Kyberturvallisuuteen kannattaa satsata
Psykoterapiakeskus Vastaamoon kohdistunut tietomurto nosti sote-alan kyberturvallisuuden puheenaiheeksi. Kyseessä on laaja, kansainvälinen huoli. Esimerkiksi USA:ssa rekisteröidään keskimäärin kaksi kyberhyökkäystä päivässä.
Jyväskylän yliopiston työelämän kyberturvallisuuden professori Martti Lehto valotti TerveSos-tapahtumassa toukokuussa sote-alan kyberturvallisuutta.
Hän esitteli kyberuhkamallin, jossa on kuusi eri luokkaa: kybersodankäynti, kybersabotaasi, kyberterrorismi, kybertiedustelu, kyberrikollisuus ja kybervandalismi. Hyökkääjän motivaatio ratkaisee, millainen uhka järjestelmään kohdistuu. Mitä hän tavoittelee ja miksi?
Rikollisuus, jolla tavoitellaan taloudellista hyötyä, on Lehdon mukaan tällä hetkellä suurin ja näkyvin kyberrikollisuuden muoto. Sairaaloiden ja vakuutusyhtiöiden välistä tietoliikennettä hoitanut amerikkalainen AMCA on ääriesimerkki siitä, mitä voi tapahtua. Yritys menetti rikollisille lähes 21 miljoonan potilaan tiedot. Kun siitä seurannut sotku oli siivottu, yritys teki konkurssin.
Vahinkojen korjaaminen kallista
Mutta aina kyberhyökkääjät eivät tavoittele rahaa. Tällöin voi olla kysymys kybervandalismista. Kun toimija nimeltä Anonymous hyökkäsi neljää italialaista sairaalaa vastaan, motiivina oli se, että Anonymouksen mielestä ADHD-hoito ei ollut näissä sairaaloissa tarkoituksenmukaista.
Yhdysvaltalainen sairausvakuutusyhtiö Anthem joutui maksamaan kybervakoilun seurauksena lähes 300 miljoonaa dollaria konsulteille, turvallisuuden parantamisesta, korvauksia lakimiehille ja viranomaisille sekä luottosuojavakuuksiin asiakkaille.
– Sellaisella summalla olisi rahoittanut huomattavan paljon kyberturvallisuuden parantamista etukäteen, Martti Lehto sanoo.
Johtaminen avainasemassa
Myös terroristit voivat hyökätä sote-järjestelmiä vastaan. Näin teki ISIS, kun se sai saastutettua Iso-Britannian NHS:n verkkopalvelun propagandallaan.
Martti Lehdon mukaan ei ole mahdollista luoda niin läpipääsemätöntä suojausta, että mikään ei pääse sen läpi. Siksi sote-järjestelmien pitäisi kyetä suojautumaan niissäkin tilanteissa, että joku pääsee järjestelmään.
Pelkkä tekninen suojautuminen ei riitä, myös ihmiset ja prosessit pitää ottaa huomioon. Suojautuminen lähtee johtamisesta ja onnistuu vain, kun työpaikalle kehitetään suojautumista tukeva toimintakulttuuri.
Teksti Martti Ahlsten
Kuva Juha Sarkkinen