Julkaisun kriteerit Sisäänottokriteerit Poissulkukriteerit Julkaisu Tieteelliset tutkimusartikkelit,
tieteellinen erillisteos, tunnetun tiedontuottajan puheenvuoro /selvitys /raportti /kysely tai kir-joitus tieteellisessä lehdessä.
Kandidaatin- tai pro gradu - tut-kielmat ja ammattikorkeakou-lujen opinnäytetyöt.
Sisältö Aiheeseen sopiva tieteenalan julkaisu, jonka avulla vastataan tutkimuskysymyksiin. Tarkas-telee kyberturvallisuutta ja ter-veydenhuollon johtamista. Ot-sikko ja tiivistelmä sopivat tut-kimuskysymyksiin.
Aiheeseen sopimattomien tie-teenalojen aineistot/ julkaisut/
tutkimukset. Aihe ei vastaa tut-kimuskysymyksiin. Tarkastelee esimerkiksi ihmisen sisäistä tur-vallisuutta. Otsikko ja tiivis-telmä eivät vastaa tutkimusky-symyksiin.
Kieli Suomi tai englanti Muu kieli
Aineiston saatavuus Koko teksti saatavilla sähköi-sesti, maksuton.
Maksullinen, ei sähköisesti saa-tavilla.
Valittujen julkaisujen mukaan muualla maailmassa terveydenhuollon kyberturvallisuutta on tutkittu tutkimuskysymyksieni mukaisesti terveydenhuollon johtamisen kannalta kuu-dessa eri maassa; Yhdysvallat (n=8), Kanada (n=1), Brasilia (n=1), Iso-Britannia (n=2), Kreikka (n=1) ja Australia (n=1). Julkaisut sijoittuvat vuosiin 2011-2018.
Artikkeleiden valintaprosessin esitän kuviossa 8.
KUVIO 8. Aineiston valintaprosessi (mukaillen Prisma Statement 2009) Google Scholar (n= 10 098)
UEF-Finna (n=744)
SeulontaHyväksyttävätKelpoisuus Identifiointi
Scopus (n=125) Web of Science (n=58) Yhteensä (n=183)
Tiivistelmän ja otsikon perusteella, Google Scholar (n=37)
UEF-Finna (n=32) Yhteensä (n=69)
Otsikon ja tiivistelmän perusteella valitut artikkelit (n = 57)
Poissulkukriteereiden pe-rusteella hylätyt artikkelit
(n =26)
Tarkasteltavaksi otettavat artikkelit (n=31)
Kokotekstin perusteella hylätyt artikkelit
(n = 15)
Kokotekstin perusteella valitut artikkelit
(n=16)
Katsaukseen mukaan otettavat artikkelit
(n = 14)
Tieteellisten lehtien julkaisut yhteensä (n=16)
4.3 Aineiston analyysi
Tässä tutkielmassa käytin ensimmäiseen ja toiseen tutkimuskysymykseen vastaamisessa aineistolähtöistä sisällönanalyysiä analysoimalla, mitä kyberturvallisuus on huollon johtamisessa sekä mitkä kyberturvallisuuden tekijät ovat huomioitava terveyden-huollon johtamisen strategisella ja operatiivisella tasoilla?
Tuomen ja Sarajärven (2018, 117-121) mukaan aineistolähtöisellä sisällönanalyysillä on pyrkimyksenä saada tiivis kuvaus tutkittavasta ilmiöstä ja sen avulla luokitella kerätty aineisto johtopäätöksiä varten. Sisällönanalyysi voidaan tehdä aineistolähtöisesti, teoria-ohjaavasti sekä teorialähtöisesti. Sisällönanalyysissä eteneminen toteutuu kuvion 10 mu-kaisesti. Ensiksi redusoidaan eli pelkistetään tiivistämällä osiin, mitä seuraa klusterointi eli ryhmittely. Näin saatu aineisto käydään lävitse ja etsitään tekstistä samankaltaisuuk-sia. Abstrahoinnissa tutkimuksen kannalta erotetaan oleellinen tieto.
