Kyberturvallisuus ja potilas
Sähkön ja tietoyhteyksien katkeaminen ja tietojärjestelmien toiminnan pysähtyminen romahduttaisi sairaalan tuottavuuden ja rajaisi potilaiden hoidon vain välttämättömimpään.
HUS:n erityistilanteiden terveydenhuoltohenkilöstön ylilääkäri Tom Silfvast toimii koordinoivana ylilääkärinä HUS yhtymähallinnon valmiusyksikössä, jossa mietitään varautumiskysymyksiä ja organisoidaan harjoittelua häiriötilanteiden varalle.
Lähes kaikki niiden toiminnassa lepää sähkön ja tietoliikenneyhteyksien varassa. Jos niitä ei ole, eri toiminnoille pitää löytää vaihtoehtoisia menetelmiä ja palata kynään ja paperiin.
”Simuloimme vuosittain järjestettävissä valmiusharjoituksissa tilanteita, joissa jokin mekanismi on pois pelistä. Testaamme, miten esimerkiksi saamme tutkimuslähetteet menemään ja miten pääsemme käsiksi tuloksiin”, Silfvast kuvaa.
”Ihmiset kyllä venyvät ja tulevat jonkin aikaa toimeen varajärjestelyillä. Mutta paperipinojen kasvaessa byrokratian pyörittäminen muuttuu yhä vaikeammaksi ja asioita joudutaan asettamaan tärkeysjärjestykseen. Toimenpiteitä yksinkertaistetaan, kiireelliset asiat ohittavat kiireettömät ja käytännössä toimitaan päivystyskapasiteetilla niin pitkälle kuin mahdollista.”
Lääkärien työn kannalta ei ole eroa siinä, aiheutuuko katkos kyberhyökkäyksestä vai jostain muusta syystä. Katkeamattoman virransyötön varmistaminen tietokoneille ja medisiinisille laitteille on joka tapauksessa tärkeä osa varautumissuunnittelua.
”Lyhytkin sähkökatko sammuttaa koneen, jolloin sen käynnistyminen uudelleen vie tietokoneiden kohdalta joitakin minuutteja ja medisiinisten laitteiden osalta jopa kymmeniä minuutteja. Eikä laitetta tai tietokonetta voi tuona aikana käyttää”, Silfvast kuvaa.
”Kriittisten järjestelmien pitää tietysti olla katkeamattoman sähkönsyötön varassa. Esimerkiksi tehohoidossa akuilla on varmennettu ainakin ne laitteet, joita tarvitaan potilasta siirrettäessä.”
Ajanvaraukset voi unohtaa
”Kaikki periaatteessa tietävät, että asiat pitää yrittää tehdä paperilla, jos tietojärjestelmä on alhaalla. Harjoituksissa kaikille on kuitenkin suuri yllätys se, kuinka työlääksi kaikki menee ja kuinka voimakkaasti omaa toimintaa pitää rajoittaa”, Silfvast sanoo.
”Jos potilastietojärjestelmä kyykkää, normaalin poliklinikkavastaanoton ylläpito käy mahdottomaksi jo sen takia, että ei tiedetä, kuka sinne on tulossa. Suunniteltu toiminta kärsii ensimmäisenä. Akuuttien päivystyspotilaitten kanssa sen sijaan pärjätään, koska heidän tuloaan ei muutenkaan voi ennakoida”, Silfvast sanoo.
”Heidänkin kohdallaan on toki riskinä, ettei kaikkea taustatietoa ole saatavissa. Silti tilanteen kriittisimmästä vaiheesta selvitään, sillä pienet testauslaitteet mahdollistavat keskeisten tutkimusten tekemisen ilman laboratorion tukea. Röntgen on jo vähän vaikeampi.”
Pitemmän ajan seuranta ja potilaan aikaisempaan hoitohistoriaan perustuva hoito on sen sijaan paljon riippuvaisempi tietojärjestelmistä.
”Koko toimintaprofiili muuttuu, koska asiat muuttuvat niin paljon vaikeammiksi. Hoidamme yksinkertaisempia asioita, ja tietyssä mielessä siirrymme ajassa taaksepäin.”
