Teemupekka Virtanen: Sosiaali- ja terveydenhuollon kyberturvallisuus paranee yhdessä tekemällä

Sosiaali- ja terveysministeriö 21.11.2019 7.30
Kolumni

Terveydenhuolto on ollut viime aikoina useasti esillä tietotekniikkaan liittyvien ongelmien takia. Ongelmat tietojärjestelmissä tai tietoliikenteessä ovat aiheuttaneet esimerkiksi sovittujen hoitojen siirtymistä ja vastaanottojen ruuhkautumista, mutta myös pulaa lääkkeistä ja paljon ylimääräistä työtä henkilökunnalle.

Häiriötilanteet tuovat esiin terveydenhuollon suuren riippuvuuden tietoteknologiasta. Vähemmälle huomiolle on jäänyt se, että suuri osa ongelmista on koskettanut myös sosiaalihuoltoa. Tekniset ongelmat ovat viivästyttäneet sosiaalihuollon päätöksiä, mikä on aiheuttanut vaikeuksia päätöksiä odottaville ja lisätöitä työntekijöille.

Jotta sosiaali- ja terveydenhuollon palvelut olisivat jatkossa mahdollisimman häiriöttömät ja turvalliset, sosiaali- ja terveysministeriössä käynnistetään hanke kyberturvallisuuden parantamiseksi. Työ on suurelta osin siirtynyt digitaliseen maailmaan, ja siksi palveluiden laatu ja turvallisuus on varmistettava myös siellä.

Varautuminen teknisiin häiriöihin on arkipäivää – silti pienikin virhe voi johtaa ongelmiin

Suomessa on huolehdittu jo pitkään hyvin turvallisuudesta ja toimintavarmuudesta. Sosiaali- ja terveydenhuollossa on varauduttu erilaisiin häiriöihin, mikä on näkynyt myös tietotekniikan toimintavarmuutena. Osaaminen on ollut hyvää kansainvälisesti verrattuna.

Toimintaympäristö ja tarpeet ovat kuitenkin muuttuneet. Tietotekniset järjestelmät ovat kasvaneet niin laajoiksi ja monimutkaisiksi, että niiden hallinnasta on tullut aiempaa vaikeampaa.

Ohjelmaversion vaihto kännykässä voi viedä puoli tuntia. Potilastietojärjestelmän version päivittäminen voi olla puolen vuoden projekti, jossa joudutaan varmistamaan, että uusi versio toimii oikein kaikkien muiden käytössä olevien tietojärjestelmien kanssa, joita voi olla satoja. Pieni virhe järjestelmissä tai niiden käytössä voi johtaa vaikeasti löydettäviin ongelmiin. Tilannetta hankaloittaa se, että terveydenhuolto toimii kellon ympäri jokaisena päivänä, joten tietojärjestelmien on oltava aina päällä.

Hyökkäykset tietojärjestelmiä vastaan ovat muuttuneet. Nykyään voidaan puhua liiketoiminnasta, jossa tunkeutumisilla haetaan taloudellista hyötyä. Uhreilta kiristetään rahaa ja henkilötietoja myydään erilaisiin tarkoituksiin. Taloudellisen voiton toivossa hyökkääjät ovat ammattimaisempia ja määrätietoisempia.

Turvallista toimintaa ohjaavat useat ohjeet kaipaavat yhtenäistämistä

Potilastietojärjestelmä on keskeinen osa hyvää hoitoa ja hoidon laatua. Sillä toteutetaan lakisääteisiä vaatimuksia potilastiedon käsittelystä. Se on osa yhteiskunnan kriittistä infrastruktuuria. Tietoverkkoon kytkettynä kriittisenä laitteena sitä koskee tietoverkkojen turvallisuuden ohjeistus. Potilastiedot ovat myös henkilötietoja, jolloin kuvaan astuu tietosuoja-asetus. Kanta-palvelut asettavat omat vaatimuksensa.

Tietoturvallisuutta koskevia ohjeita ja määräyksiä on paljon, samoin kuin niitä antavia ja valvovia viranomaisia. Tämä on johtanut myös päällekkäiseen ja joskus ristiriitaiseen ohjeistukseen.

Nyt käynnistettävässä kyberturvallisuuden hankkeessa on tavoitteena tarkastella tilannetta kokonaisuutena sekä selkiyttää ohjeistusta ja eri viranomaisten toimintakenttiä. Yhdenmukaisella ohjeistuksella ja valvonnalla varmistetaan häiriöttömät ja turvalliset palvelut.

Teemupekka Virtanen
erityisasiantuntija
sosiaali- ja terveysministeriö