11 Pro terveys yberhyökkäykset ovat lisääntyneet sosiaali- ja terveysalalla tasaisesti viime vuosikymmenen aikana. Terveystieto on arvokas lähde sekä luotettavaa ja pysyvää henkilötietoa, mikä tekee siitä houkuttelevan kohteen. Lisäksi kyberhyökkäykset voivat kohdistua muun muassa lääkinnällisiin laitteisiin tai vaikuttaa potilastietojärjestelmien toimivuuteen, jolloin potilaan hoito saattaa viivästyä tai vaarantua. Sosiaali- ja terveysalaan kohdistuvia kyberhyökkäystapoja on erilaisia. Kiristyshaittaohjelma (ransomware) -hyökkäyksissä haittaohjelma salaa organisaation tiedot, ja hyökkääjät vaativat lunnaita tietojen vapauttamiseksi. Terveydenhuollossa nämä hyökkäykset ovat erityisen yleisiä ja vakavia. Tietomurroissa hyökkääjät voivat murtautua järjestelmiin varastaakseen potilastietoja ja muita arkaluonteisia tietoja, mikä voi johtaa identiteettivarkauksiin ja tietojen väärinkäyttöön. Tietojenkalastelu- ja muissa haitallisissa sähköposteissa käytetään huijausviestejä, jotka näyttävät luotettavilta, mutta sisältävät haittaohjelmia tai pyytävät käyttäjiä paljastamaan tunnistetietojaan. Haavoittuvuuksien hyväksikäytössä hyökkääjät hyödyntävät järjestelmien ja ohjelmistojen heikkouksia päästäkseen käsiksi tietoihin tai levittääkseen haittaohjelmia. Teknisillä keinoilla voidaan suojautua kyberrikoksia vastaan, mutta ilman osaavaa henkilöstöä ja vahvaa tietoturvakulttuuria organisaation digitaalinen turvallisuus jää vajaaksi (1). Tutkimusten mukaan noin puolet tietoverkkohyökkäyksistä johtuu terveydenhuollon työntekijöiden toiminnasta. Turvattomaan käyttäytymiseen johtavia tekijöitä ovat usein huolimattomuus, kiire, toistuvat tehtävät ja koulutuksen puute. (2) Lisäksi asenteet tietoturvaohjeita kohtaan, ulkoiset tekijät, kuten sosiaalinen paine, sekä työntekijän arvio siitä, kannattaako tietoturvaan liittyviin toimiin käytetty aika ja vaivannäkö, vaikuttavat toimintaan. (3) Kyberturvallisuusriskien ymmärtäminen on sosiaali- ja terveysalalla arvioitu melko heikoksi. Suomalaisessa tutkimuksessa vain noin viidesosa vastaajista (N=194, n=37) koki omat tieto- ja kyberturvallisuustaitonsa riittäviksi työtehtäviensä hoitamiseen. Vastaajista 37 % arvioi tietävänsä hyvin, kuinka toimia tietoteknisen häiriön aikana. (4) Kolmen EU-maan terveydenhuollon organisaatioissa tehdyssä tutkimuksessa vain noin viidesosa henkilöstöstä tiesi, miten tunnistaa sähköpostin tietojenkalasteluhyökkäys. Vaikka osallistujat myönsivät käsittelevänsä arkaluonteisia tietoja päivittäin, vain 23 % uskoi, että heidän tietonsa kiinnostaisivat verkkorikollisia. Sosiaali- ja terveysalaan liittyviä konkreettisia kyberturvaan liittyviä riskejä on paljon. Taulukkoon on koottu tutkimuksissa esiin tulleita, keskeisiä kyberturvallisuusriskejä ja niihin liittyviä arjessa havaittuja käytänteitä. K KYBERSOTE – KYBERTURVALLISUUTTA SOTE-ARKEEN (2024–2026) Rahoitusohjelma: Digitaalinen turvallisuus 2030 (Huoltovarmuuskeskus) Toteuttajat: Jyväskylän ammattikorkeakoulu Laurea-ammattikorkeakoulu Tampereen ammattikorkeakoulu Turun ammattikorkeakoulu Yhteistyökumppani: Keski-Suomen hyvinvointialue Projektin tavoitteet: KyberSoTe -projektin tavoitteena on sosiaali- ja terveydenhuollon organisaatioiden varautumisen, palveluiden jatkuvuuden sekä potilasturvallisuuden edistäminen kyberturvallista sote-arkea vahvistamalla. Vahvistamiseen tähdätään kahdesta näkökulmasta: 1. Lisäämällä sote-alan ammattilaisten kyberturvallisuusosaamista ja kyberturvallisten toimintamallien hyödyntämistä 2. Vahvistamalla soten ja tietohallinnon ammattilaisten välistä yhteistyötä/vuorovaikutusta kyberturvallisuuden osalta. Sote-henkilöstön kyberturvallisuusosaaminen Sosiaali- ja terveysalan ammattilaisen on tärkeää hallita kyberturvallisuus omassa roolissaan ja ammatillisissa vastuissaan. Sosiaali- ja terveysalan ammattilaisten kyberturvallisuusosaamisvaatimuksia voidaan määritellä seuraavasti (1,2): 1. Tietoturvatietoisuus • ymmärrys kyberturvallisuuden merkityksestä ja sen vaikutuksista potilastietojen suojaamiseen • tietojenkalastelun (phishing), sosiaalisen manipuloinnin (social engineering) ja muiden yleisten kyberuhkien tunnistaminen ja torjuminen 2. Tietoturvakäytännöt ja -protokollat • tietoturvaohjeiden tuntemus ja noudattaminen potilastietojen suojaamiseksi • parhaiden käytäntöjen omaksuminen tietoverkkojen ja tietojärjestelmien suojaamiseksi 3. Tekninen osaaminen • perustiedot tietoturvateknologioista, kuten palomuureista, virustorjunta- ohjelmista ja salauksesta 4. Riskienhallinta ja -arviointi • tietämys siitä, miten ihmisten tekemät virheet voivat johtaa tietoturvaloukkauksiin ja miten näitä riskejä voidaan vähentää 5. Viestintä ja raportointi • kyky kommunikoida tehokkaasti kyberturvallisuusriskeistä ja -uhkista organisaation sisällä
RkJQdWJsaXNoZXIy MjU0NTUwMw==