Q&A: Terveydenhuolto, sote-uudistus ja tietoturva – Kyberturvallisuus on potilasturvallisuutta
Deryck Mitchelson, Chief Information Security Officer, Check Point Software Technologies
Espoo, 14.6.2023 – Terveydenhuolto oli huhtikuussa hakkereiden toiseksi suosituin kohde Pohjoismaissa ja maailmanlaajuisesti. Suomen sosiaali- ja terveydenhuollon ja pelastustoimen uudistuksen myötä hyvinvointialueilla yhdistellään nyt useita erilaisia tietojärjestelmiä. Check Point Software Technologiesin tietoturvajohtaja Deryck Mitchelson kertoo, mitä muun muassa tämä merkitsee kyberturvallisuuden kannalta.
Mikä ovat keskitettyjen terveydenhuoltojärjestelmien keskeiset tietoturvahaasteet?
Keskeinen haaste on terveydenhuoltojärjestelmien monimutkaisuus, sekä perinteisten että nykyaikaisten. Alan organisaatiot käsittelevät valtavia määriä erittäin henkilökohtaista ja arkaluontoista tietoa, mikä tekee niistä houkuttelevia kohteita kyberhyökkäyksille. Tietojen keskittäminen kokoaa arvokkaat resurssit yhteen paikkaan, mikä voi houkutella kyberrikollisia. Kun hyökkäyspinta keskittyy, myös mahdolliset haavoittuvuudet ja heikkoudet keskittyvät. Tämä on merkittävä riski koko järjestelmälle. Keskittämisessä on etuja, kuten mittakaavaetuja ja mahdollisuus ottaa käyttöön koneoppimisen ja tekoälyn kaltaisia kehittyneitä teknologioita. Näiden on kuitenkin oltava tasapainossa monimutkaisuuteen ja datan määrään liittyvien riskien kanssa.
Yksi laaja, keskitetty terveydenhuoltojärjestelmä voi olla taloudellisesti turvallisempi, mutta onko se haavoittuvampi, jos järjestelmässä on puutteita – verrattuna useisiin eri järjestelmiin, jolloin kaikki tiedot eivät ole yhdessä paikassa?
Keskittäminen voi olla erittäin hyödyllistä nykyaikaisessa ja hyvin segmentoidussa terveydenhuoltojärjestelmässä, jossa on vankka valvonnan, seurannan ja käyttöoikeuksien hallinta. Kuitenkin jo pieni haavoittuvuus tai huolimattomuus, kuten kalasteluviesti tai tahaton haitallisen linkin napsautus, voi johtaa luvattomalla asialla olevan toimijan pääsyyn tietoihin ja koko järjestelmän vaarantumiseen. Suurimpia terveydenhuollon datan ja järjestelmien keskittämiseen liittyviä riskejä ovat haavoittuvuudet, jotka johtuvat erilaisten palvelujen ja järjestelmien integroinnin monimutkaisuudesta sekä tunnistus- ja pääsyhallinnan kasvaneesta merkityksestä ja palvelujen siirtymisestä verkkoon. Vaikka keskittäminen voi virtaviivaistaa toimintoja, kuten korjausten hallintaa ja konfigurointia, se tuo mukanaan myös monimutkaisuutta, joka liittyy käyttöliittymien integrointiin, rajapintojen kehitykseen, kirjautumiseen, salaukseen ja toimitusketjun riskeihin. Terveydenhuoltoalan organisaatiot tukeutuvat usein kolmansien osapuolten toimittajiin ja kehittäjiin, ja riskitaso nousee, jos niille annetaan pääsy keskitettyyn järjestelmään. Keskittäminen voi olla hyödyllistä, mutta se edellyttää asianmukaisia suojatoimenpiteitä ja riskienhallintaa organisaation hallituksen taholta. Terveydenhuoltoala toimii yleisesti ottaen erinomaisesti riskienhallinnan, auditoinnin ja vaatimustenmukaisuuden suhteen. Toimitusketjun ja kolmansien osapuolien toimintamallien muutokset voivat kuitenkin tuoda haasteita.
Mitkä tiedot ovat arvokkaimpia hakkereiden kannalta?
