Tietoturva- ja tietosuojavaatimukset käyttöön hankintojen valmistelussa
Tietoturva Nyt!
Tietojärjestelmän ja tietoteknisen laitteen elinkaari alkaa sen hankinnan suunnittelusta. Sen tietoturvan ja tietosuojan hallinnan tulee alkaa samanaikaisesti. Näin riskien hallinta onnistuu tehokkaasti ja tuotteen käytön aikaiset kustannukset eivät karkaa. Kyber-terveys-hankkeessa kehitettiin tietoturva- ja tietosuojavaatimusten lista käytettäväksi sote-alan hankinnoissa. Suurin osa vaatimuksista on kuitenkin sovellettavissa mille tahansa toimialalle. Pohjois-Pohjanmaan sairaanhoitopiirillä on vaatimuslistan käytöstä hyvin myönteisiä kokemuksia.
Kyber-terveys-hanke ja kyberturvalliset hankinnat
Huoltovarmuuskeskus käynnisti syksyllä 2017 hankkeen terveydenhuollon kyberturvallisuuden parantamiseksi. Hankkeessa jaettiin olemassa olleita hyviä käytäntöjä ja kehitettiin niitä edelleen. Hankeen tuloksia on ryhdytty julkaisemaan vuonna 2019.
Yksi hankkeen työpaketeista käsitteli terveydenhuollon toiminnan ja tietojärjestelmien kyberturvallisuuden varmistamista laitteiden ja järjestelmien hankinnoista lähtien. Aihe oli tunnistettu laajalti tärkeäksi. Potilaiden hoidossa käytetään käytännössä aina digitaalisia välineitä, joten digitaalinen turvallisuus vaikuttaa erottamattomasti potilasturvallisuuteen.
Entistä useampi terveydenhuollon laite kytketään tietoverkkoon. Toisaalta tietoturva ja tietosuoja eivät vielä yleisesti ole terveydenhuollon laitteiden suunnitteluperiaatteita eikä niiden tietoturvakontrolleista löydä helposti tietoa. Tämän myötä ne ovat entistä alttiimpia tietoturvan ja tietosuojan loukkauksille. Suojausten lisääminen tietoverkkoihin ja työtapoihin jälkikäteen on virhealtista ja kallista verrattuna siihen, että suojauksia oltaisiin mietitty jo suunnittelupöydän ääressä.
Laite- ja järjestelmätoimittajat ovat usein kommentoineet sairaanhoitopiirien esittämiä tietoturvaa koskeneita vaatimuksia, etteivät ne pysty toteuttamaan niitä, koska kukaan muu ei vaadi samaa. Siksi Kyber-terveys-hankkeessa päätettiin laatia tyypillisten tietoturva- ja tietosuojavaatimusten lista. Yhteiseen käyttöön julkaistava lista loisi toivottua painetta valmistajien ja toimittajien suuntaan. Myös valmistajien edustajat, joiden kanssa vaatimuslistasta on keskusteltu, ovat pitäneet sitä hyvänä asiana: useiden asiakkaiden yhdessä käyttämään listaan perustuviin vaatimuksiin on helpompi vastata kuin toisistaan poikkeaviin vaatimuksiin.
Lääkinnälliset laitteet ovat erityisiin käyttötarkoituksiin valmistettuja herkkiä laitteita samaan tapaan kuin teollisuusautomaation laitteet ja järjestelmät. Aiemmissa Huoltovarmuuskeskuksen rahoittamissa kehityshankkeissa oli laadittu tietoturvavaatimusten lista käytettäväksi teollisuusautomaatiota koskevissa hankinnoissa ja se oli luontevaa ottaa työn pohjaksi Kyber-terveys-hankkeessa. Listaa täydennettiin terveydenhuoltoalan sääntelyyn perustuvilla vaatimuksilla ja sen käyttöä kokeiltiin Pohjois-Pohjanmaan sairaanhoitopiirin tekemässä hankinnassa.
Tuntuvaa hyötyä Pohjois-Pohjanmaalla
Pohjois-Pohjanmaan sairaanhoitopiiri pilotoi vaatimuslistan käyttöä vuoden 2019 aikana. Pilottiin valikoitui koko maakuntaa koskenut potilaiden sähköisten siirtopyyntöjen käsittelyjärjestelmän hankinta. Hankinnan tavoitteena oli automatisoida manuaalinen potilaan hoitopaikan haku- ja siirtopyyntöprosessi, joten se oli varsin suuri tietojärjestelmähankinta.
"Halusimme lähteä pilottiin mukaan, jotta näkisimme pystyisimmekö parantamaan nykyistä hankintaprosessiamme, jossa painopiste on perinteisesti ollut vahvasti itse hankintaprojektissa eikä niinkään tuotteen koko elinkaaren hallinnassa", kertoo sairaanhoitopiirin tietoturvasuunnittelija Anssi Huhtala. "Saimme tukea Kyber-terveys-hankkeelta markkinavuoropuheluihin, vaatimuslistan sovittamiseen hankintaan sekä perehdytykstä vaatimuslistan käyttämiseen, mikä vaikutti merkittävästi saamiimme tuloksiin. Tavoittelimme parempaa laatua, kustannusten ennustettavuutta sekä omistamiemme tietojen parempaa hallintaa, ja mielestäni saimme kaiken sen. Niiden lisäksi saimme paljon kehitysideoita myös itse hankintaprosessiin."
Pilotin aikana sairaanhoitopiirin tietohallinto organisoi työt siten, että yksi viiden hengen yksikkö muodosti henkilöstöpoolin, jonka tehtävänä oli käsitellä sisäisiltä asiakkailta tulleet ennakkotehtävät ja auttaa niiden täydentämisessä. Ennakkotehtävät jaettiin viikoittain toistuneissa palavereissa. Henkilöstöpoolissa ei ollut tietoturvaan tai tietosuojaan erityisesti perehtyneitä henkilöitä vaan ICT-asiantuntijoita, jotka tunsivat hankintaprossin tai hankintojen tekeminen oli heille tuttua. Nämä henkilöt eivät tehneet vaatimusten sovittamista hankintaan, vaan heidän tärkein työnsä oli säästää aikaa tietoturva- ja tietosuoja-asiantuntijoilta, jotka siten pystyivät käyttämään enemmän aikaa soveltuvien vaatimusten määrittelyyn ja poimimiseen listasta.
Anssi Huhtala on tyytyväinen pilotista saatuihin havaintoihin ja oppeihin: "Kokonaisuutta ajatellen saimme pilotista paljon hyviä kokemuksia koko hankintaprosessiin. Koimme, että tällä menetelmällä pystyisimme säästöjen ja tiedon hallinnan lisäksi parantamaan huomattavasti sairaalamme ICMT-laitteiden (informaatio-, viestintä- ja lääkintälaitetekniikka) tietoturvallisuutta. Vaikka emme pystyneet vielä pilotin aikana mittaamaan tarkasti kuinka paljon lisäarvoa menetelmän käytöstä saimme, niin täytyy muistaa, että tietoturvallisuus on osa potilasturvallisuutta ja siihen tulee suhtautua aina riittävällä vakavuudella."