IBM:n vuotuisen tietomurtoanalyysin mukaan tietomurron keskihinta ylsi jo 4,35 miljoonaan dollariin, keskimääräisen kustannuksen kasvaessa vuosi vuodelta (Cost of Data Breach Report 2022, IBM Security).
Terveydenhuollon tietomurroissa suurin kustannusvaikutus
Merkillepantavaa on se, että organisaatioiden kohtaamien tietomurtojen määrissä on suuria toimialakohtaisia eroja, kuten Goforen Tommi Ferm totesi blogikirjoituksessaan (31.8.2022). Tehty analyysi osoittaa, että terveydenhuoltoalalla on suurin keskimääräinen tietomurron kustannusvaikutus – tämä kustannus on tietenkin pois jostakin muualta.
Terveydenhuoltoalan tietomurtojen kehityskulku onkin otettava vakavasti, sillä euromääräisten vaikutusten ja tietojen oikeudettoman paljastumisen lisäksi pelissä voi pahimmillaan olla suurin suojattava etu eli potilasturvallisuus. Vallitseva geopoliittinen tilanne näyttää tällä hetkellä suoria viitteitä siitä, että yksikään toimiala ei ole turvassa informaatiosodassa ja lopulta mikään ei ole pyhää.
Hyvinvointialueiden rakentaminen etenee hyvää vauhtia ja rinnakkaisia ratkaisuja puretaan nyt kiireen vilkkaa pois. Näin myös ICT-kentässä, jossa kuntien ja sairaanhoitopiirien omia tietojärjestelmiä yhdistetään koko hyvinvointialueen käyttöön. Muodostumassa on ainutlaatuinen kokonaisuus toimintakriittisyydeltään, teknologioiltaan ja elinkaaren vaiheiltaan erilaisia järjestelmiä.
Tulevien järjestelmien datamäärät tulevat olemaan huikeita, kun pitkään erillisissä ympäristöissä asunut data kerätään nyt yhteisiin järjestelmiin. Datojen yhdistymisessä tiedon merkityksellisyys varautumisen näkökulmasta voi kasvaa kasautumisen vaikutuksena; tämä tulisi huomioida myös tietoturvavaatimuksissa. Usein potilastieto nähdään keskeisimpänä, vaikka esimerkiksi tiedot palvelujen tuottamiseen osallistuvasta henkilöstöstä ja sidosryhmistä voivat muodostua kriittisiksi kohdattaessa erilaisia yhteiskunnallisia poikkeustilanteita.
Tietoturvan ja -suojan näkökulmasta datan luokittelu, riskien ja uhkien tunnistaminen sekä riippuvuuksien hahmottaminen ovat keskiössä. Näin syntyy ymmärrystä suojattavista kohteista ja niiden kriittisyysasteista. Kriittisyysluokittelun perusteella on puolestaan mahdollista tehdä priorisointia tietoturvan parantamistoimenpiteiden sisällä.
Kypsyystason ymmärtäminen tuo konkretiaa kehittämiseen
Tietoturvakypsyys (maturiteetti) kuvaa organisaation tietoturvakyvykkyyksien tasoa, ja sitä voidaan mitata eri viitekehyksillä. Viitekehykset tuovat määrämuotoisuutta ja tarjoavat mahdollisuuden benchmarkata omaa toimialaa muihin toimijoihin tai toimijoihin oman toimialan sisällä. Parhaimmillaan tämä synnyttää tervettä kilpailuhenkisyyttä tietoturvan parantamiseksi.
Tietoturvassa on aina viime kädessä kyse ihmisistä ja heidän tietoisuudestaan. Tästä syystä varsinaisten maturiteetti-viitekehysten rinnalla on tärkeä selvittää ihmisten muutosherkkyyttä. Kuten Taru Hermunen-Kuusela on 8.6.2022 julkaistussa blogissaan todennut, ihmislähtöinen tietoturvan tarkastelu tasapainottaa teknisesti painottunutta kyberalaa.
Hyvinvointialueiden synnyttämisen yhteydessä maturiteetin arviointi onkin hyvä työkalu kehittämisen tueksi. Ymmärrys kypsyystasosta ja ihmisten kyvystä omaksua muutoksia auttavat realistisen tietoturvatavoitetason määrittelyssä ja edelleen kehityksen vaiheistamisessa ja kehityksen etenemisen seurannassa. Riittävän tietoturvamaturiteetin saavutettuaan organisaatio kykenee varmistamaan toimintansa jatkuvuutta ja jatkuvuudella puolestaan synnytetään laadukasta asiakaspalvelua ja -kokemusta sekä turvallisuutta ja säästöjä.
Koskaan ei ole liian myöhäistä parantaa tietoturvaa
Lohdullista asiassa on, että tietoturvan parantamisen voi käynnistää vielä tänään. Kaikki toimenpiteet, joita tietoturvan parantamiseksi on tehtävissä kannattaa tehdä.
Meneillään oleva muutos on eri sidosryhmiä yhdistävä ponnistus. Kokemukset osoittavat, että yksi yhteisen kehittämisen keskeisimmistä haasteista on eri sidosryhmien vaatimusten yhteensovittaminen. Alkuvaiheessa tehty yhteisen kehittämisen hallintamalli ja vaatimusten käsittelymalli helpottavat sidosryhmien erilaisten intressien hallintaa ja vaatimusten priorisointia. Tietoturvan kehittäminen ei tee tässä poikkeusta.
Tietoturvan kehittämistä voi ja tulee mitata, jotta toimenpiteiden vaikuttavuudesta voidaan varmistua. Hallintamalli tuo kehittämiseen tarvittavan systematiikan ja se auttaa sidosryhmiä käymään keskustelua tietoturvasta ja löytämään keskeisimmät yhteiset vaatimukset.
Hyvinvointialueiden kannalta tietoturvaan panostaminen juuri tässä ajan hetkessä kannattaa, sillä sote-muutoksen rakennuspalikat ovat nyt kehittäjien käsissä – ennen kuin ne taas kiinnittyvät paikalleen – ainakin hetkeksi.