KUVIO 9. Aineistolähtöisen sisällönanalyysin eteneminen
Aineistonanalyysin toteutin huhtikuussa 2019. Tutkimukseni teoreettinen osa on saatta-nut osaksi vaikuttaa analysointiin, vaikka aineiston analyysistä on pyritty etsimään tutki-muskysymykseen vastauksia kuvailevan kirjallisuuskatsauksen tarkoituksen mukaisesti.
Useimmista julkaisuissa nousi esiin samaa tarkoittavia asioita, joten tekemääni tiivistyk-sen kirjasin asian vain kertaalleen, sillä näin vältin toistamitiivistyk-sen. Seuraavaksi toteutin klus-terointi vaiheen, joka tarkoitti, että muodostin yläluokat julkaisuista tekemilleni tiivistyk-sille. (ks. esim. Kangasniemi ym. 2013, 294.) Aluksi pelkistin löytämiäni ilmaisuja ja sitten vertailin niitä toisiinsa. Kokosin pelkistykset yhtenäiseen tiedostoon, jonka avulla poimin tutkimuksen kannalta keskeisiä asioita.
REDUSOINTI KLUSTEROINTI ABSTRAHOINTI
Tuomen ja Sarajärven (2018, 139) mukaan aineistolähtöisessä sisällönanalyysissä ylä-luokkien ryhmittely koetaan riittävänä. Yläylä-luokkien muodostusta olen tutkielmani tulo-sosiossa kuvannut muodostamani kuvioiden 12, 13, 14 sekä 15 avulla. Yläluokkaa vas-taavalla otsikolla kuvannut teeman sisältöä, jonka luotettavuutta aineiston lähdemerkin-nät korostavat. Luokkien muodostamisen koin osakseen haasteellisena, sillä piti miettiä, että mitä tiivistykset kuvasivat yhtenäisesti. Lopulta yläkategoriat muodostin sen mukaan, mitä yksinkertaistettuna pelkistys kuvasi.
Tämän tutkimuksen kolmannessa kysymyksessä hyödynsin SWOT- analyysia, sillä koin sen täydentävän saamieni tutkimustulosten avautumista. Analysoin siis vielä kertaalleen analysoimani aineiston SWOT-analyysillä aineistolähtöisen sisällönanalyysin lisäksi.
SWOT – lyhenne on englanninkielen sanoista strength (vahvuus), weakness (heikkous), opportunity (mahdollisuus) ja threat (uhka). Näiden mukaan muodostin nelikentän (kuvio 11). SWOT-analyysiä voidaan käyttää moneen eri tarkoitukseen organisaation vahvuuk-sien, heikkoukvahvuuk-sien, mahdollisuuksien ja uhkien arvioimisessa. SWOT-analyysiä voidaan hyödyntää, esimerkiksi organisaation toiminnan laajuuden tarkastelussa, jonkin tuotteen, palvelun aseman tai oman kilpailukyvyn analysoinnissa tai kilpailijan toiminnan ja kil-pailukyvyn arvioinnissa. (ks. esim. Opetushallitus n.d., Lindroos & Lohivesi 2010, 219).
SWOT-analyysissä samat asiat voivat toistua sekä vahvuuksina, heikkouksina, mahdolli-suuksina, että uhkina. Osin tällaisiin tuloksiin vaikuttaa, että analysoidessa usein samaan taulukkoon laitetaan kaikkiin kohtiin sekä nykytilaa, että tulevaisuutta koskevia arvioin-teja. Toisaalta on hyvä tehdä rinnakkain kaksi SWOT-taulukkoa, jossa ensimmäiseen lai-tetaan nykyhetkeä koskevia asioita ja toiseen tulevaisuutta. Näin voidaan vertailla rinnak-kain taulukkoja, milloin saadaan selkeämpi ja keskeisempi kuva toiminnan kannalta.
