KyberSoTe-projektissa luodaan käytäntöjä kyberturvalliselle organisaatiokulttuurille
Jyväskylässä haetaan tieto-ja kyberturvallisia toimintatapoja sote-alan arkeen sekä keinoja parantaa vuorovaikutusta sote- ja IT-ammattilaisten kesken. Kolmivuotisen KyberSoTe-projektin vetovastuu on Jyväskylän ammattikorkeakoululla.
Sote-alalla nojataan vahvasti digitalisaatioon, mikä tekee sen omalla tavallaan haavoittuvaksi. Eri tietojärjestelmissä käsitellään sensitiivisiä potilas- ja terveystietoja. Käytössä on laaja skaala lääketieteellistä teknologiaa ja lääkinnällisiä laitteita, joista monet on kytketty verkkoon ja joissa liikkuu erilaista dataa.
Nämä kaikki kuuluvat sote-alan kyberturvallisuusympäristöön, johon kohdistuu lukuisia uhkia.
“Tyypillisimpiä kyberuhkia alalla ovat esimerkiksi kalasteluviestit, tietomurrot tai tietovuodot, kiristyshaittaohjelmat tai palvelunestohyökkäykset”, kertoo Jyväskylän ammattikorkeakoulun lehtori Johanna Niskakangas, joka toimii projektipäällikkönä KyberSoTe – kyberturvallisuutta sotearkeen -projektissa.
Sote-organisaatioiden on oltava kaikkiin tällaisiin uhkiin varautuneita, koska potilaiden turvallisuus ja palveluiden jatkuvuus on pystyttävä turvaamaan kaikissa tilanteissa.
Sote-henkilöstöllä halu kehittyä ja lisätä osaamista
Kolmivuotinen KyberSoTe-projekti etsii tapoja lisätä sote-alan ammattilaisten osaamista kyberturvallisuusasioissa sekä löytää sote-alan arkeen sopivia tieto- ja kyberturvallisia käytänteitä.
Alan henkilöstön keskuudessa onkin valtava kysyntä ja tarve vahvemmalle kyberosaamiselle. Jamkin vuosina 2019–2021 toteuttaman Healthcare Cyber Range -hankkeen tutkimuksen mukaan vain noin viidesosa sote-ammattilaisista koki, että heillä on alueelta varmasti riittävät taidot oman työnsä tekemiseen. Huimat 84 % toivoi lisäkoulutusta aiheesta.
“Sote-henkilöstön on tärkeä tiedostaa, että jokaisella on oma roolinsa kyberturvallisuuden varmistamisessa. Kuka tahansa voi ajattelemattomuuttaan tarjota hyökkääjälle ensimmäisen jalansijan organisaation verkkoympäristöön vaikka avaamalla epäilyttävän liitetiedoston”, Niskakangas pohtii.
IT- ja sote-ammattilaiset yhteiseen pöytään
Yksi tunnistettu haaste kyberturvallisuuden tason nostamisessa liittyy IT- ja sote-alan ammattilaisten keskinäiseen vuorovaikutukseen. Kummatkin ovat oman alansa asiantuntijoita ja hallitsevat oman alansa “kielen”, mutta yhteistä kieltä ei aina helposti löydy, vaikka tahtoa on.
Joskus asiat eivät onnistu siksi että osapuolet eivät ymmärrä toistensa arkea riittävän hyvin.
KyberSoTe-projektissa etsitään työpajatyöskentelyillä ja aiempaan kirjallisuuteen pohjautuen erilaisia tyypillisiä skenaarioita, joissa IT ja sote kaipaavat ikään kuin tulkkia ymmärtääkseen toisiaan.
“Kotihoidossa esimerkiksi saatetaan olla kohteissa, jossa ei ole verkkoa. Miten toimit oikein, jos ohjeeksi on annettu, että asiat pitää kirjata järjestelmiin välittömästi kohteessa, mutta verkkoyhteyttä ei ole? Ymmärrän hyvin, että hoitohenkilöstö saattaa turhautua IT-ohjeisiin ja tällaisia tilanteita pyrimme projektissa kartoittamaan ja ratkaisemaan, jotta jatkossa henkilöstö kykenisi toimimaan turvallisesti”, kuvaa Keski-Suomen hyvinvointialueen tietoturvapäällikkö Jari Liesoja, joka toimii KyberSoTe-projektissa ohjausryhmän puheenjohtajana.
Jokaisen panos kyberturvallisuudessa on tarpeen
Organisaatioihin on tärkeää luoda kulttuuri, jossa ymmärretään oma rooli ja vastuu kyberturvallisuuden ylläpitämisessä.
“Käytännössä tämä tarkoittaa, että esimerkiksi jos osastolla liikkuu tuntemattomia henkilöitä, niin uskalletaan kysyä, millä asioilla vieras on ja kysyä kulkulupaa. On myös tärkeää kiinnittää huomiota poikkeamiin, esimerkiksi siihen, että tietokone toimii eri lailla kuin yleensä tai epäilee vaikka klikanneensa haitallista linkkiä. Kulttuuri ei saa olla syyllistävä: On äärimmäisen tärkeää kannustaa henkilöstöä ottamaan asioita puheeksi ja ilmoittamaan niistä eteenpäin organisaation prosessien mukaisesti silloin, kun huomaa jotain kyberturvallisuutta mahdollisesti vaarantavaa”, KyberSoTe-projektissa IT-asiantuntijana toimiva Elina Suni JAMK:sta havainnollistaa.
Kyberturvallisuuden varmistamiseen ei Sunin mielestä riitä pelkät teknologiset kontrollit, vaan henkilöstön arjen kyberturvallisilla toimintatavoilla on myös suuri merkitys.
“Tavoitteemme on, että KyberSoTe-projektin avulla voimme kasvattaa sote-henkilöstön kyberturvallisuusosaamista ja itsevarmuutta, jotta he voivat jatkossa toimia arjessaan entistä turvallisemmin.”
Kolmivuotinen KyberSoTe – kyberturvallisuutta sotearkeen -projekti on osa Huoltovarmuuskeskuksen rahoittamaa Digitaalinen turvallisuus 2030 -ohjelmaa. Projektin vetovastuu on Jyväskylän ammattikorkeakoululla ja projektin osatoteuttajaorganisaatioina ovat mukana myös Laurea-ammattikorkeakoulu, Turun amk ja Tampereen amk. Kansallisen projektin tarkoituksena on rakentaa kumppanuutta myös muiden hyvinvointialueiden kanssa ja saada siten projektin tuotokset myös kansalliseen levitykseen.
Teksti: Laura Koskenrouta
