Kokonaisvaltaisen kyberturvallisuuden varmistaminen on sote-palveluissa välttämätöntä – katse usein liian kapea
Sote-palveluiden kyberturvallisuudessa huomio kiinnittyy erityisesti asiakas- ja potilastietojen tietosuojaan. Teknisiä suoja- ja turvatoimia on käytössä paljon ja digitaalisiin tietoihin pääsy onnistuu vain mahdollisimman turvallisilla ratkaisuilla. Hyvä niin, mutta valitettavasti samaan aikaan moni asia ontuu käytännön tasolla. Arjen toiminnassa tietoturva vaarantuu ja tietosuoja loukkaantuu päivittäin.
Käytännön esimerkkejä arjen tietoturvaloukkauksista
Ajanvaraus sote-palvelunantajalle puhelimitse. Käytössä on takaisinsoittopalvelu. Takaisinsoitto tapahtuu kesken työpäivää oloihin, joissa on koko ajan vieraita ihmisiä ympärillä. Uloslähtökään ei auttaisi, koska vilkkaalla alueella on aina ihmisiä liikkeellä. Ensin kysytään nimeä ja henkilötunnusta, sitten pyydetään sanelemaan kotiosoite. Jos taustahälyä on enemmän, tietoja voi joutua toistamaan ja asioita artikuloimaan tavanomaista kovemmalla äänellä. Sama toistuu myös, jos pitäisi saada puhelimitse vaikkapa tutkimustuloksia. Henkilötietoja joutuu kailottamaan sivullisten kuullen, jolloin ei voi mitenkään tietää päätyvätkö juuri ääneen lausutut tiedot esim. identiteettivarkauden välineiksi.
- Ehkä osassa tilanteita pitäisi pystyä luottamaan puheluun vastanneeseen ihmiseen sen sijaan, että henkilötietojaan joutuu kailottamaan kaiken kansan keskellä.
Toipumistilanne sairaalassa leikkausoperaation jälkeen. Samassa huoneessa on muitakin potilaita. Hoitaja kyselee koko nimen, henkilötunnuksen sekä osoitetiedot. Kotiutuvan potilaan henkilö- ja terveystiedoista keskustellaan yksityiskohtaisesti kaikkien kuullen. Uusi potilas tulee tilalle ja taas käydään läpi nimet, henkilötunnukset tai syntymäaika – sekä tietysti osoitteita ja läheisten tietoja. Artikulointi selkeytyy ja ääni hieman korottuu etenkin tilanteissa, joissa potilas tai työntekijä ei ole äidinkieleltään suomalainen.
- Suurempi luottamus fyysisesti läsnä olevan potilaan oikeaan henkilöllisyyteen voisi olla toivottavaa – useimmitenhan potilaalla on viivakoodiranneke, josta pitäisi pystyä tarkistamaan henkilöllisyys ja muut perushenkilötiedot.
Fyysinen turvallisuus sekä kulunvalvonnan ja pääsynhallinnan turvallisuus voivat myös pettää. Ovi, jonka pitäisi olla kiinni, voidaan remontti- tai huoltotoimien vuoksi jättää ja jopa kiilata auki. Kulkulätkää heilautetaan tai lainataan toiselle. Salasana tai pin-koodi on tarralapulla, joka voi näkyä sivullisille.
- ”Avointen ovien päivät” -tilanteisiin voisi järjestää henkilöitä valvontatehtäviin. Pelkästään valvontakameroita lisäämällä kaikkea ei kuitenkaan voi ratkaista, koska se vaatisi asentamisen lisäksi mahdollisesti keskusteluita uudenlaisesta valvonnasta muutoinkin.
- Tietojärjestelmien tulisi palvella käyttäjiään. Ei niin, että käyttäjät alistetaan eri tunnistautumismenetelmien multitaskaajiksi, joilla ei ole edes mahdollisuutta muistaa kaikkia eri käyttäjätunnuksia, salasanoja tai pin-koodeja.
Uudet teknologiat ovat jo arjessamme mukana
Automaatio, robotisaatio, tekoäly ja oppivat ohjelmistot auttavat jo nyt huomattavasti tietojen käsittelyssä. Ihmisinä olemme edelleen ”ruususen unessa”, jossa kuvittelemme näiden uusien tekniikoiden tulevan vasta hamassa tulevaisuudessa. Tosiasiassa ne ovat jo olemassa ja käytämme niitä lähes päivittäin – ainakin kaikki ne, joilla on älypuhelimet ja internet.
Ajankohtaisena nostona on tekoäly. Siltä voi kysyä mitä tahansa, pyytää kirjoittamaan laulun, runon tai jopa kirjan. Vain muutamassa sekunnissa saa varsin kelvollisen vastauksen tai tekstin. Tekoäly voi auttaa sote-palveluiden tarjoajia ja palveluiden käyttäjiä tiedonhaussa ja diagnosoinnissa. On inhimillistä ajatella, ettei tekoälyn tietoon voisi luottaa, mutta useimmiten tekoälyn antamat tiedot ovat täsmällisempiä ja laajempia kuin mitä asiantuntija-ihminen pystyy lyhyessä ajassa kertomaan.
Valitettavasti tekoälyä voi hyödyntää myös rikollisiin tarkoituksiin, esimerkiksi haitallisen ohjelmistokoodin tuottamiseen tai operaatioiden suunnitteluun. Voisi olettaa, että ongelma ratkeaisi kieltämällä tekoälyltä suorat rikolliset käsitteet, mutta eivät ne kyvyt ja taidot mihinkään poistu. Vain mielikuvitus on rajana, miten kiellot ja rajoitteet pystytään kiertämään esimerkiksi ilmaisemalla rikolliset asiat muilla termeillä.