Kaksi analysoijaa päätyvät harvemmin samaan tulokseen, vaikka käytössä olisi samat tie-dot organisaatiosta sekä toiminnallisesta ympäristöstä. Tämä on luonnollista, sillä asioi-den vertailu on subjektiivista. Toinen henkilö näkee asian mahdollisuutena ja toinen taas saman asian uhkana. Tuloksia tulee käyttää ennemmin suuntaa antavina ja analyysin poh-jalta voi päätellä, millaisia vahvuuksia voidaan hyödyntää nykyisessä tilanteessa, sekä tulevaisuudessa että myös kuinka heikkoudet muutetaan vahvuuksiksi. (ks. esim. Opetus-hallitus n.d., Lindroos & Lohivesi 2010, 219-220.)
KUVIO 10. SWOT-analyysi (Lindroos & Lohivesi 2010, 220.)
Tutkielmani kolmannessa tutkimuskysymyksessä hyödynsin SWOT-analyysiä. Muodos-tin alaluokat ja ryhmittelin ne taulukkoon 6. Alakategoriat muodostuvat tutkimuskysy-mysten yksi ja kaksi yläluokkien alta sekä uudestaan lukemalla 14 julkaisuja etsimällä vastauksia kolmanteen kysymykseen, mitä ovat terveydenhuollon kyberturvallisen toi-minnan sisäiset vahvuudet ja heikkoudet sekä ulkoiset mahdollisuudet ja uhat.
5 TULOKSET
5.1 Kyberturvallisuus terveydenhuollon johtamisessa
Olen muodostanut kyberturvallisuuden johtamisesta terveydenhuollossa kolme yläluok-kaa, jotka ovat ennakointi, riskienhallinta ja resursointi (kuvio 11).
KUVIO 11. Kyberturvallisuus terveydenhuollon johtamisessa
Ennakointi
Yhdysvalloissa vuodesta 2009 vuoteen 2015 terveydenhuoltoa koskeviin tietoihin on tehty 619 rikkomusta, jotka koskivat yli 22 miljoonaa henkilöä. Pelkästään vuonna 2015 lähes 100 miljoonaa sairauskertomusta oli vaarantunut. Vuoden 2012 tutkimuksessa to-dettiin, että 80 kyselyyn osallistuneesta terveydenhuollon organisaatiosta 94 prosentilla oli rikkomuksia edeltävien kahden vuoden aikana ja 45 prosentilla oli yli 5 rikkomusta samana ajanjaksona. (Zandona & Thompson 2017, 364.) Australialaisen tutkimuksen mu-kaan, jos kyberturvallisuus ei toimi odotetusti, niin silloin se on monimutkaisempi on-gelma. Onkin katsottava tekijöihin, jotka vaikuttavat tällaiseen mahdollisesti epävarmaan
Kyberturvallisuuden johtaminen terveydenhuollossa
Ennakointi Riskienhallinta Resursointi
ympäristöön, jossa haavoittuvuuksien tunnistaminen on tärkeää. On selvää, että koordi-noitu ja ennakoiva lähestymistapa mahdollisten ongelmien ratkaisemiseksi on välttämä-töntä. (Williams & Woodward 2015, 306.) Tämän vuoksi kyberturvallisuus ei ole vain tekninen asia.
Kyberturvallisuuden vuoksi johtamisessa on laadittava toimenpiteitä. Yhdysvaltalaiset tutkimukset nostivat esiin, että ennakointi on keskeinen ehkäisijä terveydenhuollon ky-berturvallisuuden tuomissa haasteissa. Tietoverkkorikolliset voivat tehdä identiteettivar-kauksia, lääketieteellisiä petoksia ja kiristyksiä saaden näin laittomasti valvottavia lait-teita hallintaansa. Lääketieteellisten tietojen hyödyllisyys ja monipuolisuus sekä tietotur-vajärjestelmät ja niiden laajempi käyttö terveydenhuollon tietotekniikan infrastruktuu-rissa, edistävät osittain terveydenhuollon yksiköiden turvallisuutta niihin kohdistuvilta verkkohyökkäyksiltä. (Kruse, Jacobson & Monticone 2016, 6.)