Hakkerit ja muut pahantahtoiset toimijat pyrkivät hankkimaan kahden tyyppistä tietoa. Ensinnäkin he etsivät arkaluonteisia lääketieteellisiä ja kliinisiä tietoja. Joissain tapauksissa vuotaneita tietoja on käytetty kiristykseen ja varkauksiin. He pyrkivät hyötymään rahallisesti hankkimastaan tiedosta. Toiseksi he ovat kiinnostuneita immateriaalioikeuksista, kuten patenteista, joita he voisivat hyödyntää taloudellisesti. Julkinen terveydenhuolto harvoin maksaa lunnaita, ja kyberrikolliset keskittyvät enemmän tiedon vuotamiseen ja sen hyödyntämiseen kuin lunnaiden vaatimiseen. Nykyinen geopoliittinen tilanne, erityisesti Ukrainan ja Venäjän välillä, lisää huolta uhkien kasvusta. Myös tietojen tuhoaminen tai salaaminen ilman lunnasvaatimuksia on yleistymässä. Tällaisten tietojen palauttaminen varmuuskopioista voi olla haastavaa, varsinkin jos varmuuskopioita on peukaloitu tai ne ovat jatkuvia. Kyberrikolliset havittelevat eniten potilastietoja, taloudellisesti arvokasta dataa ja arkaluontoisia tietoja julkisuuden henkilöistä, kuten poliitikoista ja julkkiksista, sillä niistä he voivat saada merkittäviä summia pimeillä markkinoilla.
Mikä rooli tekoälyllä on lisääntyneissä hyökkäyksissä ja tietomurtojen estämisessä terveydenhuollon järjestelmissä?
Tekoälyllä on mahdollisuus muuttaa terveydenhuoltoa virtaviivaistamalla prosesseja ja parantamalla päätöksentekoa. Se voi auttaa nopeammassa arvioinnissa ja avustaa uhkien havaitsemisessa, tiedon analysoinnissa ja käyttäytymisen seurannassa. Huolellinen toteutus on kuitenkin ratkaisevaa, jotta suojamekanismit ja eettiset näkökulmat ovat kunnossa. Terveydenhuollon organisaatioiden tulisi tehdä yhteistyötä esimerkiksi eettisyyttä edistävien organisaatioiden kanssa luottamuksen ja tietosuojan kehittämiseksi. Nollaluottamukseen perustuvat tekoälypohjaiset ratkaisut auttavat estämään tietovuotoja ja parantamaan kokonaisturvallisuutta. Terveydenhuollossa syntyvän valtavan tietomäärän vuoksi uhkien tehokkaaseen hallintaan tarvitaan tekoälyyn perustuvia teknologioita, kuten SOAR-teknologiaa (Security Orchestration, Automation and Response). Vaikka tekoäly tarjoaa merkittäviä etuja, matkan varrella voi olla haasteita tietomurroista kohdennettuihin kalasteluhyökkäyksiin. Hyökkääjät voivat hyödyntää tekoälyalgoritmeja luodakseen monimutkaisia spear phishing -kampanjoita, joiden kohteena on potilaita ja sairaalan johtajia. Tekoälyyn perustuvien uhkien kehittyminen vaatii terveydenhuoltoalalta ennakoivaa lähestymistapaa kyberturvallisuuteen tietojen menetyksen ja tietomurtojen riskin pienentämiseksi.
Psykoterapiakeskuksen taannoinen tietomurto herätti monet organisaatiot kyberturvallisuuden tärkeyteen. Ovatko kolmannen osapuolen toimittajat usein heikoin lenkki, ja miten tähän voidaan puuttua?
Vastuu hallinnosta on ylimmällä tasolla. Vaikka terveydenhuollossa on vahva lääketieteellinen johtajuus, usein terveysalan johtajilla on puutteellinen ymmärrys omasta vastuustaan kyberriskeissä. Tietohallinnon ja johdon välillä saattaa olla puutteellista viestintää riskien tasosta ja niiden vaikutuksista liiketoimintaan. Sain vastaavanlaisen kokemuksen aikoinani NHS Scotlandissa, kun aluksi keskustelin kyberriskeistä teknisellä termistöllä. Kuitenkin, kun muotoilin keskustelua lääketieteellisiksi kyberriskeiksi ja niiden vaikutuksiksi potilashoitoon, ymmärrys parani merkittävästi. On tärkeää yhdistää tekninen ja liiketoiminnallinen kieli riskien välttämiseksi. Suurimpia riskejä ovat haittaohjelmien aiheuttamat uhat, mahdollinen tietojen menetys ja niiden vaikutukset sähköiseen terveydenhuoltoon. Kun riippuvuutemme digitaalisista järjestelmistä kasvaa, niiden tietojen eheydestä tulee kriittinen tekijä terveydenhuoltopalvelujen tarjoamisessa. Terveydenhuoltoalan johtajien on ymmärrettävä terveydenhuoltoon kohdistuvien uhkien vaikutukset ja ymmärrettävä, että kyberturvallisuudesta ei aina viestitä tai sitä ei aina säännellä liiketoiminnan termein. Avainasemassa näiden haasteiden ratkaisemisessa on tehokas viestintä.
