 2018-2019 jopa 33 000 asiakkaan henkilö- ja asiakastiedot varastettiin ja osin julkaistiin Tor-verkossa.

Düsseldorfissa kiristyshaittaohjelma jumitti yliopistollisen sairaalan tietojärjestelmän vuonna 2020. Sairaala ei ottanut vastaan sinne tuotua 78-vuotiasta naista, vaan häntä lähdettiin kuljettamaan toiseen sairaalaan. Hän kuoli matkalla ambulanssiin.

Terveydenhuollon kyberturvallisuus on jatkuvaa kilpajuoksua, kertoo operatiivisen osaston yksikönjohtaja Jarna Hartikainen Huoltovarmuuskeskuksesta.

”Hyökkääjä yrittää löytää kohdan, mistä pääsee sisään. Niitä kohtia pyritään paikkaamaan. Ohjelmistot ovat ihmisten kirjoittamia, siksi niihin tahtoo aina jäädä kirjoitusvirheitä eli haavoittuvuuksia”, Hartikainen kertoo.

”Uhka on jatkuvasti päällä. Jatkuva tietoturvan kehittäminen ja suojausten päivittäminen on tarpeen.”

Suomen terveydenhuollossa ei ole nähty muita vakavia tapauksia kuin Vastaamon tietomurto. Tapaus ei Hartikaisen mukaan kerro laajemmin suomalaisten terveydenhuollon tilanteesta vaan on yksittäinen esimerkki, joka on herätellyt alaa maineriskiin ja myötävaikuttanut siihen, että hallitus myönsi lisärahoitusta kyberturvallisuuden lisäämiseen.

Kyberturvallisuus on tunnistettu osaksi huoltovarmuutta 2000-luvulla.

2000-luvulla materiaalien saatavuuden turvaamisesta on varautumistoiminta laajentunut toimintojen ja palvelutasojen jatkuvuuden hallintaan sekä häiriösietoisuuteen, kun globaalien toimitusketjujen ja viestinnän merkitys on korostunut. Näissä tietojärjestelmät ja niiden toimivuus on keskeinen osa.

Kansallinen CERT eli Computer Emergency Response Team -toiminto eli tietoturvavalvomo perustettiin Suomeen vuonna 2001 Viestintävirastoon Huoltovarmuuskeskuksen tukemana.

”Tietoliikenne ja tietoverkot ja -järjestelmät alkoivat kasvaa ja niitä alettiin käyttää hyväksi haitallisissa tarkoituksissa. Vuosikymmenen aikana huomattiin, että tietojärjestelmien käyttö lisääntyy eri aloilla. Ne ovat verkossa ja sitä kautta alttiita tietoturvariskeille”, Hartikainen kertoo.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on perustettu CERT-toiminnon ympärille. Huoltovarmuuskeskus rahoittaa keskuksen toimintojen kehitystä, jotta se pystyy palvelemaan kriittistä infrastruktuuria eli yhteiskunnan elintärkeitä toimintoja, kuten sairaaloita.

Tietoturvan merkitys on viime vuosina vain kasvanut, kun koronan ja etätöiden myötä viimeisetkin järjestelmät on viety verkkoon, Hartikainen kertoo.

Terveydenhuollossa uhkana ovat haittaohjelmat ja huijaukset, jotka voivat pahimmillaan vaikuttaa potilasturvallisuuteen. Kuva: Kari Salonen

Terveydenhuollon tietojärjestelmissä erityispiirteenä ovat käyttäjäkunnan laajuus ja tietojen kriittisyys, Hartikainen kertoo.

”Käyttäjäkunta on hirveän laaja, kaikki lääkärit ja hoitohenkilökunta pääsevät järjestelmiin. Heillä pitää olla tietoturvasta perusymmärrys tai järjestelmässä sisään rakennettua turvallisuutta.”

Lisäksi terveydenhuollossa käsitellään ihmisten terveystietoja ja henkilötietoja.

Uhkana ovat haittaohjelmat ja huijaukset, jotka voivat pahimmillaan vaikuttaa potilasturvallisuuteen.

Uhkiin varautumisessa sovitetaan yhteen yksityisen ja julkisen terveydenhuollon ja esimerkiksi yksityisten lääkeyhtiöiden intressejä.

Suomessa on käytössä paljon tietojärjestelmiä, jotka on otettu käyttöön silloin, kun tietoturvauhat eivät olleet näin yleisiä.

”Niitä on jouduttu suojaamaan jälkikäteen. Se on aina hankalampaa”, Hartikainen kertoo.

Suojausta tarvitaan Hartikaisen mukaan sekä ulko- että sisäpuolelle.

”Esimerkiksi palomuuri on verkon ulkorajapinnan suojaamista. Verkon sisällä mietitään, mitkä käyttöoikeudet, virusskannaukset ja tietoturvakontrollit tarvitaan haitallisen toiminnan havaitsemiseksi ja estämiseksi, eli tietoturvan hallitsemiseksi.”

Tietoturvan parantaminen ja päivittäminen ajan myötä pitää ottaa suunnittelussa huomioon. ”Emme voi tietää, millaisia kyberuhat on kymmenen vuoden päästä.”

Hartikaisesta on tärkeää, että terveydenhuollon digijärjestelmät kehittyisivät helposti käytettäviksi.

Myös toimintakulttuurilla on keskeinen rooli. Jos klikkaa väärää liitetiedostoa, siitä pitää kertoa eteenpäin, jotta vahinkoihin päästään käsiksi nopeasti.

Suomessa on 20 sairaanhoitopiiriä. Eri järjestelmien yhteensovittaminen on osoittautunut välillä ongelmalliseksi.

Hartikainen muistuttaa, että hajauttaminen voi olla huoltovarmuusmielessä järkevä ratkaisu. Jos kaikilla on käytössä sama järjestelmä, sen ongelma tietäisi ongelmia kaikille.

”Digitaaliset järjestelmät paikkaavat monia ihmisten aiheuttamia riskejä ja lisäävät turvallisuutta ja täsmällisyyttä”, Hartikainen sanoo.

”Rikolliset ja valtiolliset vaikuttajat liikkuvat tietoverkoissa, koska yhä suurempi osa tiedosta liikkuu niissä.”

Digitaalisten järjestelmien häiriöistä ja tietoliikenneongelmista suurin osa johtuu inhimillisistä virheitä, laiterikoista ja ohjelmistopäivityksistä, jotka eivät sujukaan suunnitellusti.

”Tahallisten, häirinnällisten kyberhyökkäysten osuus marginaalinen.”

Korjattu 27.12. kello 11.00 Jarna Hartikaisen titteli.