Lääketieteellinen identiteettivarkaus on yksi nopeimmin kasvanut terveydenhuollon ri-kollisuuskohde. Rikolliset voivat hakkeroitua verkkoon kytkettyihin sydämentahdisti-miin tai insuliinipumppuihin langattoman yhteyden kautta, lääketieteellisiin tietokantoi-hin tai jopa murtautua terveydenhuollon laitoksien sähköverkkoon. (Stowell, Schmidt &
Wadlinger 2018, 1044.) Tämän vuoksi kyberturvallisuus vaatii enemmän huomiota, sillä kyberhyökkäysten uhka on todellinen ja kasvava. Vaara voi piillä vesi, sähkö- tai tietolii-kenteen verkossa. (Payette, Anegbe, Caceres & Muegge 2015, 32.) Verkkohyökkäykset vesi-, sähkö- tai tietoliikennejärjestelmiin asettavat nopeasti sairaalat vaikeuksiin. Haas-teita tuottaa, että turvallisuuteen asetetut budjetit ovat liian alhaisia, ja tähän olisikin syytä kiinnittää huomiota. (Harries & Yellowlees 2012, 63-64) Erilaiset tietotekniikkahankkeet tarjoavatkin kyberturvallisuuden avulla mahdollisuuden luoda riittävän suojauksen kriit-tisen infrastruktuurin tietojärjestelmien eri osiin (Payette ym. 2015, 32).
Tietosuojaa koskeva lainsäädäntö ja pakollinen raportointi ovat johtaneet ennakoivaan lähestymistapaan, jolla edistetään tietoverkkoturvallisuuteen liittyvää tietoisempaa toi-mintaympäristöä, mutta kyseinen lähestymistapa on edennyt hitaasti Yhdysvaltojen ulko-puolella. (Williams & Woodward 2015, 308.) Brasilialaisen tutkimuksen mukaan kor-kean teknologian taso on välttämätöntä, jotta potilaiden tietoturva säilyy. Toiminnan
säi-lyttämiseksi on varauduttava ennakoivalla ja strategisella riskienhallinnalla mukaan otta-malla kaikki terveydenhuollon ammattilaiset, jotka verkossa toimivia tietojärjestelmiä käyttävät. Keinona tähän on, että tutkimalla ja suunnittelemalla luodaan ratkaisuja ris-kienhallintaan ja arviointiin. (Etges, Grenon, Lu, Cardoso, Souza, Neto &Felix 2018, 14.)
Riskienhallinta
Terveydenhuollossa kyberturvallisuuden johtaminen nähdään enemmän potilastietojen ja organisaation suojeluna erilaisilta haittavaikutuksilta. Yhdysvaltalaisten tutkijoiden Zan-donan ja Thompsonin (2017, 356) mukaan terveydenhuollon johtajat eivät koe olevansa valmiita tuleviin kyberriskeihin, joita uudistuva ja sähköistyvä terveydenhuolto tuo mu-kanaan. Kuitenkin ymmärretään, että terveydenhuollon toimintatapojen muuttuessa on tarjottava luotettavat ja turvalliset terveydenhuollon palvelut. Terveydenhuollon johdon tulee osallistua teknisen laadun parantamiseen kyberturvallisuudessa, jotta terveyden-huollon tehtävä huolehtia potilasturvallisuudesta toteutuu. Kuviossa 12 esitän kybertur-vallisuuden toiminnan tarkoituksen riskienhallinnan kautta.
