Sosiaali- ja terveyspalveluiden palvelunantajien riippuvuus IT-järjestelmistä – kyberturvallisuuden merkitys

Sosiaali- ja terveyspalveluiden tuottaminen rakentuu valtavasta määrästä erilaisia järjestelmiä, sovelluksia ja tietoliikenneyhteyksiä. Myös osapuolia on paljon – ja se ”heikoin lenkki” voi vaarantaa hyvänkin kokonaisuuden altistuessaan vähänkin vakavammalle kyberuhkalle.

Yhdeksän hyvää ja kymmenen kaunista lupausta kilpailutuksissa. Sertifikaattia toisensa päälle. Hinta houkuttelevaksi. Ja muut kaikkivoipaisuuden vakuuttelut päälle. Näistä elementeistä useimmat tarjoukset on tehty. Mutta sitten alkaakin arki ja palvelulupausten lunastaminen. Ei riitä, että järjestelmä tai palvelu toimii yhdessä yksikössä muutamalle harvalle tai valitulle vain rajoitettuina aikoina. Yleensä toimivuus on oltava varmistettuna kellon ympäri joka ikisenä päivänä – myös vika- ja häiriötilanteiden aikana.

Jo pelkkä vilkaisu esimerkiksi sosiaali- ja terveydenhuollon kokonaisarkkitehtuurin kuvauksiin tietovarannoista tai tietojärjestelmäpalveluiden jäsentelyyn saa nopeasti ymmärtämään, että taustalla on valtava määrä isompia ja pienempiä palveluntarjoajia. He ovat myös verkoston kautta useimmiten jossain riippuvuussuhteessa toisiinsa – jos ei muutoin, niin yhteentoimivuuden täytyy olla hyvin huolehdittuna. Olipa kyse paikallisesta ratkaisusta, laajasta pilvipalvelusta tai monitoimittajaympäristöstä, sijaa ylimääräisille sovittamis-, muuntamis- tai siirtämistoimille ei ole. Ei ainakaan pitäisi olla.

Tietojärjestelmien paljous ja asioiden digitaalisen hallittavuuden työläys puhuttaa paljon sote-palveluissa työskenteleviä ammattilaisia – kritiikkiäkin kuulee usein. Voisiko palata menneeseen aikaan ilman tietojärjestelmiä, tietovarantoja ja tietoliikennepalveluita – siis toimintaan ilman digitaalisia palveluita?

Mitä jos asiaa kuitenkin tarkastelisi toisinpäin? Keskityttäisiin eriyttävien seikkojen sijaan kehittäviin aiheisiin, kuten esimerkiksi:

  • Ovatko kaikki käytettävät järjestelmät ja palvelut arvioitu myös paikallisten tarpeiden näkökulmista tärkeyden mukaan priorisoituina?
  • Miten tehdään valintaa järjestelmien ylläpidosta tai saatavuudesta tilanteissa, joissa sama laajasti käytössä oleva järjestelmä on osalle palvelunantajia välttämätön ja suurelle osalle palvelunantajia sen saatavuudella ei ole mitään merkitystä? Ja kenen päätöksellä?

  • Onko riskit tunnistettu ja onko niiden varalle suunniteltu ja harjoiteltu riittävästi toiminnan jatkuvuuden varmistavia toimia? Entä kriittiseen infraan mahdollisesti tarkoituksella kohdistuvat kyberhyökkäykset, joissa rikkoontuu sekä fyysistä ympäristöä että digitaalisten palveluiden saatavuus lamautetaan?

  • Kaivetaanko ongelman esiintyessä vanhat muistiot ja valmius-, jatkuvuus- ja toipumissuunnitelmat, jonka jälkeen aletaan miettiä, että missä järjestyksessä näitä nyt pitäisikään yrittää palauttaa tai ylläpitää? Ja kun yksi tai useampi resurssi on osittain tai kokonaan pois käytettävissä ja kapasiteettia ei ihan kaikille kuitenkaan riitä...

Netum asiantuntijoineen voi auttaa ”sokeiden pisteiden” ja prosessien heikkouksien tunnistamisessa. Voimme tarjota myös sekä hallinnollista että teknistä konsultointia aina tietoturvallisuuden teknisistä tarkastuksista ja haavoittuvuusanalyyseistä dokumentaatioon tuottamiseen. Lisäksi voimme toimia vaikkapa henkilöstön perehdyttämisen tukena tai kyberuhkien uhkatilanteissa harjoitusten fasilitaattorina.

Haluatko kuulla lisää? Ota rohkeasti yhteyttä asiantuntijoihimme. Autamme mielellämme!

 

 

Arto Kangas
Johtava kyberturvallisuuskonsultti
arto.kangas(at)netum.fi

Arto Kangas, johtava kyberturvallisuuskonsultti. Arto on toiminut Netumilla turvallisuuden, tietoturvallisuuden, tietosuojan ja riskienhallinnan sekä valmius-, jatkuvuus- ja toipumissuunnittelun konsulttina vuodesta 2010 lähtien. Tietoturvallisuuden parissa hän on toiminut vuodesta 1999 alkaen ja tietosuojaan liittyviä tehtäviä on ollut noin puolet aktiivisesta työajasta jo vuodesta 2017 lähtien.

 

Haluatko lisätietoja? Ota meihin yhteyttä!