Onko Suomi erityisen haavoittuvainen terveydenhuollon kyberuhkille pienten kuntien yhdistäessä järjestelmiään keskitettyihin kansallisella tasolla toimiviin järjestelmiin?
Kyllä, on merkittävä haavoittuvuus, kun järjestelmiä yhdistetään keskitettyyn kansallisella tasolla toimivaan rakenteeseen. Hajautetussa tai eriytetyssä lähestymistavassa järjestelmän heikoin lenkki on potentiaalinen uhkien sisäänpääsypaikka. Tämä on ollut havaittavissa yleisterveydenhuollon ja pienempien terveydenhuollon tarjoajien puutteellisissa tietoturvatoimissa. Digitaalisen terveydenhuollon järjestelmien keskinäinen yhteys altistaa riskeille, jotka liittyvät tietojen jakamiseen ja integraatiohubien ja taustajärjestelmien käyttöön. Tietojen monistuminen eri tallennuspaikkoihin lisää tietojen eheyteen liittyvien ongelmien todennäköisyyttä. Yhdistetty järjestelmä tuo mukanaan erilaisia riskejä, ja on olennaisen tärkeää, että käytössä on suunnitelma yhdistelmän heikoimman lenkin suojelemiseksi. Skotlannissa on ollut lukuisia kalasteluyrityksiä, haittaohjelmia ja toimitusketjun haavoittuvuuksia, jotka ovat uhka kansalliselle verkolle. Digitaaliseen turvallisuuteen liittyvän asiantuntemuksen ja johtamisen puute pahentaa tilannetta, sillä usein keskitytään lääketieteellisiin riskeihin eikä niinkään taustalla oleviin kyberriskeihin. Paikallisen kyberriskin ymmärtäminen on ratkaisevan tärkeää, jotta haavoittuvuuksiin voidaan puuttua tehokkaasti.
Mitä Suomi voi oppia Skotlannin kyberturvatoimien onnistuneista toteutuksista?
Tärkein opetus on kehittää kattava kyberstrategia, joka on linjassa terveydenhuollon kokonaisstrategian kanssa. Strategian tulisi olla ylimmän johdon vastuulla asianmukaisen priorisoinnin varmistamiseksi. Riskinarviointien tekeminen auttaa tunnistamaan haavoittuvia alueita ja kehittämään kohdennettua kyberohjelmaa. NHS Skotlannissa keskityimme tietoturvatoimien, haavoittuvuuksien hallinnan ja uhkien havaitsemisen tehostamiseen. Paransimme myös häiriötilanteisiin reagoinnin valmiuksiamme johtoryhmien kanssa järjestettävien säännöllisten kyberharjoitusten avulla. Ratkaisevan tärkeää oli yhteistyö terveydenhuollon työnkulkuja ja tietosuojaa ymmärtävien tietoturvatoimittajien, kuten Check Pointin kanssa potilastietojen suojaamiseksi julkisen sektorin pilvipalveluissa. Teknisten toimenpiteiden, kuten tietojen luokittelun ja suojauksen lisäksi on tärkeää panostaa käyttäjien, erityisesti terveydenhuollon ammattilaisten, koulutukseen ja tietoisuuden lisäämiseen. Toimitusketjun riskienhallinta ja nollaluottamusverkon käyttöönotto ovat myös tärkeitä näkökohtia. Henkilöllisyyden ja käyttöoikeuksien hallinta, verkkojen skannaaminen ja ajantasaisen konfiguraationhallintatietokannan ylläpitäminen ovat kriittisiä terveydenhuollon organisaatioille. Kyberohjelman priorisointi ja riskien vähentämisen osoittaminen NIST:n kaltaisten kehysten ja Gartnerin arvioiden avulla voi auttaa varmistamaan lisäinvestointeja. Nopeuttamalla aloitteita ja sovittamalla ohjelmat yhteen liiketoiminnan tarpeiden kanssa Suomi voi edetä merkittävästi tietoturvansa vahvistamisessa.
