Kyberhyökkäykseen varautuminen terveydenhuolto-organisaatiossa
Karintaus, Laura (2022)
Karintaus, Laura
2022
Tietojohtamisen DI-ohjelma - Master's Programme in Information and Knowledge Management
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2022-06-06
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202205235162
https://urn.fi/URN:NBN:fi:tuni-202205235162
Tiivistelmä
Kyberrikollisuus kehittyy jatkuvasti ja eri toimialojen organisaatioilla on kova paine kehittää valmiuttaan jatkuvasti kasvavien kyberuhkien edessä. Terveydenhuolto on viime vuosina noussut yhdeksi kyberhyökkääjien keskeisimmistä kohteista ja esimerkkejä tapahtuneista hyökkäyksiä on lukuisia. Hyökkääjiä houkuttelee terveydenhuolto-organisaatioiden tärkeä rooli yhteiskunnan toimintakyvyn ja huoltovarmuuden toteuttamisessa ja se, että ne käsittelevät paljon luottamuksellista potilastietoa, jonka arvo pimeillä markkinoilla on suuri. Tietojärjestelmät ja teknologia näyttelevät merkittävää roolia terveydenhuolto-organisaatioiden toiminnassa ja potilaiden hoidossa ja niiden menettäminen voi pahimmillaan aiheuttaa vakaviakin riskejä. Organisaatioiden on siis varauduttava reagoimaan erilaisiin häiriötilanteisiin ja niiden aiheuttamiin moninaisiin haasteisiin.
Tässä diplomityössä tutkittiin suuren terveydenhuolto-organisaation varautumista toteutuvaan kyberhyökkäystilanteeseen ja sitä, miten organisaatioiden varautumista voidaan kehittää. Tutkimus rajattiin koskemaan sellaisen vakavuusasteen kyberhyökkäyksiä, joilla olisi hoitotoiminnassa näkyviä vaikutuksia. Tutkimusmenetelmänä käytettiin yhteen kohdeorganisaatioon keskittyvää tapaustutkimusta ja tiedonkeruu suoritettiin kohdeorganisaation henkilöstön haastatteluilla. Haastateltaviksi valittiin keskenään erilaisissa rooleissa työskenteleviä henkilöitä organisaation eri osista, jotta saatiin mahdollisimman kattava kuva koko organisaation toiminnasta.
Tutkimuksessa haluttiin selvittää, mitä organisaatiossa tapahtuu kyberhyökkäyksen aikana ja millaisilla keinoilla organisaatio voi varautua hyökkäyksen toteutumiseen. Haastattelujen perusteella muodostettiin kattava käsitys siitä, miten kohdeorganisaatio nykytilassaan toimisi hyökkäyksen aikana. Tietohallinnon ja sen kumppaneiden vastuulla olisi tilanteen koordinointi, hyökkääjän pysäyttäminen ja tietojärjestelmäinfrastruktuuriin liittyvä toiminta. Johdon avainhenkilöiden vastuulla on koko organisaation toiminnan johtaminen ja päätöksenteko, sidosryhmäyhteistyö sekä sisäinen ja ulkoinen viestintä. Hoitotoimintaa johtavat ja suorittavat tahot vastaavat korvaavien toimintatapojen käyttöönotosta sekä hoidon jatkuvuuden ja potilaiden turvallisuuden varmistamisesta. Henkilöstön toimintavalmiutta voidaan nostaa esimerkiksi harjoittelulla, koulutuksella ja selkeillä toimintaohjeilla. Tietojärjestelmäinfrastruktuurin reagointi- ja palautumiskykyyn voidaan vaikuttaa teknisillä varautumiskeinoilla. Varautumisen taso voi vaihdella samankin organisaation eri osissa paljon, joten koko organisaation kattava ja säännöllinen valmiuden mittaaminen kannattaa.
Tutkimus tuotti paljon uutta tietoa siitä, miten kyberhyökkäys voi vaikuttaa hoitotoiminnan toteuttamiseen suuressa terveydenhuolto-organisaatiossa. Nykytilan analyysin kautta tunnistettiin kohdeorganisaation toiminnasta neljä kybervarautumisen ongelmakohtaa: henkilöstön vaihteleva asenneilmapiiri ja puutteellinen kybertietoisuus, haasteet tilannekuvan ymmärtämisessä ja viestinnässä, käytössä olevien toimintaohjeiden puutteellinen soveltuvuus, saatavuus ja sisäistäminen sekä lääkintälaitteiden heikko tietoturva. Tutkimus täydensi aiempaa kirjallisuutta erityisesti ihmiskeskeisen näkökulmansa kautta. Sen avulla voitiin kuvata varautumista tehtävien sijaan niitä suorittavien ihmisten näkökulmasta ja siten tunnistaa myös haasteiden taustalla vaikuttavia juurisyitä. Lisäksi tutkimuksessa tunnistettiin kyberhyökkäysvarautumisen ”sokeita pisteitä”, joihin liittyvälle kehitystyölle voi olla tarvetta tulevaisuudessa. Tällaisia olivat esimerkiksi terveydenhuollolle spesifit harvinaisemmat kyberkriisiskenaariot, joita ei kirjallisuudessa vielä juuri käsitelty.
