EU:n terveydenhuollon ja sairaaloiden kyberturvallisuuden toimintasuunnitelma tukee kansallista työtä
EU:n komissio julkaisi sairaaloiden ja terveydenhuollon kyberturvallisuutta koskevan toimintasuunnitelman tämän vuoden tammikuussa. Tavoitteena on suojata kriittistä infrastruktuuria, ennaltaehkäistä tietomurtoja, vähentää tietomurroista aiheutuvia katkoksia sekä nopeuttaa palveluiden palautumista osana eurooppalaista yhteistyötä.
Toimintasuunnitelma tuo konkretiaa siihen, miten kyberturvallisuutta voidaan terveydenhuollossa käytännössä vahvistaa. Ehdotetut toimenpiteet vähentävät tavanomaisia tietoverkko- ja järjestelmäkatkoksia sekä parantavat varautumista kriiseihin.
Toimintasuunnitelma nojaa varautumisessa osaamiseen ja verkostoyhteistyön ja jatkuvuuden hallintaan EU:n kyberturvallisuusdirektiivin (NIS2) tukena.
Toimintasuunnitelman toimenpiteillä voidaan suojata potilastietoja sekä lääkinnällisiä laitteita ja niiden toimintaketjuja. Lisäksi ne turvaavat eurooppalaista terveystietoaluetta (EHDS) ja tekoälyn verkkoturvallisuutta. Toimenpiteet kattavat myös muita internetiin kytkettyjä sairaaloiden laitteita, joiden toimintahäiriöt voivat olla vaaraksi hoitotyölle.
Selkeät vastuut edistävät kyberturvallisuutta
Toimintasuunnitelma tarjoaa selkeitä askeleita kyberturvallisuuden ja varautumisen parantamiseksi jäsenmaissa. Sen perusajatuksena on antaa aiempaa kohdistetummin työvälineitä, joilla voidaan vahvistaa kansallisia toimia. Tässä auttavat uhkakuvien ja riskien mukaisesti valitut painopisteet. Lisäksi suunnitelma korostaa selkeitä vastuita.
Riski siitä, että EU-tasoiset toimenpiteet muuttaisivat kansallisia käytäntöjämme, on pieni. Osa toimenpiteistä on jo nyt käytössä eikä uusien toimintatapojen sisäistäminen siten vie aikaa. Kysymys on lähinnä siitä, mitä toimintasuunnitelman painopisteistä aletaan meillä kehittää.
Toimintasuunnitelma tukee jatkuvuuden hallintaa
EU:n toimintasuunnitelma tukee digitaalisen turvallisuuden päätöksentekoa Suomessa. Saamme siitä konkreettisia toimia, joilla voimme toteuttaa omaa terveydenhuollon digitalisaation ja tiedonhallinnan strategiaamme.
Kyberturvallisuus ja vikasietoiset palvelut ovat yksi hyvinvointialueiden toiminnan kulmakivistä, lähestulkoon elinehto jatkuvuuden hallinnassa. Tietojärjestelmien ja tietoverkkojen käyttäjät hyvinvointialueilla hyötyvät, kun toimintasuunnitelman erilaisin toimenpitein saadaan lisää vaikuttavuutta.
Kyberturvallisuuden kehittämiselle ja ylläpidolle on hyvä varata riittävästi resursseja. Teknologia ei suojele ketään ilman osaajia ja tekijöitä. Sitoutuneet terveydenhuollon asiantuntijat pystyvät näin torjumaan häiriöitä ja uhkia jatkossakin.
Koronapandemia osoitti, miten tärkeää terveydenhuollossa on varautua ja varmistaa digitaaliset palvelut. Nykyinen turvallisuusympäristö tuo terveydenhuollolle yhä kovempia vaatimuksia. Koska palvelut ovat riippuvaisia tietoverkoista, selviämme yllättävistä tilanteista vain huolehtimalla verkkojen toimivuudesta myös kriisitilanteita ajatellen.
Terveydenhuollon ja sairaaloiden kyberturvallisuuden toimintasuunnitelmassa esitetyt valmiit ja hyödylliset toimenpiteet voisivat sopia myös soveltaen sosiaalihuoltoon, mikseivät muillekin hallinnonaloille. Kannattaa siis tutustua suunnitelmaan!
Andrei Laurén
Kirjoittaja toimii tietoturvapäällikkönä sosiaali- ja terveysministeriössä. Hän on mukana eri ministeriöiden poikkihallinnollisissa tietoturvaan ja teknologiaan liittyvissä asiantuntijaryhmissä ja toimii hyvinvointialueiden ohjauksen ja valmiuden tukena.