KUVIO 12. Kyberturvallisen toiminnan tarkoitus Luotettavat ja
turvalliset terveydenhuollon palvelut;
asiakaspalvelun kehittäminen
Teknisen laadun parantaminen
Potilasturvallisuus
Iso-Britannialaisen tutkimuksen mukaan verkostoitumisen tarve riskienhallinnan suun-nittelussa ja toteutuksessa on oleellista, kun toimitaan sähköisessä terveydenhuollon toi-mintaympäristössä. Verkostoituneessa terveydenhuollon organisaatioissa potilaiden hoito toteutuu erilaisten tietojärjestelmien varassa. Järjestelmien monimutkaisuus, kom-ponentit, viestintä, tietojenkäsittely ja ohjaustekniikka tuovat omat haasteensa ja niiden toimintaa pitäisi integroida entisestään. Terveydenhuollon johtamisessa on ymmärrettävä organisaation ulkopuolisten kiinnostus arvokkaaseen potilastietoon, sillä tietoverkko-hyökkäykset ovat lisääntyneet. Ymmärrettävä on, että tietoverkkojen tietoverkko-hyökkäykset voivat johtaa erilaisiin riskeihin. Ne vaikuttavat kriittisen infrastruktuurin liiketoiminnan jatku-vuuteen, mukaan lukien tuotannon ja suorituskyvyn heikkenemisen sekä kriittisten pal-velujen saatavuuden. Tunnistus ja riskienhallinta koko organisaatiossa auttaisivat välttä-mään riskejä ja edistävälttä-mään sen turvallisuutta. Vaadittaisiin yhdennettyä riskienhallinta-järjestelmää, joka loisi kokonaisvaltaisen ratkaisun, mutta samalla huomioisi organisaa-tion tekniset lähtökohdat toimintoja kehitettäessä. (Kure, Islam, & Razzaque 2018, 1-5.)
Kanadalaisen tutkimuksen mukaan johtamisen kannalta tietoisuuden lisääminen verkko-toiminnoiden yhteen toimivuudesta korostuu kyberturvallisuudessa, kun lääkinnällisiä laitteita integroidaan. Terveydenhuollon johtajien on tiedostettava, kuinka haitalliset hak-kerit voivat haavoittaa verkkopalveluita, joten ennen lääkinnällisten laitteiden markki-noille tuloa pitäisi testata laitteiden toimivuus. Näin testaajat voivat löytää lääkinnällisten laitteiden heikkouksia, jotka voitaisiin lähettää valmistajan tai lähettäjän korjattavaksi en-nen markkinoille altistumista ja enen-nen käyttöönottamista. (Samaras & Samaras 2018, 297-298.) Kyberturvallisuuspoliittisen kulttuurin vuoksi yhteinen lainsäädäntö koko EU:
ssa on merkittävä edistysaskel, joka vaikuttaa johtamisen kautta terveydenhuollon tieto-järjestelmien suunnitteluun ja sitä kautta hallintaan. (Natsiavas ym. 2018, 11.)
Yhdysvaltalaisen tutkimuksen mukaan terveydenhuollon organisaatiot ympäri maailmaa ovat tunnistaneet digitaalitekniikan valtavana potentiaalina parantaa asiakaspalvelua. Or-ganisaatiot ymmärtävät myös, että verkkoturvallisuuden kannalta kriittisenä potilastur-vallisuusongelmana korostuvat erilaiset haittaohjelmahyökkäykset. Terveydenhuollossa on suurempia verkkoriskejä kuin muilla aloilla, koska sen turvallisuudessa on luontaisia haavoittuvuuksia enemmän. (Martin, Martin, Hankin, Darzi & Kinross 2017, 1-3.)
Resursointi
Suurin osa terveydenhuoltojärjestelmistä on huonosti varustettu torjumaan verkossa pii-leviä uhkia. Yhdysvaltalaisen tutkimuksen mukaan riskit ovat nousseet suuremmiksi, koska erillisiltä työasemilta on siirrytty integroiduille alustoille, jotka on liitetty järjestel-män yhteiseen verkkoon. Pienempiä hyökkäyksiä on vaikea havaita, mutta vakavassa ta-pauksessa pienikin tietoverkkohyökkäys voi johtaa potilaan vääränlaisen hoitoon. Tieto-kantoihin murtautuessa voidaan muokata potilastietoja niin, että lääkäreiden määräyksiä, lääkeannoksia tai muita tietoja muutetaan. Sekaannus pahentaa tilannetta ja pahimmassa tapauksessa tämä voi johtaa potilaan kuolemaan. (Harries & Yellowlees 2012, 61-62.)
