Tietoverkkoon liitettyjen fyysisten lääketieteellisten laitteiden kyberturvallisuus terveydenhuollossa: Lääketieteellisten laitteiden kyberturvallisuuden nykytila terveydenhuollon organisaatioissa
Kauppinen, Eerika (2023)
Kauppinen, Eerika
2023
Tietojohtamisen DI-ohjelma - Master's Programme in Information and Knowledge Management
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2023-05-25
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202305246086
https://urn.fi/URN:NBN:fi:tuni-202305246086
Tiivistelmä
Terveydenhuollon toimialan digitalisoitumisen myötä terveydenhuollon organisaatioilla on hallussaan luottamuksellista, digitaalisessa muodossa olevaa tietoa ja dataa. Digitalisaation ja nopeasti kasvavan ja kehittyvän teknologian myötä haasteena on tuottaa vaatimusten mukaisesti kyberturvallisia palveluita terveydenhuollon toimialalla. Luottamuksellisen tiedon turvaamiseksi terveydenhuollon organisaatioiden on otettava kyberturvallisuus huomioon kokonaisvaltaisesti toiminnassaan. Älysairaaloiden ja terveydenhuollon toimialan kehittymisen myötä myös lääketieteellisten laitteiden ominaisuudet ovat kehittyneet ja monilla laitteilla on kyky muodostaa yhteys tietoverkkoihin. Tietoverkkojen ja niihin kytkettävien älykkäiden lääketieteellisten laitteiden muodostama kokonaisuus luo tarpeen varmistua toiminnallisuuden luotettavuudesta ja turvallisuuden huomioinnista kokonaisvaltaisesti.
Tutkimuksessa on keskitytty tutkimaan lääkinnällisistä laitteista fyysisiä lääketieteellisiä laitteita, joilla on kyky muodostaa yhteys tietoverkkoihin. Rajauksen tarkoituksena on tutkia lääkinnällisten laitteiden laajasta joukosta laitteita, joiden kyberturvallisuutta voidaan arvioida erityisesti tietoverkkoon liitettävien ominaisuuksien näkökulmasta teoreettisten taustojen avulla. Tutkimuksen tarkoituksena on tutkia fyysisten tietoverkkoon liitettävien lääketieteellisten laitteiden kyberturvallisuuden nykytilaa. Tutkimuksessa selvitetään, minkälaisia kyberturvallisuusriskejä näihin laitteisiin liittyy ja kuinka organisaatiot hallitsevat ja hallinnoivat näitä riskejä toiminnassaan. Tutkimuksessa aihetta on tarkasteltu kyberturvallisuusriskien ja riskienhallinnan, riskien arviointien, hallinnan ja valvonnan, laitteisiin liittyvän yhteistyön ja hankintojen, sekä vastuiden ja seurannan teemojen kautta. Tutkimuksessa keskitytään fyysisten tietoverkkoon liitettävien lääketieteellisten laitteiden kyberturvallisuuden tarkasteluun käyttäjäorganisaatioiden näkökulmasta.
Tutkimuksessa käytettiin kvalitatiivista tutkimusmenetelmää ja tutkimusstrategiana tapaustutkimusta. Tutkimuksessa haastateltiin terveydenhuollon organisaatioista lääkintätekniikan ja tietohallinnon asiantuntijoita. Haastattelut toteutettiin kolmesta eri organisaatiosta ja viiden eri asiantuntijan kanssa puolistrukturoituina haastatteluina. Haastattelujen analysointiin käytettiin temaattista analyysiä aineistojen käsittelyssä. Haastatteluiden avulla selvitettiin tietoverkkoon liitettyjen fyysisten lääketieteellisten laitteiden kyberturvallisuusriskejä ja niiden hallintatapoja organisaatioissa.
Tutkimusaineiston perusteella tietoverkkoon liitettäviin fyysisiin lääketieteellisiin laitteisiin kohdistuvat kyberturvallisuusriskit ovat lisääntyneet näiden laitteiden yleistyessä ja hoitotapojen sekä terveydenhuollon toimialan kehittyessä. Kyberturvallisuus on otettava huomioon lääketieteellisten laitteiden koko elinkaaren ajan laitevalmistajien ja terveydenhuollon käyttäjäorganisaatioiden tahoilta. Laitevalmistajien vahvojen laitevastuiden myötä käyttäjäorganisaatioiden on huomioitava toiminnassaan yhä enemmän kyberturvallisuutta tukevia parhaita käytäntöjä.
