Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Sosiaali- ja terveydenhuoltoalalla kyberturvallisuutta parannetaan monessa verkostossa

Tietoturva Nyt!

Sote-alan toiminnan jatkuvuus riippuu entistä enemmän kyberturvallisuudesta. Suomessa ja maailmalla alan kyberturvallisuuden parantamiseksi tehdään yhteistyötä monella rintamalla. Kyberturvallisuuskeskus on mukana useissa verkostoissa, joista osaa se fasilitoi itse ja osaan osallistuu kutsuttuna. Suuri osa yhteistyöstä tapahtuu vapaaehtoisissa yhteenliittymissä.

Vapaaehtoisesti yhdessä

Sote-alalla on Suomessa vuosikymmenten ajan tehty verkostomaista yhteistyötä kyberturvallisuuden lisäämiseksi. Kuntaliiton ja FGC Finnish Consulting Group Oy:n järjestämät SOTE ATK-päivät on jo käsite alalla ja kyberturvallisuus on olennainen osa päivien ohjelmaa. ATK-päivät järjestettiin ensimmäisen kerran vuonna 1975. Päivillä on ollut joitakin kertoja esiintyjiä myös Kyberturvallisuuskeskuksesta.

Traficomin Kyberturvallisuuskeskus fasilitoi itse kahta verkostoa: luottamuksellinen tiedonvaihtoryhmä SOTE-ISAC ja sote-toimialan kyberturvallisuuden parissa työskentelevien henkilöiden ja organisaatioiden sähköpostilista. Toimintamalli on sama muillakin yhteiskunnan huoltovarmuuskriittisillä toimialoilla. Kyberturvallisuuskeskus valitsee jäsenet sähköpostilistalle hakemusten perusteella. Listalle pääsyn ehtoina on liittyvän henkilön tai organisaation päivittäinen toiminta sote-alan kyberturvallisuuden parissa. Vain Kyberturvallisuuskeskus voi lähettää viestejä listalle ja tarvittaessa välittää jäsenten viestejä sinne. Listalla on reilut kaksisataa sähköpostiosoitetta, joista suurin osa on henkilökohtaisia. Lue lisää Kyberturvallisuuskeskuksen tarjoamasta toimialakohtaisesta tilannekuvasta ja tiedotteista .

SOTE-ISAC on vapaaehtoinen yhteistyöryhmä, jonka jäsenyys edellyttää sitoutumista aktiiviseen yhteistyön tekemiseen. Ryhmän jäseninä on muiden muassa hyvinvointialueita ja yksityisiä terveydenhuoltoyrityksiä. Jäseninä on kaikkiaan 19 organisaatiota. Ryhmä kokoontuu säännöllisesti keskustelemaan ajankohtaisista kyberuhista ja sote-alan kyberturvallisuuden kehittämisestä. Kyberturvallisuuskeskus myös kerää kyselyillä tietoja ryhmän jäseniltä. Viime aikoina on kerätty tietoa muun muassa organisaatioiden riippuvuuksista ulkomailla tuotetuista ICT-palveluista. SOTE-ISAC on olennaisen tärkeä kumppani Kyberturvallisuuskeskukselle etenkin sote-alan kyberturvallisuuden tulevaisuuden luotaamisessa. Lue lisää ISAC-tiedonvaihtoryhmistä .

Huoltovarmuuskeskuksen rahoittamassa Kyber-Terveys-hankkeessa vuosina 2017-2021 kehitettiin ja julkaistiin useita sote-alan kyberturvallisuutta parantavia toimintatapoja. Kyberturvallisuuskeskus osallistui hankkeeseen aktiivisesti ja on hankkeen päätyttyä jatkanut hankkeen tulosten ylläpitoa SOTE-ISAC:n kanssa. Vuodenvaihteen 2022-2023 tienoilla on esimerkiksi päivitetty Lääkäriseura Duodecimin Oppiportissa julkaistuja kursseja "Tietoturva sosiaali- ja terveydenhuollossa" ja "Johdon ja esimiesten tietoturvakoulutus". Useita Kyber-Terveys-hankkeen tuloksia on saatavilla Kyberturvallisuuskeskuksen organisaatioille suunnattujen ohjeiden sivulla .

Monipuolista viranomaisyhteistyötä

Tiettyjen potilastietojen käsittelyyn käytettyjen ohjelmistojen tietoturvallisuus täytyy tarkastaa hyväksytyssä arviointilaitoksessa  ennen kuin niitä saadaan ottaa käyttöön. Kyberturvallisuuskeskus valvoo tietoturvallisuuden arviointilaitoksien toimintaa, joten keskus vaikuttaa myös sitä kautta sote-alan kyberturvallisuuden parantamiseen. Terveyden ja hyvinvoinnin laitos laatii potilastietojärjestelmien arvioinnin kriteerit, Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira käsittelee järjestelmiä koskevat häiriöilmoitukset, ja useimmat potilastietojärjestelmät liitetään Kansaneläkelaitoksen Kanta-järjestelmään, joten asiaan liittyy paljon viranomaisyhteistyötä.

Sosiaali- ja terveysministeriö ohjaa sote-alan varautumista yleisesti. Ministeriö on perustanut neuvoa antavaksi elimeksi poikkeusolojen neuvottelukunnan. Neuvottelukunnalla on digitaalisen turvallisuuden jaos, jonka työskentelyyn Kyberturvallisuuskeskus osallistuu. Jaoksessa käsitellään pääasiassa hallinnollista tietoturvallisuutta. Jaoksen tekemästä aloitteesta tällä hetkellä kootaan yhteen ja ryhmitellään hyvinvointialueita koskevia digitaalisen turvallisuuden lakeja, määräyksiä ja ohjeita, jotta hyvinvointialueiden on helpompi hahmottaa digitaalisen turvallisuuden kokonaisuus ja järjestelmällisesti kehittää omaa turvallisuuttaan.

Kansainvälisesti

Kyberturvallisuuskeskus osallistuu myös kansainväliseen sote-alan kyberturvallisuuden tiedonvaihtoon. Muutaman länsimaan kansalliset terveydenhuoltoalan kyberturvallisuusorganisaatiot ovat perustaneet HealthCERTs-nimisen yhteenliittymän, ja Suomea siinä edustaa Kyberturvallisuuskeskus SOTE-ISAC:n fasilitaattorin ja huoltovarmuuskriittisten organisaatioiden kyberturvallisuuden edistäjän roolissa. Tammikuussa ryhmässä muun muassa seurattiin haktivistiryhmä KillNetin julistamia palvelunestohyökkäyksiä ja muodostettiin tilannekuvaa uhkasta.