Yhdysvaltalaisen tutkijoiden Jalalin ja Kraiserin (2018, 21) mukaan kokonaisvaltaisen ratkaisun luominen vaatii taitoa riskienhallintajärjestelmän luomiseen, milloin toimintoi-hin on suunnattava oikeat resurssit. Oikeanlainen resursointi ja resurssien saatavuuden yhdenmukaistaminen terveydenhuollossa vähentäisi todennäköisesti rikollisten ky-berhyökkäyksiä. Tämän estäminen voitaisiin saavuttaa muutamalla tavalla, esimerkiksi keskittämällä ja yhtenäistämällä terveystietoja sekä tietoturvapolitiikan hyödyntämisellä tietosuojan tavoitetasojen asettamiseksi. Yhtenäisen järjestelmän etuja ovat yhtenäiset re-surssit ja valvontapolitiikka, mikä poistaisi monimutkaisuuden eri järjestelmien välillä.
Kyberturvallisuuskyvyn haasteena on, että resurssien käyttö korreloituu voimakkaasti infrastruktuurin iän kanssa lisääntyvien tietoturvakorjausten myötä, sillä korjausten määrä kasvaa järjestelmien vanhentuessa. Näin ollen kyberturvallisuuden taso pienenee, mikä puolestaan edellyttää resursointia valmiuksien rakentamiseen.
5.2 Kyberturvallisuuden tekijät terveydenhuollon johtamisen tasoilla
5.2.1 Kyberturvallisuuden tekijät strategisella tasolla
Strategisen tason tekijöistä yläluokiksi nousi varautumissuunnittelu, kumppanuudet ja verkostoituminen sekä tietoverkkoturvallisuuden integrointi (kuvio 13).
KUVIO 13. Kyberturvallisuus terveydenhuollon johtamisessa strategisella tasolla
Varautumissuunnittelu
Kyberturvallisuudesta huolehtimisessa terveydenhuollon strategisen johtamisen tasolla vaaditaan ennakoivia lähestymistapoja riskienhallintaan, henkilöstön koulutukseen ja valmiussuunnitteluun. Strategisen johtamisen tasolla on oltava tietojärjestelmien varau-tumissuunnittelu, joka koostuu liiketoiminnan vaikutusten analysoinnista, tapahtumien havaitsemisesta ja reagoinnista, mahdollisten katastrofien korjaamisesta sekä liiketoimin-nan jatkuvuudesta. (Williams & Woodward 2015, 312). Tarkoittaen, että
terveydenhuol-Varautumissuunnittelu, laadun parantamiseen suuntautunut strategia
Kumppanuudet, verkostoituminen
Tietoverkkoturvallisuuden integrointi
lossa on laitettava täytäntöön laadun parantamisstrategioita, jotta tietoturvallisuus voi-daan toteuttaa paremmin. Selkeän ja jatkuvan viestinnän sekä palautteen luominen alem-malta tasolta ylemmälle tasolle rikkomusten estämiseksi on välttämätöntä.
Strategisella tasolla on ymmärrettävä, että kyberhyökkäykset useimmiten vievät rahaa, tietoja ja tekijänoikeuksia. Menetyksestä on haittaa niin terveydenhuollon organisaation taloudelle kuin maineelle. Terveydenhuoltoon kohdistuu entistä suurempia kyberriskejä kuin muille aloille, koska sen turvallisuusasetelmat ovat luonteeltaan heikompia kuin muunlaisissa organisaatioissa. (Martin ym. 2017, 1-3.) Riskin muuttuessa todelliseksi ja puutteellisten vakuutusasioiden puolesta ei voida olettaa, että tappiosta saa korvausta.
Vahingosta aiheutuu aineellisia tappiota, mutta merkittävä osa näistä ovat aineettomia, kuten maineen menetys, liikearvo ja kilpailukyky, joita ei voida rahalla korvata. (Ögut, Raghunathan & Menon 2011, 497-498.) Strategisen johdon on muistettava tapahtumista aiheutuva imagohaitta ja se, että mitä pohdintoja tämä aiheuttaa terveyspalveluiden käyt-täjillä median uutisoinnin vuoksi. Turvallisten palveluiden tuottamisessa on kyse organi-saation tuottamasta brändistä, joka on tavallaan palvelun sisällöstä eräänlainen yhteen-veto, millä siten tuodaan samalla lisäarvoa omalle toiminnalle.