Tutkimuksesta käy ilmi, että kyberturvallisuuden huomiointi terveydenhuollon organisaatioissa ja lääketieteellisten laitteiden käytössä on merkityksellistä ja organisaatiot kokevat aiheen tärkeäksi. Terveydenhuollon organisaatioissa lääketieteellisten laitteiden riskejä hallitaan ja hallinnoidaan riskienhallinnan, tietoliikenteen ja -yhteyksien turvallisuudesta huolehtimalla, valitsemalla turvallisia ja luotettavia palveluntarjoajia, hankintaprosessissa vaatimusten mukaisilla laitehankinnoilla sekä organisaation sisäisillä prosessilla ja suunnitelmilla. Terveydenhuollon organisaatioiden pakollisten vastuiden ja toimintojen toteuttamisen lisäksi kokonaisvaltaisella suunnittelulla ja kolmansien osapuolien kanssa tehdyllä yhteistyöllä voidaan tukea laitteiden kyberturvallisuutta.
Tutkimuksessa on keskitytty tutkimaan lääkinnällisistä laitteista fyysisiä lääketieteellisiä laitteita, joilla on kyky muodostaa yhteys tietoverkkoihin. Rajauksen tarkoituksena on tutkia lääkinnällisten laitteiden laajasta joukosta laitteita, joiden kyberturvallisuutta voidaan arvioida erityisesti tietoverkkoon liitettävien ominaisuuksien näkökulmasta teoreettisten taustojen avulla. Tutkimuksen tarkoituksena on tutkia fyysisten tietoverkkoon liitettävien lääketieteellisten laitteiden kyberturvallisuuden nykytilaa. Tutkimuksessa selvitetään, minkälaisia kyberturvallisuusriskejä näihin laitteisiin liittyy ja kuinka organisaatiot hallitsevat ja hallinnoivat näitä riskejä toiminnassaan. Tutkimuksessa aihetta on tarkasteltu kyberturvallisuusriskien ja riskienhallinnan, riskien arviointien, hallinnan ja valvonnan, laitteisiin liittyvän yhteistyön ja hankintojen, sekä vastuiden ja seurannan teemojen kautta. Tutkimuksessa keskitytään fyysisten tietoverkkoon liitettävien lääketieteellisten laitteiden kyberturvallisuuden tarkasteluun käyttäjäorganisaatioiden näkökulmasta.
Tutkimuksessa käytettiin kvalitatiivista tutkimusmenetelmää ja tutkimusstrategiana tapaustutkimusta. Tutkimuksessa haastateltiin terveydenhuollon organisaatioista lääkintätekniikan ja tietohallinnon asiantuntijoita. Haastattelut toteutettiin kolmesta eri organisaatiosta ja viiden eri asiantuntijan kanssa puolistrukturoituina haastatteluina. Haastattelujen analysointiin käytettiin temaattista analyysiä aineistojen käsittelyssä. Haastatteluiden avulla selvitettiin tietoverkkoon liitettyjen fyysisten lääketieteellisten laitteiden kyberturvallisuusriskejä ja niiden hallintatapoja organisaatioissa.
Tutkimusaineiston perusteella tietoverkkoon liitettäviin fyysisiin lääketieteellisiin laitteisiin kohdistuvat kyberturvallisuusriskit ovat lisääntyneet näiden laitteiden yleistyessä ja hoitotapojen sekä terveydenhuollon toimialan kehittyessä. Kyberturvallisuus on otettava huomioon lääketieteellisten laitteiden koko elinkaaren ajan laitevalmistajien ja terveydenhuollon käyttäjäorganisaatioiden tahoilta. Laitevalmistajien vahvojen laitevastuiden myötä käyttäjäorganisaatioiden on huomioitava toiminnassaan yhä enemmän kyberturvallisuutta tukevia parhaita käytäntöjä.
Tutkimuksesta käy ilmi, että kyberturvallisuuden huomiointi terveydenhuollon organisaatioissa ja lääketieteellisten laitteiden käytössä on merkityksellistä ja organisaatiot kokevat aiheen tärkeäksi. Terveydenhuollon organisaatioissa lääketieteellisten laitteiden riskejä hallitaan ja hallinnoidaan riskienhallinnan, tietoliikenteen ja -yhteyksien turvallisuudesta huolehtimalla, valitsemalla turvallisia ja luotettavia palveluntarjoajia, hankintaprosessissa vaatimusten mukaisilla laitehankinnoilla sekä organisaation sisäisillä prosessilla ja suunnitelmilla. Terveydenhuollon organisaatioiden pakollisten vastuiden ja toimintojen toteuttamisen lisäksi kokonaisvaltaisella suunnittelulla ja kolmansien osapuolien kanssa tehdyllä yhteistyöllä voidaan tukea laitteiden kyberturvallisuutta.