Miten kokonaisvaltainen kyberturvallisuus varmistetaan?
Kybertoimintaympäristö on niin turvallinen kuin sen heikoin lenkki. Vain valituista digitaalisten turvallisuuden asioista huolehtiminen ei ratkaise kokonaisturvallisuutta, jos ns. perälauta vuotaa. Kyberturvallisuus varmistetaan tunnistamalla uhkia ja riskejä sekä suojautumalla niiltä. Toiminnan jatkuvuussuunnittelu ja palveluiden/järjestelmien toipumissuunnittelu ovat välttämättömiä huolehdittavia asioita.
Tyypillisiä kyberuhkia ovat erilaiset kyberhäiriöt ja tietoturvauhkat kuten esimerkiksi:
- Kyberrikollisuus, tietoverkkorikollisuus
- Kybervakoilu ja -operaatiot, esimerkiksi seuranta, trollaaminen tai maalitus
- Kyber- tai hybridivaikuttaminen, palvelunestohyökkäykset ja kiristyshaittaohjelmat
- Valtiollisella tasolla myös kyber-, tietoverkko- tai informaatiosodankäynti
Tietojen – myös henkilötietojen – ja niiden käsittelyn turvallisuudesta on huolehdittava riippumatta siitä, ovatko tiedot datamuotoista, printattua tai verbaalista.
Kattavan kyberturvallisuuden toteuttamisessa tulee ottaa huomioon:
- Hallinnolliset toimet kuten roolit, vastuut, periaatteet, ohjeet, koulutus ja sopimukset.
- Tekniset toimet kuten luotettavat järjestelmät, päivitykset ja vaatimustenmukaisuus.
- Valvonta- ja hälytysjärjestelmät, poikkeamien hallinnan menettelyt sekä viranomaisyhteistyö.
- Hallinnolliset ja tekniset arvioinnit, auditoinnit ja haavoittuvuuksien tarkastukset.
Tarvitessasi ammattilaisapua kyberturvallisuuden suunnitteluun, käytäntöön viemiseen, tietosuojan vaikutustenarviointeihin tai vaikkapa tekniseen tietoturvallisuuden testaamiseen, pyydä Netumin asiantuntijoita avuksesi. Pystymme auttamaan vahvan kokemuksemme ansiosta monipuolisesti niin hallinnollisissa kuin teknisissä toimissa joko kertaluonteisesti tai jatkuvana palveluna.
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Fellowmind - Senior UI/UX Designer
- Fellowmind - Business Intelligence Consultant
- Laura - Gaming Product Security Lead
- Laura - Suunnittelupäällikkö – TECH
- Innofactor Oyj - Sales Manager (Dynamics 365)
- Innofactor Oyj - Azure Data Engineer
- Innofactor Oyj - Konsultti, Finance & Operations (Dynamics 365)
Premium-asiakkaiden viimeisimmät referenssit
- SD Worx - Säästöjä, sujuvuutta ja varmuutta pilvipalveluiden avulla
- SD Worx - Stella hankki tarpeitansa vastaavan palkkajärjestelmän – nyt säästyy monta työpäivää kuukaudessa
- Vetonaula Oy - Vetonaula HTJ:n liiketoiminnan kasvun mahdollistajana
- SD Worx - LUMENE ja SD Worx yhteistyössä jo yli 10 vuotta
- Pengon Oy - Molokin vastuullisuusraportointi pohjaa ajantasaiseen ja automatisoituun dataan
- Pengon Oy - Tiedolla johtaminen tuo Toyota Tammer-Autolle kilpailuedun markkinoilla
- SD Worx - Bilfingerin palkkaprosessiin kaivattua tehokkuutta SD Worxin palkkapalvelun avulla
Tapahtumat & webinaarit
- 13.11.2024 - Rakettiwebinaari: ohjelmistotestaus ja sen tulevaisuus
- 13.11.2024 - Miten palvelumuotoilu poistaa epävarmuutta digi-investoinneista?
- 14.11.2024 - RoimaDay 2024
- 14.11.2024 - Verkkolaskufoorumin syysseminaari 2024
- 14.11.2024 - Tervetuloa syventymään NIS2 -direktiiviin torstaina 14.11. klo 9 - 9.45
- 19.11.2024 - The Future of Software - Embracing Collaboration in an AI-Powered World
- 19.11.2024 - Tehokkuutta ja säästöjä low-code-ratkaisuilla
Premium-asiakkaiden viimeisimmät bloggaukset
- Vetonaula Oy - 10 kyberturvallisuusvinkkiä yrityksille
- Vetonaula Oy - Dropbox-hyökkäykset ja kalasteluviestit: Mitä toimenpiteitä tulisi tehdä?
- SD Worx - Miten generatiivinen tekoäly vaikuttaa työntekijäkokemukseen?
- SD Worx - Kaipaatko lisää tehokkuutta ja tarkkuutta? On aika hyödyntää automaatiota HR:ssä ja palkanlaskennassa
- SD Worx - Miten ESG-raportointi voi vahvistaa HR:n asemaa?
- SD Worx - Palkanmaksu ei voi katketa, vaikka palkka-asiantuntija olisi poissa – ennakoi, varaudu ja hanki erityisosaaja avuksi
- SD Worx - 7 yleisintä piilokustannusta, joita aiheutuu, jos HR:n digitalisointiin ei investoida
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |