Kyberturvalaki 2025 – Mitä sote-alan toimijoiden on tiedettävä? SoteTraining on apunasi!
Kyberturvallisuuslaki tulee – oletko valmis?
Aikalailla vuosi sitten kävin ensimmäisessä NIS2-lainsäädäntöön liittyvässä koulutuksessa ja tämän jälkeen olen tutustunut syvemmin lainsäädännön vaatimuksiin ja kouluttanut aiheesta itse. Koulutuksissa on ollut aistittavissa odottava kanta, sillä EU:n kyberturvadirektiiviin (NIS2) pohjautuva kansallinen lainsäädäntö on ollut pitkään valmisteltavana. Nyt viimeinkin elämme hetkeä, jolloin hallitus on esittänyt uuden kyberturvallisuuslain vahvistamista ja vaatimukset alkavat realisoitumaan lainsäädännön piiriin kuuluville toimijoille. Lakitekstiin pääset tutustumaan tästä: Kyberturvallisuuslaki
Kyberturvallisuuslain vaatimukset
Tämän NIS2-lainsäädäntöön pohjautuvan lain piirissä ovat esimerkiksi keskikokoiset ja isot terveydenhuollon toimijat, lääkevalmistajat, sekä hyvinvointialueet. Kyberturvallisuuslain vaatimukset päivitetään julkisia palveluntuottajia koskevaan julkisen hallinnon tiedonhallinta lakiin.
Jos nyt pohdit. koskeeko laki juuri sinua, kannustan jatkamaan tämän blogin lukemista. Haluan nimittäin vakuuttaa sinut siitä, että lainvaatimuksiin sisältyvä riskienhallinnan toimintamalli sekä osaamisen päivittäminen kyberturvallisuuden osalta kannattaa tehdä joka tapauksessa, koski laki teitä tai ei. Ja toisaalta jos toimit palveluntuottajana hyvinvointialueelle, on todennäköistä, että toimitusketjuturvallisuuden nimissä organisaatioltasi tullaan odottamaan varautimista myös kyberturvan saralla.
Sosiaali- ja terveydenhuollon kyberuhat TOP5
Sote-alaan kohdistuvien kyberuhkien TOP5-lista on kokolailla seuraava:
1. Kiristyshaittaohjelmat
2. Tietomurrot ja näitä seuraavat tietovuodot
3. Palvelunestohyökkäykset
4. Sosiaalinen manipulointi
5. Hyökkäykset toimitusketjujen kautta.
Varmasti suurin pelko niin sosiaali- kuin terveydenhuollon puolellakin ovat tietomurrot ja niiden seurauksena tapahtuvat tietovuodot. Väittäisin, että kukaan ei halua olla se toimija, jolta on päässyt karkaamaan asiakas- tai potilastietoja vääriin käsiin.
Sosiaali- ja terveydenhuollon tietovuotoihin sisältyy aina paljon myös tunteita riippuen toki vuodetun tiedon luonteesta. Selvää kuitenkin on, että tietovuodot lisäävät luottamuspulaa ja mainehaittaa toimijaa kohtaan, jolta tietoja on päässyt vuotamaan. Nämä molemmat puolestaan vaikuttavat lopulta myös taloudellisiin tekijöihin, ovathan sote-alan tietovuodot myös klikkiotsikoiden suosikkiaiheita. Eniten tämä näkökulma vaikuttaa sote-alan yksityisiin toimijoihin, joiden osalta luottamuspula voi johtaa jopa siihen, että yrityksellä ei ole enää liiketoimintaedellytyksiä, mikäli asiakkaat kaikkoavat tietovuodon seurauksena.
Huolenaiheet sosiaali- ja terveydenhuollon alalla
Yksistään tietovuodot eivät ole haasteellisia, vaan käytännössä kaikki asiakas- ja potilastiedoille tapahtuvat häiriöt koetaan alalla hankaliksi. Ne vaikuttavat asiakkaiden saamaan hoitoon ja hoivaan ja hidastavat selvästi palveluiden tuottamista, mikä tuo omat haasteensa tiukasti henkilömitoitetulla alalla.
Lääkinnälliset laitteet ja ohjelmistot
Lääkinnällisiin laitteisiin liittyviä huolenaiheita sivuttiinkin jo edellisessä kappaleessa, näiden osalta huolena ovat myös laitteissa havaitut haavoittuvuudet. Haavoittuvuuksien toteamisen taustalla on myös lääkinnällisiin laitteisiin liittyvä hidas byrokratia. Siinä yhteydessä, kun lääkinnällisen laitteen ohjelmistoon tehdään korjaavia toimia, tulee laitteen valmistajan varmistaa uudelleen, virallisia teitä käyttäen, laitteen vaatimustenmukaisuus. Prosessin hitaus mahdollistaa havaittujen haavoittuvuuksien potentiaalisen hyväksikäytön paljon ennen kuin korjaava versio on saatavilla (Sosiaali- ja terveysministeriö 2019, 20.).
