Kokonaisvaltaisen kyberturvallisuuden varmistaminen on sote-palveluissa välttämätöntä – katse usein liian kapea
Sote-palveluiden kyberturvallisuudessa huomio kiinnittyy erityisesti asiakas- ja potilastietojen tietosuojaan. Teknisiä suoja- ja turvatoimia on käytössä paljon ja digitaalisiin tietoihin pääsy onnistuu vain mahdollisimman turvallisilla ratkaisuilla. Hyvä niin, mutta valitettavasti samaan aikaan moni asia ontuu käytännön tasolla. Arjen toiminnassa tietoturva vaarantuu ja tietosuoja loukkaantuu päivittäin.
Käytännön esimerkkejä arjen tietoturvaloukkauksista
Ajanvaraus sote-palvelunantajalle puhelimitse. Käytössä on takaisinsoittopalvelu. Takaisinsoitto tapahtuu kesken työpäivää oloihin, joissa on koko ajan vieraita ihmisiä ympärillä. Uloslähtökään ei auttaisi, koska vilkkaalla alueella on aina ihmisiä liikkeellä. Ensin kysytään nimeä ja henkilötunnusta, sitten pyydetään sanelemaan kotiosoite. Jos taustahälyä on enemmän, tietoja voi joutua toistamaan ja asioita artikuloimaan tavanomaista kovemmalla äänellä. Sama toistuu myös, jos pitäisi saada puhelimitse vaikkapa tutkimustuloksia. Henkilötietoja joutuu kailottamaan sivullisten kuullen, jolloin ei voi mitenkään tietää päätyvätkö juuri ääneen lausutut tiedot esim. identiteettivarkauden välineiksi.
- Ehkä osassa tilanteita pitäisi pystyä luottamaan puheluun vastanneeseen ihmiseen sen sijaan, että henkilötietojaan joutuu kailottamaan kaiken kansan keskellä.
Toipumistilanne sairaalassa leikkausoperaation jälkeen. Samassa huoneessa on muitakin potilaita. Hoitaja kyselee koko nimen, henkilötunnuksen sekä osoitetiedot. Kotiutuvan potilaan henkilö- ja terveystiedoista keskustellaan yksityiskohtaisesti kaikkien kuullen. Uusi potilas tulee tilalle ja taas käydään läpi nimet, henkilötunnukset tai syntymäaika – sekä tietysti osoitteita ja läheisten tietoja. Artikulointi selkeytyy ja ääni hieman korottuu etenkin tilanteissa, joissa potilas tai työntekijä ei ole äidinkieleltään suomalainen.
- Suurempi luottamus fyysisesti läsnä olevan potilaan oikeaan henkilöllisyyteen voisi olla toivottavaa – useimmitenhan potilaalla on viivakoodiranneke, josta pitäisi pystyä tarkistamaan henkilöllisyys ja muut perushenkilötiedot.
Fyysinen turvallisuus sekä kulunvalvonnan ja pääsynhallinnan turvallisuus voivat myös pettää. Ovi, jonka pitäisi olla kiinni, voidaan remontti- tai huoltotoimien vuoksi jättää ja jopa kiilata auki. Kulkulätkää heilautetaan tai lainataan toiselle. Salasana tai pin-koodi on tarralapulla, joka voi näkyä sivullisille.
- ”Avointen ovien päivät” -tilanteisiin voisi järjestää henkilöitä valvontatehtäviin. Pelkästään valvontakameroita lisäämällä kaikkea ei kuitenkaan voi ratkaista, koska se vaatisi asentamisen lisäksi mahdollisesti keskusteluita uudenlaisesta valvonnasta muutoinkin.
- Tietojärjestelmien tulisi palvella käyttäjiään. Ei niin, että käyttäjät alistetaan eri tunnistautumismenetelmien multitaskaajiksi, joilla ei ole edes mahdollisuutta muistaa kaikkia eri käyttäjätunnuksia, salasanoja tai pin-koodeja.
Uudet teknologiat ovat jo arjessamme mukana
Automaatio, robotisaatio, tekoäly ja oppivat ohjelmistot auttavat jo nyt huomattavasti tietojen käsittelyssä. Ihmisinä olemme edelleen ”ruususen unessa”, jossa kuvittelemme näiden uusien tekniikoiden tulevan vasta hamassa tulevaisuudessa. Tosiasiassa ne ovat jo olemassa ja käytämme niitä lähes päivittäin – ainakin kaikki ne, joilla on älypuhelimet ja internet.
