Töissä.
Sairaanhoitajat kertovat tällä palstalla, mitä työelämässä tapahtuu.
Teksti Tiina Blek, lehtori, Jyväskylän ammattikorkeakoulu, (Tiina.Blek@jamk.fi); Jaana Mäkelä, asiantuntija, Jyväskylän ammattikorkeakoulu; Tytti Solankallio-Vahteri, päällikkö, Jyväskylän ammattikorkeakoulu; Jani Päijänen, projektipäällikkö, Jyväskylän ammattikorkeakoulu Kuvat Mikko Vähäniitty
Vaarattomasti verkossa
Sosiaali- ja terveydenhuoltoon kohdistuu kyberuhkia päivittäin. JAMK on kehittänyt sairaanhoitajakoulutusta ehkäisemään ja havaitsemaan tietoverkkojen viruksia ja haavoittuvuuksia. Tavoitteena on potilasturvallisuuden parantaminen.
Jyväskylän ammattikorkeakoulun sairaanhoitaja- ja kätilöopiskelijat saavat pian aiempaa paremmat valmiudet hoitotyön tieto- ja kyberturvallisuuden huomioimiseen. Tutkintokoulutus alkaa uudenlaisena tulevana syksynä.
Kyberturvallisuusosaamista kehittämällä turvataan hoidon turvallisuutta ja laadukkuutta. Alalle valmistuvat saavat koulutuksen aikana valmiuksia tieto- ja kyberturvallisuushyökkäysten ennaltaehkäisemiseen sekä riittävän osaamisen tietojärjestelmän ja lääkintälaitteen poikkeavan toiminnan havaitsemiseen ja poikkeavassa tilanteessa toimimiseen.
Vuonna 2018 julkaistun HIMMS-järjestön kyberturvallisuusraportin mukaan 76 prosenttia terveysalan organisaatioista oli kokenut merkittävän kyberturvallisuusuhan kuluneen 12 kuukauden aikana.
Terveydenhuoltoala onkin noussut esimerkiksi tietomurtojen ykköskohteeksi. Syynä tähän on muun muassa se, että potilastietojärjestelmän sisältämät tiedot ovat niin sanotuilla pimeillä markkinoilla arvokkaampaa kauppatavaraa kuin luottokorttitieto.
Yhden potilastietojärjestelmätiedon arvoksi on arvioitu noin 46 euroa. Kun huomioidaan, että yhdellä tietomurrolla voidaan saada käsiin jopa miljoonia tietueita, ymmärretään miksi sairaalajärjestelmät ovat alttiita kyberhyökkäyksille.
Kyberturvallisuusuhkia ovat tietomurtojen lisäksi esimerkiksi erilaiset virukset ja haittaohjelmat. Erityisesti kiristyshaittaohjelmat ovat lisääntyneet vuoden 2016 jälkeen.
Rikolliset ovat huomanneet, että tietojärjestelmät ovat elintärkeitä sairaalan toiminnan kannalta ja että organisaatiot ovat valmiita maksamaan lunnaita, jotta saavat tiedot takaisin käyttöönsä. Tällaisen kiristyshaittaohjelman tiedetään Suomessa löytyneen muun muassa Turun yliopistollisen keskussairaalan kuvantamiseen liittyvistä tietokoneista (2017).
Myös muista haittaohjelmista on Suomessa raportoituja kokemuksia. Kesällä 2019 hyökkäys Lahden tietojärjestelmiin esti potilastietojen katsomisen ja kirjaamisen sekä verikokeiden ja röntgenkuvien tulosten tarkastelun.
HIMMSin vuonna 2018 julkaistussa raportissa nousi esiin kolme yleisintä syytä terveydenhuollon kyberturvallisuusuhkille. Runsas kolmannes (38 %) uhkista aiheutui verkkohuijareiden tietojenkalasteluviesteistä. Noin viidennes (21 %) uhkista oli seurausta organisaation oman henkilöstön huolimattomasta tietojärjestelmiin liittyvästä toiminnasta. Viidennes uhkista (20 %) johtui tietoverkkoihin tunkeutuvista hakkereista.
