Blogi • 22.09.2022

Sote-muutos on mahdollisuus – myös kyberturvallisuuden näkökulmasta

Sote-muutos on mahdollisuus – myös kyberturvallisuuden näkökulmasta

Terveydenhuollon tietomurroissa suurin kustannusvaikutus

IBM:n vuotuisen tietomurtoanalyysin mukaan tietomurron keskihinta ylsi jo 4,35 miljoonaan dollariin, keskimääräisen kustannuksen kasvaessa vuosi vuodelta (Cost of Data Breach Report 2022, IBM Security). Kuten Goforen Tommi Ferm on todennut blogikirjoituksessaan (31.8.2022), merkillepantavaa on se, että organisaatioiden kohtaamien tietomurtojen määrissä on suuria toimialakohtaisia eroja. Tehty analyysi osoittaa, että terveydenhuoltoalalla on suurin keskimääräinen tietomurron kustannusvaikutus – tämä kustannus on tietenkin pois jostakin muualta. Terveydenhuoltoalan tietomurtojen kehityskulku onkin otettava vakavasti, sillä euromääräisten vaikutusten ja tietojen oikeudettoman paljastumisen lisäksi pelissä voi pahimmillaan olla suurin suojattava etu eli potilasturvallisuus. Vallitseva geopoliittinen tilanne näyttää tällä hetkellä suoria viitteitä siitä, että yksikään toimiala ei ole turvassa informaatiosodassa ja lopulta mikään ei ole pyhää.

Hyvinvointialueiden rakentaminen etenee hyvää vauhtia ja rinnakkaisia ratkaisuja puretaan nyt kiireen vilkkaa pois. Näin myös ICT-kentässä, jossa kuntien ja sairaanhoitopiirien omia tietojärjestelmiä yhdistetään koko hyvinvointialueen käyttöön. Muodostumassa on ainutlaatuinen kokonaisuus toimintakriittisyydeltään, teknologioiltaan ja elinkaaren vaiheiltaan erilaisia järjestelmiä. Tulevien järjestelmien datamäärät tulevat olemaan huikeita, kun pitkään erillisissä ympäristöissä asunut data kerätään nyt yhteisiin järjestelmiin. Datojen yhdistymisessä tiedon merkityksellisyys varautumisen näkökulmasta voi kasvaa kasautumisen vaikutuksena; tämä tulisi huomioida myös tietoturvavaatimuksissa. Usein potilastieto nähdään keskeisimpänä, vaikka esimerkiksi tiedot palvelujen tuottamiseen osallistuvasta henkilöstöstä ja sidosryhmistä voivat muodostua kriittisiksi kohdattaessa erilaisia yhteiskunnallisia poikkeustilanteita.

Tietoturvan ja -suojan näkökulmasta datan luokittelu, riskien ja uhkien tunnistaminen sekä riippuvuuksien hahmottaminen ovat keskiössä. Näin syntyy ymmärrystä suojattavista kohteista ja niiden kriittisyysasteista. Kriittisyysluokittelun perusteella on puolestaan mahdollista tehdä priorisointia tietoturvan parantamistoimenpiteiden sisällä.

Kypsyystason ymmärtäminen tuo konkretiaa kehittämiseen

Tietoturvakypsyys (maturiteetti) kuvaa organisaation tietoturvakyvykkyyksien tasoa, ja sitä voidaan mitata eri viitekehyksillä. Viitekehykset tuovat määrämuotoisuutta ja tarjoavat mahdollisuuden benchmarkata omaa toimialaa muihin toimijoihin tai toimijoihin oman toimialan sisällä. Parhaimmillaan tämä synnyttää tervettä kilpailuhenkisyyttä tietoturvan parantamiseksi. Tietoturvassa on aina viime kädessä kyse ihmisistä ja heidän tietoisuudestaan. Tästä syystä varsinaisten maturiteetti-viitekehysten rinnalla on tärkeä selvittää ihmisten muutosherkkyyttä. Kuten Taru Hermunen-Kuusela on 8.6.2022 julkaistussa blogissaan todennut, ihmislähtöinen tietoturvan tarkastelu tasapainottaa teknisesti painottunutta kyberalaa.

Hyvinvointialueiden synnyttämisen yhteydessä maturiteetin arviointi onkin hyvä työkalu kehittämisen tueksi. Ymmärrys kypsyystasosta ja ihmisten kyvystä omaksua muutoksia auttavat realistisen tietoturvatavoitetason määrittelyssä ja edelleen kehityksen vaiheistamisessa ja kehityksen etenemisen seurannassa. Riittävän tietoturvamaturiteetin saavutettuaan organisaatio kykenee varmistamaan toimintansa jatkuvuutta ja jatkuvuudella puolestaan synnytetään laadukasta asiakaspalvelua ja -kokemusta sekä turvallisuutta ja säästöjä.

Koskaan ei ole liian myöhäistä parantaa tietoturvaa

Lohdullista asiassa on, että tietoturvan parantamisen voi käynnistää vielä tänään. Kaikki toimenpiteet, joita tietoturvan parantamiseksi on tehtävissä kannattaa tehdä.

Meneillään oleva muutos on eri sidosryhmiä yhdistävä ponnistus. Kokemukset osoittavat, että yksi yhteisen kehittämisen keskeisimmistä haasteista on eri sidosryhmien vaatimusten yhteensovittaminen. Alkuvaiheessa tehty yhteisen kehittämisen hallintamalli ja vaatimusten käsittelymalli helpottavat sidosryhmien erilaisten intressien hallintaa ja vaatimusten priorisointia. Tietoturvan kehittäminen ei tee tässä poikkeusta. Tietoturvan kehittämistä voi ja tulee mitata, jotta toimenpiteiden vaikuttavuudesta voidaan varmistua. Hallintamalli tuo kehittämiseen tarvittavan systematiikan ja se auttaa sidosryhmiä käymään keskustelua tietoturvasta ja löytämään keskeisimmät yhteiset vaatimukset.

Hyvinvointialueiden kannalta tietoturvaan panostaminen juuri tässä ajan hetkessä kannattaa, sillä sote-muutoksen rakennuspalikat ovat nyt kehittäjien käsissä – ennen kuin ne taas kiinnittyvät paikalleen – ainakin hetkeksi.

Varmista digitaalisten palveluidesi laatu ja​ turvallisuus

KLIKKAA TÄSTÄ MIELENRAUHAA

Markus Asikainen

Markus toimii Goforella kyberturvaliiketoiminnasta vastaavana johtajana. Markuksella on monipuolinen työhistoria turvallisuusviranomaistoiminnasta ja korkean turvallisuuden liiketoiminnasta. Kyberturvallisuus, resilienssi ja useiden virastojen yhteiset kehitysprojektit ovat olleet isossa roolissa hänen tähänastisella työurallaan. Ennen siirtymistään yksityiselle sektorille Markus on työskennellyt erilaisissa julkishallinnon organisaatioissa, kuten Poliisihallituksessa, sisäministeriössä ja Hätäkeskuslaitoksella. Markuksella on kauppatieteiden maisterin tutkinto Jyväskylän yliopistosta ja hän on lisäksi valmistunut Pelastusopistosta.

Linkedin profile

Piditkö lukemastasi? Jaa se myös muille.