Ajankohtaisena nostona on tekoäly. Siltä voi kysyä mitä tahansa, pyytää kirjoittamaan laulun, runon tai jopa kirjan. Vain muutamassa sekunnissa saa varsin kelvollisen vastauksen tai tekstin. Tekoäly voi auttaa sote-palveluiden tarjoajia ja palveluiden käyttäjiä tiedonhaussa ja diagnosoinnissa. On inhimillistä ajatella, ettei tekoälyn tietoon voisi luottaa, mutta useimmiten tekoälyn antamat tiedot ovat täsmällisempiä ja laajempia kuin mitä asiantuntija-ihminen pystyy lyhyessä ajassa kertomaan.
Valitettavasti tekoälyä voi hyödyntää myös rikollisiin tarkoituksiin, esimerkiksi haitallisen ohjelmistokoodin tuottamiseen tai operaatioiden suunnitteluun. Voisi olettaa, että ongelma ratkeaisi kieltämällä tekoälyltä suorat rikolliset käsitteet, mutta eivät ne kyvyt ja taidot mihinkään poistu. Vain mielikuvitus on rajana, miten kiellot ja rajoitteet pystytään kiertämään esimerkiksi ilmaisemalla rikolliset asiat muilla termeillä.
Miten kokonaisvaltainen kyberturvallisuus varmistetaan?
Kybertoimintaympäristö on niin turvallinen kuin sen heikoin lenkki. Vain valituista digitaalisten turvallisuuden asioista huolehtiminen ei ratkaise kokonaisturvallisuutta, jos ns. perälauta vuotaa. Kyberturvallisuus varmistetaan tunnistamalla uhkia ja riskejä sekä suojautumalla niiltä. Toiminnan jatkuvuussuunnittelu ja palveluiden/järjestelmien toipumissuunnittelu ovat välttämättömiä huolehdittavia asioita.
Tyypillisiä kyberuhkia ovat erilaiset kyberhäiriöt ja tietoturvauhkat kuten esimerkiksi:
- Kyberrikollisuus, tietoverkkorikollisuus
- Kybervakoilu ja -operaatiot, esimerkiksi seuranta, trollaaminen tai maalitus
- Kyber- tai hybridivaikuttaminen, palvelunestohyökkäykset ja kiristyshaittaohjelmat
- Valtiollisella tasolla myös kyber-, tietoverkko- tai informaatiosodankäynti
Tietojen – myös henkilötietojen – ja niiden käsittelyn turvallisuudesta on huolehdittava riippumatta siitä, ovatko tiedot datamuotoista, printattua tai verbaalista.
Kattavan kyberturvallisuuden toteuttamisessa tulee ottaa huomioon:
- Hallinnolliset toimet kuten roolit, vastuut, periaatteet, ohjeet, koulutus ja sopimukset.
- Tekniset toimet kuten luotettavat järjestelmät, päivitykset ja vaatimustenmukaisuus.
- Valvonta- ja hälytysjärjestelmät, poikkeamien hallinnan menettelyt sekä viranomaisyhteistyö.
- Hallinnolliset ja tekniset arvioinnit, auditoinnit ja haavoittuvuuksien tarkastukset.
Tarvitessasi ammattilaisapua kyberturvallisuuden suunnitteluun, käytäntöön viemiseen, tietosuojan vaikutustenarviointeihin tai vaikkapa tekniseen tietoturvallisuuden testaamiseen, pyydä Netumin asiantuntijoita avuksesi. Pystymme auttamaan vahvan kokemuksemme ansiosta monipuolisesti niin hallinnollisissa kuin teknisissä toimissa joko kertaluonteisesti tai jatkuvana palveluna.
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Nordea - Strategic Partner, Data Strategy and Alignment
- Innofactor Oyj - Sales Manager (Data & Analytics)
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
Premium-asiakkaiden viimeisimmät referenssit
- Altoros Finland Oy - Automaattinen kestävyysraportointityökalu CSRD siirtymää varten / Sustashift
- Digiteam Oy - Verkkokaupan toteutus Apollokaihdin.fi
- Digiteam Oy - Kattokeskuksen sivut ykköseksi Googlessa
- Digiteam Oy - Kokonaisvaltainen digimarkkinoinnin kumppanuus – Case Tradehit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
Tapahtumat & webinaarit
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
- 23.01.2025 - Generatiivisen tekoälyn hyödyt liiketoimintajohtajalle
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - Miksi UPS-akuston etävalvonta on tarpeellista?
- BCS Itera Oy - Nykyaikaiset tekniset vaatimukset täyttävän tietovaraston kehittäminen
- Ready Solutions Oy - Mitä tarkoittaa sovellusten suorituskyvyn mittaaminen Azuressa?
- Enter SystemSolutions Oy - Enter Arkistointi
- Digiteam Oy - WordPressin kehitys ja viimeisimmät uudistukset
- Kisko Labs Oy - Heroku: Millaisiin projekteihin se sopii ja mitkä ovat sen todelliset hyödyt ja haitat?
- Zimple Oy - Pipedrive vai Hubspot? Kumpi kannattaa valita?
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |