Digitalisaation aiheuttama nopea muutos on tuonut lääkärin työhön uuden huomioon otettavan asian – kyberturvallisuuden. Lääkinnälliset laitteet ja sairaaloiden tietojärjestelmät ovat yhä enemmän kytkettyjä tietoverkkoihin, toisiin tietojärjestelmiin ja internetiin, mikä voi tehostaa hoitotyötä, mutta samalla tuo tullessaan kyberuhkia, jotka voivat vaarantaa niin potilasturvallisuuden kuin potilaiden yksityisyydensuojankin.
Huoltovarmuuskeskuksen vuonna 2017 käynnistämässä Kyber-Terveys-hankkeessa kehitetään yhdessä sairaanhoitopiirien kanssa terveydenhuollon sektorin varautumista erilaisiin kyberuhkiin. Kehittämisen keskiössä on varmistaa potilasturvallisuuden toteutuminen potilastyössä. Henkilöstön kyberosaamisen kehittäminen on yksi osa kyberuhkiin varautumista.
Työpaikankaan tietoturva ei ole aukotonta
Eräänä iltana selaillessani kotisohvalla yksityistä sähköpostiani huomasin kiinnostavan viestin liittyen viimeaikaisiin uutisiin koronaviruksen hoitomenetelmistä. Viestissä viitattiin liitetiedostosta löytyviin lisätietoihin, mutta jokin sai minut epäröimään liitetiedoston avaamista. Aihe kuitenkin ajankohtaisuutensa vuoksi kiinnosti.
Hetken mietittyäni tajusin, että meillä on työpaikalla tietoturva varmasti paljon paremmalla tolalla kuin omassa koneessani. Uskaltaisin siis hyvin avata liitteen työpaikalla – kyllähän työkoneeni virusohjelma hälyttää, jos tiedostossa on jotain pielessä.
Aamulla kirjauduin työkoneellani yksityiseen sähköpostiini ja avasin viestin. Klikkasin liitetiedoston auki, mutta dokumentti avautui aivan tyhjänä. Yritin uudelleen – sama lopputulos. Koneen prosessori tuntui kuitenkin käyvän täydellä teholla. Tajusin, että taisin mokata – liitetiedostossa oli varmasti virus. Olikohan se jo ehtinyt aiheuttaa ongelmia koneelleni? Päätin, että kannan vastuuni ja ilmoitan tapauksesta IT-tukeen.
IT-tuesta minua pyydettiin välittömästi sulkemaan tietokoneeni WIFI-yhteys työpaikan verkkoon. IT-palveluntarjoajan tietoturva-asiantuntija tulikin hetken kuluttua tarkistamaan konettani ja ajoi sille virustarkistuksen. Koneeltani ei kuulemma löytynyt haittaohjelmaa, mutta koska tilanteessa oli asiantuntijan mukaan epäilys liitetiedoston aiheuttamasta koneen saastumisesta, lähetettiin kopio liitetiedostosta Kyberturvallisuuskeskukselle tarkemmin analysoitavaksi.
Vastaus tuli parissa tunnissa. Tietoturva-asiantuntijan mukaan kyseisestä liitetiedostosta oli löytynyt tunnetun haittaohjelman uusi variantti, jota työpaikan virusskanneri ei vain vielä osannut tunnistaa haittaohjelmaksi.
Loppujen lopuksi IT-tuessa jouduttiin tutkimaan tarkemmin, oliko työkoneeseeni tarttunut haittaohjelma aiheuttanut koneeni tiedostoille ongelmia tai oliko se jopa ehtinyt levittää itseään verkossa eteenpäin. Nolotti, kun mokani vuoksi aiheutin heille niin paljon ylimääräistä työtä. Kuulemma siitä tuli sairaanhoitopiirille myös ylimääräinen lasku IT-palveluntarjoajalta. IT-tuesta kuitenkin kiitettiin minua siitä, että olin ollut aktiivinen ja ilmoitin ongelmasta välittömästi heille. Näin virus ei päässyt aiheuttamaan vakavampia tuhoja. Jatkossa olenkin entistä tarkempi ja muistan, ettei työpaikankaan ICT-ympäristö ole täydellisesti turvassa erilaisia viruksia vastaan.
Erilaiset tietoja kalastelevat ja haittaohjelmia sisältävät sähköpostit ovat hyvin yleisiä tietoturvaan liittyviä uhkia tänä päivänä. Yllä kerrotun tarinan kaltaisia tapahtumia tulee ilmi myös terveydenhuollon organisaatioissa aina silloin tällöin. Kaikkien terveydenhuollon työntekijöiden onkin oltava valppaina sähköpostiensa kanssa.
Mieti ennen kuin klikkaat
- Varmista, onko sähköpostiviesti tullut oikealta henkilöltä. Viestin lähettäjäkentän tiedot ovat helposti väärennettävissä.
- Lähettäjän sähköpostitili voi olla myös kaapattu. Jos et tunne viestin lähettäjää, suhtaudu viestin sisältöön epäillen.
- Älä lähetä epäilyttäviä viestejä eteenpäin.
- Tarkkaile viestin ulkoasua ja kielioppia. Huono kielioppi paljastaa helposti huijauksen, mutta muista, että tänä päivänä huijausviesteissä voi olla myös täydellistä suomea.
- Jos et tunne sinua lähestyvää yritystä etkä muista antaneesi yritykselle yhteystietojasi, ole tarkkana.
Tietoturvaosaaminen on yhä tärkeämpi osa lääkärin työtä
Digitalisaation aiheuttama muutos näkyy lääkärin arjessa monella tapaa. Uudet lääkinnälliset laitteet, älykkäät sensorit ja ohjelmistot sekä robotiikka ja tekoäly yhdistettynä uusiin tehokkaampiin tietoverkkoihin ja pilvipalveluihin muodostavat yhä laajempia kokonaisuuksia ja lääkärille uudenlaisen toimintaympäristön. Nämä laajamittaiset muutokset ja uudenlaiset toimintaympäristöt vaativat jatkuvaa uuden oppimista. Samalla tulee huolehtia siitä, että myös lääkärin arjen tietoturvaosaaminen pysyy ajan tasalla.
Terveydenhuollon toimintaympäristön murroksessa tietoturvasta on tullut yhä tärkeämpi osa potilasturvallisuutta. Potilastietojen muuttuminen tietojärjestelmissä vahingossa tai tahallaan tehtynä voi johtaa vääriin diagnooseihin. Toisaalta tietoturvaa on myös se, että kaikki tarvittava potilastieto on saatavilla ja käytettävissä silloin, kun hoitotoimenpiteistä päätetään. Potilastiedot eivät saa myöskään päätyä vääriin käsiin, koska tällöin vaarannetaan myös potilaan yksityisyyden suoja.
Tietoturvan ja tietosuojan vaarantuminen näkyy lääkärin työssä monella tavoin. Koronapandemian aikana ovat erilaiset etätyövälineet nousseet otsikoihin niin hyvässä kuin pahassa. Keväällä saattoi nopean etäopetukseen siirtymisen myötä tulla tarve lainata omalle lapselle työkonetta, jotta hän pystyi seuraamaan livetuntia etäkoulussa. Ei ole kuitenkaan hyväksyttävää luovuttaa työnantajan laitteita muiden käyttöön.
Nuorista lääkäreistä varmasti suurin osa käyttää sujuvasti WhatsAppia ja muita vastaavia pikaviestipalveluita. Muistetaanko aina, millaisia tietoturvauhkia niiden käyttöön liittyy? Lääkärin työssä käsitellään paljon arkaluontoista potilastietoa. Voi olla houkuttelevaa lähettää kollegalle pikainen konsultointipyyntö WhatsAppilla.
Lääkärin tulee kuitenkin muistaa, ettei potilastietoja saa käsitellä sellaisilla sovelluksilla ja laitteilla, joita työnantaja ei ole hyväksynyt potilastietojen käsittelyyn. Oman organisaation IT-yksikkö tarjoaa lähtökohtaisesti kaikki tällaiset palvelut. Jos terveydenhuollon organisaatiossa halutaan ottaa käyttöön jokin uusi sovellus, kuten pikaviestipalvelu, sen käyttöönotosta tulisi aina ensin keskustella IT-yksikön kanssa. Tällöin IT- tai tietoturvayksikön tehtävänä on selvittää, voidaanko kyseistä ratkaisua käyttää turvallisesti osana sairaalan tietojärjestelmiä.
Joskus potilaan tietoihin kirjataan vahingossa väärän potilaan hoitotietoja. Tämä voi tapahtua esimerkiksi tilanteissa, joissa yhteiskäytössä oleva tietokone joudutaan pitämään auki yhden työntekijän tunnuksilla, mutta useampi työntekijä käy tekemässä potilastietojärjestelmään kirjauksia eri potilaista. Näissä poikkeustapauksissa tietojärjestelmän käyttäjän tulee olla erityisen huolellinen ja noudattaa annettuja ohjeita.
Lääkintälaitteidenkin käyttöön liittyy erilaisia kyberuhkia
Lääkinnälliset laitteet eivät ole turvassa kyberuhkilta. Kun mikä tahansa laite on kytketty tietoverkkoon, se voi altistua erilaisille haittaohjelmille. Esimerkiksi vuonna 2017 myös terveydenhuollon sektorilla vahinkoja aiheutti WannaCry-kiristyshaittaohjelma, jonka myötä Suomessakin koettiin läheltä piti -tilanteita. Sairaalan palomuuri esti pahemmat vahingot, mutta virus haittasi muun muassa joidenkin sädehoidossa käytettävien laitteiden toimintaa. Potilastiedot eivät onneksi tässä tapauksessa vaarantuneet. Taustalla oli se, että kuvantamislaitteiden toiminta sairaalan verkkoympäristössä oli osittain liian heikosti suojattu ulkopuolisilta kyberuhkilta.
Kun potilastyöhön käytetyn laitteen tietoturva pettää, sillä on usein myös suoria vaikutuksia potilasturvallisuuteen. Voi olla, että laite ei toimi lainkaan tai siitä ei saada ulos tarvittavaa mittaustulosta, tai tulos on viruksen vuoksi jotain muuta kuin oikea mitattu tieto. Kun haittaohjelma tarttuu lääkintälaitteeseen, sen käyttäjä saattaa havaita esimerkiksi laitteen outoa hidastumista tai jumiutumista. Tällaisista tilanteista kannattaakin raportoida välittömästi laitteesta tai tietoturvasta vastaaville henkilöille oman organisaation toimintamallien mukaisesti, tai esimerkiksi HaiPro-ilmoituksella, mikäli ongelma on haitannut potilastyötä.
Lääkinnällisten laitteiden kyberuhkat eivät rajoitu vain tietoverkoista tarttuviin haittaohjelmiin. Myös laitteiden jokapäiväisessä käytössä tulee huomioida kyberuhkat uudella tavalla. Laitteisiin voi tartuttaa viruksen huonolla kyberhygienialla, esimerkiksi käyttämällä varomattomasti USB-muistitikkuja eri laitteiden ja tietojärjestelmien välillä. Saman USB-tikun käyttäminen eri paikoissa esimerkiksi luentomateriaalin, tutkimustyön tai omien tiedostojen siirtämiseen sairaalan, yliopiston ja oman tietokoneen välillä voi vaarantaa sairaalan tietoturvan. On hyvä myös muistaa, että lääkintälaitteen USB-porttia ei ole tarkoitettu puhelimen lataamiseen. Lääkinnällisten laitteiden tietoturva vaatiikin yhä enemmän huolellisuutta myös laitteiden käyttäjiltä.
Pidä tietoturvaosaamisesi ajan tasalla
Digitalisaatio muuttaa lääkärin työtä merkittävästi. Se tehostaa toimintaa ja tuo uudenlaisia lääkinnällisiä laitteita ja tietojärjestelmiä osaksi potilastyötä. Kun laitteet ja järjestelmät ovat enemmän kytköksissä tietoverkkoihin, nousee tietoturva yhä tärkeämpään asemaan, jotta potilastyössä käytettävän tiedon luottamuksellisuus, eheys ja saatavuus voidaan turvata. Lääkärin on syytä seurata eri lähteistä saatavilla olevaa tietoa uusista kyberuhkista – kyberuhkat kun voivat toteutua myös omalla työpaikalla. Lääkäreiden tuleekin ylläpitää omaa kyberosaamistaan siinä missä muitakin arjen taitojaan.
Näin kehität tietoturvaosaamistasi:
- Suorita Oppiportin tietoturvakurssi ”Tietoturva sosiaali- ja terveydenhuollossa”
- Tutustu Kyberturvallisuuskeskuksen oppaaseen ”Näin pidät huolta tietoturvasta kotona ja työpaikalla”
- Seuraa uutisointia erilaisista kyberuhkista ja kuinka niihin kannattaa reagoida
- Ota tietoturva-asiat puheeksi myös kollegoidesi kanssa – kysy, ihmettele ja kyseenalaista!
Teksti:
Petri Tolonen (vasen kuva)
Pekka Vepsäläinen (oikea kuva)
Kirjoittajat ovat projektipäällikköjä Huoltovarmuuskeskuksen Kyber-Terveys-hankkeessa.
Kirjallisuutta
Aysha A & Wael E-M. (2017). The Effects of Cyber-Security on Healthcare industry. IEEE Conference Publications. IEEE Journal & Magazines. Doi: 10.1109/IEEEGCC.2017.8448206
Cauševic A, Fotouhi H, Lundqvist K. (2017) Data Security and Privacy in Cyber-Physical Systems for Healthcare. John Wiley & Sons Ltd. https://doi.org/10.1002/9781119226079.ch15
ENISA. (2016). Cyber security and resilience for Smart Hospitals. Haettu osoitteesta https://www.enisa.europa.eu/publications/cyber-security-and-resilience-for-smart-hospitals
Helovuo A, Kinnunen M, Kuosmanen A., Peltomaa K. (2015). Potilasturvallisuus ja riskien hallinta – opas sosiaali- ja terveydenhuollon asiantuntijoille ja johdolle. Suomen Potilasturvallisuusyhdistys ry. ISBN 978-952-93-6301-8
Huoltovarmuuskeskus. (2019). Terveydenhuollossa varaudutaan kyberuhkia vastaan. Haettu osoitteesta https://www.huoltovarmuuskeskus.fi/terveydenhuollossa-varaudutaan-kyberuhkia-vastaan/
Kyberturvallisuuskeskus. (2019). Netiketti – Verkossa liikkujan työkalupakki. Haettu osoitteesta https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/netiketti-verkossa-liikkujan-tyokalupakki
Lääkärilehti. (8.6.2017). WannaCry-haittaohjelmisto löytyi Tyksistä. (Keränen T.) Haettu osoitteesta https://www.laakarilehti.fi/ajassa/ajankohtaista/wannacry-haittaohjelma-loytyi-tyks-sta/