Tutkimuksessa todettiin, että kyberhyökkäykseen varautuminen on laaja kokonaisuus, joka vaatii toimia kaikkialla organisaatiossa, kaikilta sen toimijoilta. Tutkimuksessa tunnistettiin myös tarve kehittää toimialojen välistä yhteistyötä ja monialaista osaamista, jotta hoitotyö, kyberhyökkäysvarautuminen ja näiden toisilleen asettamat vaatimukset voidaan sovittaa paremmin yhteen. Varautuminen on jatkuvaa kilpajuoksua nopeasti muuttuvia haasteita vastaan, ja siksi siinä ei tulla koskaan valmiiksi. Tutkimusta ja kehitystyötä on siis tehtävä jatkuvasti.
Tässä diplomityössä tutkittiin suuren terveydenhuolto-organisaation varautumista toteutuvaan kyberhyökkäystilanteeseen ja sitä, miten organisaatioiden varautumista voidaan kehittää. Tutkimus rajattiin koskemaan sellaisen vakavuusasteen kyberhyökkäyksiä, joilla olisi hoitotoiminnassa näkyviä vaikutuksia. Tutkimusmenetelmänä käytettiin yhteen kohdeorganisaatioon keskittyvää tapaustutkimusta ja tiedonkeruu suoritettiin kohdeorganisaation henkilöstön haastatteluilla. Haastateltaviksi valittiin keskenään erilaisissa rooleissa työskenteleviä henkilöitä organisaation eri osista, jotta saatiin mahdollisimman kattava kuva koko organisaation toiminnasta.
Tutkimuksessa haluttiin selvittää, mitä organisaatiossa tapahtuu kyberhyökkäyksen aikana ja millaisilla keinoilla organisaatio voi varautua hyökkäyksen toteutumiseen. Haastattelujen perusteella muodostettiin kattava käsitys siitä, miten kohdeorganisaatio nykytilassaan toimisi hyökkäyksen aikana. Tietohallinnon ja sen kumppaneiden vastuulla olisi tilanteen koordinointi, hyökkääjän pysäyttäminen ja tietojärjestelmäinfrastruktuuriin liittyvä toiminta. Johdon avainhenkilöiden vastuulla on koko organisaation toiminnan johtaminen ja päätöksenteko, sidosryhmäyhteistyö sekä sisäinen ja ulkoinen viestintä. Hoitotoimintaa johtavat ja suorittavat tahot vastaavat korvaavien toimintatapojen käyttöönotosta sekä hoidon jatkuvuuden ja potilaiden turvallisuuden varmistamisesta. Henkilöstön toimintavalmiutta voidaan nostaa esimerkiksi harjoittelulla, koulutuksella ja selkeillä toimintaohjeilla. Tietojärjestelmäinfrastruktuurin reagointi- ja palautumiskykyyn voidaan vaikuttaa teknisillä varautumiskeinoilla. Varautumisen taso voi vaihdella samankin organisaation eri osissa paljon, joten koko organisaation kattava ja säännöllinen valmiuden mittaaminen kannattaa.
Tutkimus tuotti paljon uutta tietoa siitä, miten kyberhyökkäys voi vaikuttaa hoitotoiminnan toteuttamiseen suuressa terveydenhuolto-organisaatiossa. Nykytilan analyysin kautta tunnistettiin kohdeorganisaation toiminnasta neljä kybervarautumisen ongelmakohtaa: henkilöstön vaihteleva asenneilmapiiri ja puutteellinen kybertietoisuus, haasteet tilannekuvan ymmärtämisessä ja viestinnässä, käytössä olevien toimintaohjeiden puutteellinen soveltuvuus, saatavuus ja sisäistäminen sekä lääkintälaitteiden heikko tietoturva. Tutkimus täydensi aiempaa kirjallisuutta erityisesti ihmiskeskeisen näkökulmansa kautta. Sen avulla voitiin kuvata varautumista tehtävien sijaan niitä suorittavien ihmisten näkökulmasta ja siten tunnistaa myös haasteiden taustalla vaikuttavia juurisyitä. Lisäksi tutkimuksessa tunnistettiin kyberhyökkäysvarautumisen ”sokeita pisteitä”, joihin liittyvälle kehitystyölle voi olla tarvetta tulevaisuudessa. Tällaisia olivat esimerkiksi terveydenhuollolle spesifit harvinaisemmat kyberkriisiskenaariot, joita ei kirjallisuudessa vielä juuri käsitelty.
Tutkimuksessa todettiin, että kyberhyökkäykseen varautuminen on laaja kokonaisuus, joka vaatii toimia kaikkialla organisaatiossa, kaikilta sen toimijoilta. Tutkimuksessa tunnistettiin myös tarve kehittää toimialojen välistä yhteistyötä ja monialaista osaamista, jotta hoitotyö, kyberhyökkäysvarautuminen ja näiden toisilleen asettamat vaatimukset voidaan sovittaa paremmin yhteen. Varautuminen on jatkuvaa kilpajuoksua nopeasti muuttuvia haasteita vastaan, ja siksi siinä ei tulla koskaan valmiiksi. Tutkimusta ja kehitystyötä on siis tehtävä jatkuvasti.