Kuinka syvälle järjestelmäintegraatiot ulottuvat Skotlannissa, ja kattavatko turvallisuustoimet loppukäyttäjät?
Olemme ottaneet käyttöön peruskontrollit identiteettien käytön hallintaa ja levossa olevien tietojen salausta varten. Hyödynsimme kolmannen osapuolen apua COVID-vastatoimien aikana asianmukaisen tunnistamisen ja tiedonsaannin varmistamiseksi. Emme ole kuitenkaan vielä toteuttaneet loppukäyttäjien laitteiden mobiilisuojaustoimenpiteitä. Meillä on kuitenkin mahdollisuus sisällyttää mobiilisovelluksiin Check Pointin kaltainen mobiilisuojaus lääketieteellisten tietojen segmentoimiseksi ja suojaamiseksi. Vaikka olemme toteuttaneet vähimmäisturvatoimet, tietoturvan tasoa on vielä mahdollista parantaa. Rahoitusalalla mennään pelkkää pankkisovellusten käyttöönottoa pidemmälle ja keskitytään teknologioihin, joilla varmistetaan sovellusten segmentointi ja tietojen eheys. Terveydenhuollon olisi myös asetettava etusijalle laitteisiin tallennettujen tietojen turvallisuus ja oltava tietoinen mahdollisista uhkista, kun muodostetaan yhteys julkisiin Wi-Fi-hotspotteihin. Loppukäyttäjien on tärkeää harjoittaa perushygieniaa, kuten päivitysten käyttämistä ja laitteiden säännöllistä uudelleenkäynnistämistä, mutta usein nämä käytännöt laiminlyödään.
Onko Suomi jäämässä jälkeen, ja ovatko neljän vuoden hallituskaudet liian lyhyitä edistyksen kannalta?
On todellakin maita, mukaan lukien Iso-Britannia, jotka ovat jäämässä jälkeen tietyillä osa-alueilla. Standardisointi ja yhteistyö Euroopan maiden välillä, riippumatta EU-jäsenyydestä, olisi hyödyllistä. Olisi ihanteellista, jos hallitukset sitoutuisivat samantasoisiin investointeihin ja priorisointiin, tekisivät yhteistyötä terveydenhuollon edistämiseksi ja helpottaisivat saumatonta pääsyä potilastietoihin yli rajojen. Haasteena on puuttua kansalliset rajat ylittäviin kyberuhkiin. Monien EU-maiden on nopeutettava strategioitaan, investointejaan ja johtajuuttaan tarvittavien muutosten aikaansaamiseksi. Digitaaliseen muutokseen, ennakoiviin teknologioihin ja ennaltaehkäisevään terveydenhuoltoon tarvitaan merkittäviä investointeja. Pelkkä lääkärien ja hoitajien määrän lisääminen ei riitä; meidän on omaksuttava kyberturvallinen ja digitaalisesti transformoitu terveydenhuoltojärjestelmä, joka kattaa puettavat laitteet ja hyödyntää tietoa varhaisesta iästä alkaen. Terveydenhuolto ei ole nykyisessä muodossaan kestävää, ja se vaatii perustavanlaatuisia muutoksia.
Terveydenhuolto oli huhtikuussa toiseksi suosituin hyökkäysten kohde Pohjoismaissa ja maailmanlaajuisesti. Millainen on Check Pointin viesti sosiaali- ja terveysalan organisaatioille Suomessa?
Check Pointin viesti sosiaali- ja terveysalan organisaatioille Suomessa korostaa kyberuhkien minimoimisen, automaation lisäämisen, julkisen pilvi-infrastruktuurin suojaamisen, sähköpostipohjaisten uhkien torjunnan, standardien noudattamisen ja nollaluottamukseen perustuvan lähestymistavan tärkeyttä. Pyrimme ennaltaehkäisemään kyberhyökkäyksiä proaktiivisesti vahvalla asiantuntemuksellamme vaatimustenmukaisuusteknologiassa, virheellisten konfiguraatioiden automaattisessa korjaamisessa, mobiilisuojauksessa, teknologian konsolidoinnissa, monimutkaisuuden ja kustannusten vähentämisessä sekä etulinjan digitaalisen terveydenhuollon mahdollistamisessa. Korostamme, että ylimpien johtajien on otettava vastuu kyberturvallisuudesta ja osoitettava tarvittava budjetti riskien tehokkaaseen vähentämiseen.