Kaikkien näiden uhkien torjunnassa on olennaista, että hoitohenkilöstö tunnistaa digitaaliseen terveydenhoitoon liittyvät vaaratilanteet ja pystyy kiireessäkin harkitsemaan toimintaansa.
Kyberhyökkäys esti potilastietojen katsomisen sekä verikokeiden ja röntgenkuvien tulosten tarkastelun.
Tieto- ja kyberturvallisuusuhkien yleistyminen on lisännyt vaatimuksia terveysalan koulutukselle.
JAMKissa terveysalan kyberturvallisuuden kehittäminen on aloitettu vuonna 2019 alkaneessa Healthcare Cyber Range -hankkeessa. Hankkeen myötä virusten torjunta ja haavoittuvuuksien huomioiminen ovat saaneet hoitotyön koulutuksessa täysin uuden merkityksen.
Kyberturvallisuussisältöjen osalta koulutuksen kehittäminen vaatii tiiviin yhteistyön teknologian ja hoitotyön asiantuntijoiden välillä. Hoitotyön opettajien kohdalla tämä tarkoittaa oman osaamisen merkittävää laajentamista ja uusiin asiasisältöihin syventymistä.
JAMKissa sairaanhoitajien ja kätilöiden opetussuunnitelmaa on kehitetty niin, että tieto- ja kyberturvallisuuteen liittyvät asiasisällöt on integroitu ammattiaineiden yhteyteen. Tällöin nämä asiat saadaan luonnolliseksi osaksi hoitotyön käytäntöjen oppimista.
Asiasisällöt etenevät opiskelijan opintopolun mukaisesti alkuvaiheen tietoturva-asioista opintojen loppuvaiheessa toteutettavaan simulaatioharjoitukseen. Todellisuutta jäljittelevässä harjoituksessa opiskelija saa autenttisen kokemuksen sairaalajärjestelmään kohdistuvasta kyberhyökkäyksestä, ja sen aikana toimimisesta. Simulaatioharjoitukset on mahdollista toteuttaa yhteistyössä JAMKin kyberasiantuntijoiden kanssa.
Hoitotyön käytännössä kyberhyökkäyksen ennaltaehkäiseminen tarkoittaa huomion kiinnittämistä omiin toimintatapoihin sekä tietoturva ja -suoja-asioiden hallitsemiseen. Hyökkäysriskien minimointiin kuuluu myös potilaan ohjausosaaminen, erityisesti etäseurantalaitteisiin ja etäohjaukseen liittyen.
Hoitotyöntekijän osaamiseen kuuluu, että hän havaitsee tietojärjestelmän tai lääkintälaitteen poikkeavan toiminnan. Havaitseminen voi liittyä potilaan voinnin ja monitorin näyttämien arvojen väliseen ristiriitaan, tietojärjestelmän toiminnan hidastumiseen tai muutoin epätavalliseen toimintaan. Jokaisen alalle valmistuvan tulee myös tietää, kuinka poikkeavassa tilanteessa toimitaan.
Sosiaali- ja terveysministeriö julkaisi viime vuonna kyberturvallisuusohjeen. Ohjeessa annetuissa suosituksissa todetaan, että kaikkien työntekijöiden tulee tietää, miten toimitaan, kun tietojärjestelmät eivät ole normaalisti käytössä. Lisäksi vaihtoehtoisia toimintatapoja tulee harjoitella ja henkilöstön tietoturvaan liittyvää osaamista on varmistettava säännöllisesti.
HCCR-hankkeessa selvitetään yhdessä hankeosapuolien kanssa hoitohenkilöstön tieto- ja kyberturvallisuusosaamista. Kyselytutkimuksen tuloksena saadun tiedon perusteella hankkeessa mukana olevat organisaatiot voivat tarjota työssä olevalle hoitohenkilöstölleen osaamistarpeen mukaista täydennyskoulutusta. Myös JAMK tarjoaa hoitotyön tieto- ja kyberturvallisuuteen liittyvää täydennyskoulutusta.
On olennaista, että hoitohenkilöstö tunnistaa digitaaliseen terveydenhoitoon liittyvät vaaratilanteet.
Healthcare Cyber Range (HCCR) -hanke
Hanketta koordinoi Jyväskylän ammattikorkeakoulun teknologiayksikkö. Hankkeen toteutuksessa on mukana JAMK hyvinvointiyksikön asiantuntijoita.
Osapuolia ovat muun muassa HUS, KSSHP, PHHKY, TAYS ja Perusturvaliikelaitos Saarikka.
Rahoittaja on Euroopan aluekehitysrahasto (EAKR). Hanke kestää vuodet 2019–2021.
Hankkeessa rakennetaan terveydenhuollon digitaalinen harjoitusympäristö yhteistyössä eri osapuolten kanssa. Oppimisympäristössä voidaan turvallisesti harjoitella kyberhyökkäyksen aikana toimimista, ja siitä toipumista.
Hankkeessa kehitetään terveysalan opettajien kyberosaamista, ja hankkeen tuloksia hyödynnetään sairaanhoitaja- ja kätilöopiskelijoiden opetussuunnitelmassa.
Plussat & miinukset
+ Hankkeen aikana tuotetaan osaamista, jonka avulla hoitotyön henkilöstö pystyy ennaltaehkäisemään ja havaitsemaan kyberuhkia.
+ Kyberturvallisuus ei vaadi hoitotyön henkilöstöltä erityistaitoja. Huomion kiinnittäminen omiin toimintatapoihin riittää.
+ Hoitohenkilöstö voi omalla toiminnallaan edistää myös potilaiden tietoturvataitoja.
– Kyberturvallisuuteen liittyvät haasteet ovat kasvava uhka ja huomioitava asia hoitotyössä, jossa on jo valmiiksi kova paine ja resurssipulaa.
Healthcare Cyber Range (HCCR) -hanke
Hanketta koordinoi Jyväskylän ammattikorkeakoulun teknologiayksikkö. Hankkeen toteutuksessa on mukana JAMK hyvinvointiyksikön asiantuntijoita.
Osapuolia ovat muun muassa HUS, KSSHP, PHHKY, TAYS ja Perusturvaliikelaitos Saarikka.
Rahoittaja on Euroopan aluekehitysrahasto (EAKR). Hanke kestää vuodet 2019–2021.
Hankkeessa rakennetaan terveydenhuollon digitaalinen harjoitusympäristö yhteistyössä eri osapuolten kanssa. Oppimisympäristössä voidaan turvallisesti harjoitella kyberhyökkäyksen aikana toimimista, ja siitä toipumista.
Hankkeessa kehitetään terveysalan opettajien kyberosaamista, ja hankkeen tuloksia hyödynnetään sairaanhoitaja- ja kätilöopiskelijoiden opetussuunnitelmassa.
Plussat & miinukset
+ Hankkeen aikana tuotetaan osaamista, jonka avulla hoitotyön henkilöstö pystyy ennaltaehkäisemään ja havaitsemaan kyberuhkia.
+ Kyberturvallisuus ei vaadi hoitotyön henkilöstöltä erityistaitoja. Huomion kiinnittäminen omiin toimintatapoihin riittää.
+ Hoitohenkilöstö voi omalla toiminnallaan edistää myös potilaiden tietoturvataitoja.
– Kyberturvallisuuteen liittyvät haasteet ovat kasvava uhka ja huomioitava asia hoitotyössä, jossa on jo valmiiksi kova paine ja resurssipulaa.