Potilastiedot ovat tällä hetkellä kysytyin kohde kyberrikollisten ja terroristien piirissä. Tietoturva-asiantuntija onkin huolissaan potilastietojen turvallisuudesta, kun järjestelmiä uudistetaan ja keskitetään vähemmän koordinoidusti. Tavallisilla käyttäjillä on suuri rooli.
Suuret tietomäärät eli data on nykyisin arvokasta kauppatavaraa verkon hämärällä puolella. Tietoturva-asiantuntijan mukaan potilastiedot ovat monellakin eri tavalla kysyttyjä.
– Valtiolliset toimijat voivat olla kiinnostuneita, siellä on myös yhteiskunnan avainhenkilöiden tiedot, joista voi paljastua heikkouksia, joita voidaan sitten mahdollisesti käyttää painostuskeinona, kyberturvallisuustutkija ja Cyberwatch-yrityksen toimitusjohtaja Aapo Cederberg kertoo.
Aapo Cederberg toivoisi koordinaatiota potilastietojärjestelmien rakentamisessa.
Tällaisista tiedoista moni toimija olisi valmis maksamaan ja rikolliset ovat taas valmiita tällaisia tietoja hankkimaan. Toinen rikollisia kiinnostava ansaintatapa on potilastietojen "kaappaaminen" lunnashaittaohjelmalla, jolloin rikolliset vaativat maksua tietojen palauttamista vastaan. Viime vuonna Britanniassa sairaaloiden järjestelmiin levinnyt lunnashaittaohjelma aiheutti vakavaa haittaa, vaikka hyökkäystä ei ollut kohdistettu nimen omaan potilastietojärjestelmiin.
Sairaanhoitopiirit kamppailevat kasvaneiden hyökkäysmäärien kanssa, vaikka ainakaan suoraan ei myönnetä juuri terveydenhuollon alalle kohdistuneiden hyökkäysten lisääntyneen.
– Tällaisia geneerisiä hyökkäyksiä, kuten toimitusjohtajahuijauksia, cryptologgereita ja cryptominereita, joita ei ole erityisesti meitä vastaan kohdistettu, näitä hyökkäyksiä tulee yhä enemmän, kertoo Helsingin ja Uudenmaan sairaanhoitopiirin tietohallintojohtaja Pertti Mäkelä.
Tietojen käyttäjien oltava tarkkana
Kyberturvallisuudessa tärkeää on pitää järjestelmät ajan tasalla ja muutoinkin teknisesti suojattuina. Miltei yhtä tärkeää on pitää ihmisten osaaminen ja ymmärrys päivitettynä.
– Suurin haavoittuvuushan on ihmisissä. Eli me ihmiset teemme virheitä ja monien tutkimuksien mukaan tämä niin sanottu insider-riski eli sisältäpäin tuleva riski on jo yli puolet, eli se tarkoittaa sitä, että ihmiset pitäisi kouluttaa paremmin, jotta he eivät tee tyhmiä virheitä ja sitä kautta sitten tiedot eivät vuoda, muistuttaa Aapo Cederberg.
Käytännössä vaikkapa sähköpostin liitteiden kanssa on oltava työpaikallakin erityisen tarkkana ja pohdittava, millaisilla verkkosivuilla työkoneella liikkuu.
"Enemmän yhtenäisyyttä järjestelmiin"
Tuleva sosiaali- ja terveyspalveluiden uudistus tuo mukanaan myös paineita uudistaa tietojärjestelmiä. Parhaillaan suuri potilastietojärjestelmän uudistus on meneillään muun muassa Helsingin ja Uudenmaan sairaanhoitopiirissä. Kyberturvallisuuden puolestapuhuja näkisi mieluusti enemmän koordinaatiota järjestelmien hankinnassa ja rakentamisessa.
– Ei niin, että jokainen sote-alue tai jokainen sairaanhoitopiiri hankkii omanlaisensa järjestelyn joka jotenkin sattuu heille sopimaan, koska silloin kyberturvallisuuden kokonaisuus jää helposti rakentumatta, Cederberg toteaa.