Oikea tieto tärkeää
Hoitava lääkäri tarvitsee tiedot potilaan aiemmasta hoidosta. Jos tietoja ei ole käytettävissä, potilaan on itse osattava kertoa hoitohistoriastaan. Eikä välttämättä ole selvää, että potilas esimerkiksi pystyy kertomaan, millaisen solutyypin kasvain hänellä on.
Potilasturvallisuutta uhkaa myös potilastietojen ja testitulosten vääristely esimerkiksi haittaohjelman avulla. Onneksi tällaisia tilanteita on ollut vähän.
”Vaikka laboratorioilla on mekanismit datan validointiin, siellä missä hoidetaan sairaita ihmisiä, on aina poikkeavia arvoja, eikä vääriä tuloksia välttämättä heti havaita. Tällaisten ongelmien selvittämiseen tarvitaan luonnollisesti tietojärjestelmien ja teknologian asiantuntijoita.”
Tietokonevirukset ovat maailmalla saaneet aikaan suuriakin tuhoja, mutta Suomessa niiden vaikutus on toistaiseksi ollut vähäinen. Vakavin HUS:ssa tavattu haittaohjelma oli keväällä 2017 iskenyt Wannacry-virus, joka uhkasi levitä yhden valmistajan MRI-laitteisiin, mutta jonka leviäminen saatiin onneksi estettyä ajoissa.
Britanniassa sama virus häiritsi pahasti koko kansallista terveydenhuoltoa.
”Häiriöitä palveluissa ja tietoliikenneyhteyksissä aiheutuu toki muistakin syistä. Usein kyse on toimintaympäristössä tapahtuneesta muutoksesta, esimerkiksi tietoverkossa tehdystä järjestelmäpäivityksestä, joka samalla halvaannuttaa sairaalan kunnossa olevan järjestelmän toiminnan.”
Lääkärin hyvä kyberhygienia
Harjoituksien ohella HUS:n piirissä on muutenkin nostettu esiin jatkuvuussuunnittelua esimerkiksi järjestämällä kohdennettuja seminaareja. Silfvast arvioi, että kukaan ei varmaankaan ole epätietoinen toimintaympäristön riskialttiudesta.
”Ihmisillä on ihan hyvä motivaatio puuttua asioihin ja panostaa niihin. Lääkärin työssä toimitaan joka tapauksessa prosessien mukaan, eivätkä tietohallinnon vaatimat prosessit ole siinä mielessä erityisen hankalia – eikä työntekijä niitä juuri mieti”, Silfvast sanoo.
”Kun työntekijä menee työhönsä, hänelle osoitetaan tietyt työkalut ja järjestelmät, eikä niiden turvallisuutta ajatella. Lähtökohtaisesti odotetaan että ne ovat turvallisia, ja että ’joku’ on huolehtinut siitä että kaikki on kunnossa.”
Jokainen voi silti myös itse vaikuttaa työpaikkansa tieto- ja kyberturvaan esimerkiksi lukitsemalla päätteensä aina poistuessaan työpisteeltään.
”Joku voi tunkeutua työtiloihin, eivätkä häntä silloin kiinnosta työntekijän omat tiedostot vaan pääsy hänen päätteensä kautta talon muuhun järjestelmään ja sen sisältämiin tietoihin. Samasta syystä muistitikkujen tai muiden omien laitteiden liittäminen työkoneeseen on yleensä kiellettyä.”
Tieto- ja kyberturvallisuuden perusasiat kuuluvat jokaisen yleissivistykseen. Ja se mikä menee sen yli kuuluu organisaation vastuulle.
”Jos joku ulkopuolinen pääsee istuttamaan koneesi kautta haittaohjelmia järjestelmään, hänellä on mahdollisuus päästä käsiksi niihinkin tietoihin, joihin sinulla ei ole valtuuksia.”
Kyber-terveys -hanke on osa Huoltovarmuuskeskuksen Kyber 2020 -ohjelmaa, jolla parannetaan digitalisoituvan yhteiskunnan keskeisten toimijoiden kykyä tunnistaa ja torjua kyberuhkia. Samalla kehitetään kykyä havaita kyberhyökkäysten aiheuttamat häiriötilanteet ja toipua niistä.