Sosiaali- ja terveydenhuollolla käytössä olevat ohjelmistot eivät välttämättä ole aina teknologian terävintä kärkeä, vaan joissakin niistä on harjoitettu vikoja korjatessa ”paikkaa paikan päälle” -toimintamallia. Hitaat ja kankeat järjestelmät puolestaan ajavat ammattihenkilöstöä turhautumiseen, mikä taas johtaa turvattomiin ratkaisuihin. Tällöin henkilöstö saattaa tietämättään tai osittain tiedostaen esimerkiksi kiertää hitaaksi koettuja suojausmekanismeja. Näistä tyypillisin poikkeamatilanne on esimerkiksi se, että aikaa säästääkseen useampi henkilö käyttää tietojärjestelmiä yhden ja saman henkilön tunnuksilla tai oletussalasanoin tai laitteen aikalukittuminen estetään. Salasanojen kontrolleissa on siis paljon parantamisen varaa, kuten myös heikkojen salasanojen käytön yleisyydessä.
Sote-ammattikortitkaan eivät ole tuoneet tähän helpotusta, sillä kortteja saatetaan jättää vartioimatta, vaikka ne ovat henkilökorttiin verrattavissa olevia kortteja ja käyvät missä tahansa muussakin sähköisessä instanssissa tunnistautumisvälineenä (Lehto ym. 2019, 35.).
Inhimilliset uhat
Inhimillinen uhka on sosiaali- ja terveysalalla hyvin todennäköinen, onhan palveluiden tuottaminen pitkälti ihminen-ihmiselle -periaatteella toteutettavaa, jossa aikapaine on alituisesti läsnä.
Kiristyshaittaohjelmat
Kiristyshaittaohjelmat ovat alalla myös tunnettu uhka. Esimerkiksi vuonna 2017 laajalti levinnyt WannaCry-kiristyshaittaohjelma sai laajaa huomiota sen jälkeen, kun se levisi yli neljäänkymmeneen National Health Servicen organisaatioon Isossa-Britanniassa.
Saksassa puolestaan tehtiin tiettävästi ensimmäinen rikosilmoitus kiristyshaittaohjelman aiheuttamasta kuolemantapauksesta. Yliopistolliseen sairaalaan iskenyt kiristyshaittaohjelma esti kriittisessä hoidossa olleen potilaan hoidon ja häntä lähdettiin siirtämään 30 kilometrin päähän saamaan vastaavaa hoitoa. Kuljetus koitui kuitenkin potilaan kohtaloksi ja hän menehtyi.
Yhdysvalloissa vuonna 2018 terveydenhuolto oli toimialana kohteena jopa 88 % kaikista kiristyshaittaohjelmatartunnoista. Tyypillisin väylä kiristyshaittaohjelmille ovat sähköpostien liitetiedostot tai roskapostit, jotka sisältävät linkkejä ja johtavat haittaohjelmia koneelle lataavalle sivustolle. Olipa kiristyshaittaohjelman tie mikä tahansa, on taustalla kuitenkin aina inhimillinen tekijä, joka lopulta mahdollistaa haittaohjelma tartunnan (Lehto ym. 2019, 38.).
Kyberturvallisuusriskin sivuuttaminen
Vaarallisin ja suurin riski on kuitenkin ajatus siitä, että kyberturvallisuus on asia, joka ei koske omaa toimintaa. Kyberturvallisuuteen liittyvät poikkeavat tilanteet ovat tätä päivää eikä niiltä ole yksikään toimija tai yksityishenkilö suojassa. Siksi ainoa keino on olla realistinen ja varautua siihen, että jotakin tapahtuu, sillä jotakin tulee tapahtumaan, ennemmin tai myöhemmin.
100 % toimiva kyberturva, tietoturva tai edes tietosuoja ei ole mahdollinen, mutta tärkeintä on välttää pahimmat mokat. Näin varmistetaan ja turvataan asiakkaiden ja potilaiden yksityisyys parhaalla mahdollisella tavalla ja toimintaa pystytään jatkamaan häiriöistä huolimatta.
SoteTraining on apunasi
NIS2-lainsäädäntö ja siihen liittyvä kansallinen kyberturvallisuuslaki tulee voimaan 8.4.2025. Tätä varten meiltä löytyy koulutuksia niin kyberturvan perusteisiin kuin myös riskienhallinna perusteisiin ja olemme myös rakentaneet mallin NIS2-mukaisen riskienhallinnan toimintamallin rakentamista varten – kysy tästä lisää!
Tutustu verkkokursseihimme ja opiskele lisää tärkeästä asiasta helposti verkon kautta! Jos sopivan kurssin valinta mietityttää tai sinulla on kysymyksiä tulevaan kyberturvalakiin liittyen, otathan yhteyttä!
Lähteet:
Sosiaali- ja terveysministeriö 2019. Kyberturvallisuus – Ohje sosiaali- ja terveydenhuollon toimijoille. E-kirja. Saatavissa: Kyberturvallisuus Ohje sosiaali- ja terveydenhuollon toimijoille
Lehto, M., Pöyhönen, J. & Lehto, M. 2019. Kyberturvallisuus sosiaali- ja terveydenhuollossa. Loppuraportti vol. 2. Jyväskylän yliopisto. E-kirja. Saatavissa: http://urn.fi/URN:ISBN:978-951-39-7711-5