Onko budjetti yleensä tyypillinen syy turvatoimien puutteellisuuteen, vai onko kyse pikemminkin epäpätevyydestä ja osaamisen puutteesta?
Uskon, että syynä ovat usein epäpätevyys ja osaamisen puute. Meillä on pulaa vahvoista kyberjohtajista, pilviarkkitehtuurin asiantuntemuksesta ja tietoturvan orkestrointikyvyistä, ei vain terveydenhuollossa vaan eri toimialoilla. Kapasiteettia ja valmiuksia on lisättävä. En kuitenkaan pidä budjettia ensisijaisena ongelmana. Ilmaisemalla asianmukaisesti lääketieteelliset ja kliiniset riskit voimme poistaa budjettirajoitukset tekosyynä ja keskittyä turvallisuusympäristömme optimointiin. Järjestelmien konsolidointi, päällekkäisyyksien poistaminen ja strategiset investoinnit voivat vapauttaa resursseja tehokkaampaan käyttöön. Hallitukset arvostavat sitä, että heidän investointejaan hyödynnetään tehokkaasti. Osoittamalla, että investoinnit tuottavat hyvin, voimme saada lisää rahoitusta kyberturvallisuuden parantamiseen. Suuri alkuinvestointi voi johtaa pitkällä aikavälillä merkittäviin kustannus- ja aikasäästöihin. Esimerkiksi Check Pointin sähköpostin suojausjärjestelmän käyttöönotto voi automatisoida prosesseja ja vähentää tietoturvatoimintojen kustannuksia jopa 20 prosenttia, jolloin organisaatiot voivat kohdentaa nämä resurssit digitaalisen muutoksen aloitteisiin. Kyse on älykkäämmästä työskentelystä ja kokonaiskuvan huomioon ottamisesta. Vaikka nykyisten monimutkaisten teknologioiden purkaminen voi aiheuttaa haasteita, sijoitetun pääoman tuotto on kiistaton. On aika astua eteenpäin ja ryhtyä toimiin.
Lisätiedot:
Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software Technologies, [email protected], p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.
Kuva- ja haastattelupyynnöt:
Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (https://www.checkpoint.com) on johtava yritysten ja valtionhallinnon kyberturvallisuusratkaisujen tarjoaja globaalisti. Check Point Infinityn ratkaisuportfolio suojaa yrityksiä ja julkisia organisaatioita 5. sukupolven kyberhyökkäyksiltä alan johtavalla haittaohjelmien, kiristysohjelmien ja muiden hyökkäysten kiinnijäämisprosentilla. Infinity koostuu neljästä peruspilarista: Check Point Harmony etäkäyttäjille; Check Point CloudGuard pilven automaattiseen suojaamiseen; ja Check Point Quantum tietoverkkojen ja datakeskusten suojaamiseen. Näitä kaikkia hallitaan alan kattavimmalla ja intuitiivisimmalla yhtenäisellä hallintajärjestelmällä; Check Point Horizonilla, joka on tietoturvapoikkeamien ennaltaehkäisyyn tähtäävä ohjelmisto- ja palvelukokonaisuus. Check Point huolehtii yli 100 000 ison ja pienen yrityksen ja yhteisön tietoturvasta.
Check Point Research
Check Point Research (https://research.checkpoint.com) huolehtii siitä, että Check Pointin asiakkailla ja laajemmalla tietoturvayhteisöllä on käytettävissään paras mahdollinen tieto kyberturvallisuuden riskeistä. Tutkijaryhmä kerää ja analysoi ThreatCloud-verkkopalvelun tallentamat maailmanlaajuiset kyberhyökkäystiedot, jotta hakkerit pysyvät kurissa ja kaikki Check Pointin tuotteet pystytään päivittämään uusimmilla suojauksilla. Tutkijaryhmä koostuu yli 100 analyytikosta ja tutkijasta, jotka tekevät yhteistyötä muiden tietoturvayhtiöiden ja viranomaisten kanssa.
© Koodiviidakko Oy - Y-tunnus 1939962-1