Kumppanuudet ja verkostoituminen
Terveydenhuollon johtamisessa on tärkeää ymmärtää, että erilaiset kumppanuudet mui-den sairaaloimui-den ja terveyspalveluimui-den organisaatioimui-den sekä kolmansien tahojen kanssa on välttämätöntä yleisen turvallisuuden ja potilasturvallisuuden parantamiseksi. Tämä yhteistyö voi myös auttaa ylläpitämään ajan tasalla olevia ja tehokkaita tekniikoita, joihin sisällytetään tietojen suojaaminen. Järjestelmänvalvojat voivat aktiivisesti etsiä ja puuttua tietoturvaongelmiin vähentämällä kustannuksia. On kuitenkin huomioitava, että jatkuva laadun parantaminen vie huomattavasti aikaa ja resursseja, mutta se on silti olennainen asia estämään terveydenhuollon verkkojärjestelmän vaarantumisen mahdollisuutta. (Zan-dona & Thompson 2017, 370.) Voidaan siis olettaa, että kyberturvallisen toiminnan vuoksi on verkostoiduttava ja saatava erilaisia kumppanuuksia, jotta terveydenhuollon tehtävä saadaan toteutettua.
Tietoverkkoturvallisuuden integrointi
Terveydenhuollossa on tarpeen luoda oma prosessi kehittyneen tietoverkkoturvallisuuden integroimiseksi, jossa huomioidaan riskienhallinta ja sen kehitykseen liittyvät teknologiat sekä niiden käytännöt (Kure, Islam & Razzaque 2018, 28). Käytössä olevan tekniikan tulee ohjata käyttäjää oikeisiin ratkaisuihin ja vähentää mahdollisia uhkia. Huolimatta terveydenhuollon jatkuvista ponnisteluista tietojärjestelmien suojelemisessa verkkorikol-lisuuksien uudet muodot voivat aiheuttaa pysyviä haittavaikutuksia.
Strategisen johtamisen tason on hyvä pitää mielessä, että kyberhyökkäykset voivat olla kallis ärsytys toiminnalle. Terveydenhuollon yksiköt eivät voi vaarantua niin, että niiden toiminta keskeytyisi. Budjetointi tulee pitää mielessä terveydenhuollon organisaation tur-vallisuuden muodostamisessa. Jatkuvassa kehityksessä on ymmärrettävä, että terveyden-huollon yksiköiden lisätessä teknologista infrastruktuuria, niin potilaiden hoito altistuu enemmän rikosten kohteeksi (ks. esim. Kruse, Jacobson & Monticone 2016, 7.)
Strategisella tasolla halutaan viedä digitaalista kehitystä eteenpäin, mutta lääkinnällisten laitteiden ja muiden kliinisten järjestelmien integrointi on lisännyt laitteiden alttiutta tie-toturvaloukkauksille. Lääketieteellisten laitteiden, verkottumisen, ohjelmistojen ja käyt-töjärjestelmien integraation myötä haasteet lisääntyvät ja ne tunnetaan yhteisesti kyber-turvallisuuden heikkoutena. Ongelmana on, että tämä määritelmä sisältää datan tallen-nuksen ja tiedonsiirron, joka ei ole tähän mennessä ollut lääketieteellisten laitteiden val-mistajien tietoturvaa. Ymmärretään, että haavoittuvuudet eivät rajoitu pelkästään laitteen ominaisuuksiin ja liitettävyyteen. Niihin sisältyvät teknologiakysymykset, ohjelmistoris-kit ja inhimilliset tekijät sekä unohtamatta potilasturvallisuutta. Päätöksenteon tueksi tar-vitaan tietolähteiden vertailua, sillä tulee suojata lääketieteellisten laitteiden valmistuksen suunnittelu ja kehitys. Standardien tarkistaminen ja uusien kansallisten ohjeiden on oltava tällöin ajantasaisia. Vastuuvelvollisuuden luomisessa on merkittävää lääketieteellisten laitteiden turvallisuuden kannalta hyödyntää siten niihin tarkoitettuja standardeja. Lää-kinnällisten laitteiden tuotannonalalla onkin kannattavaa lisätä tietoisuutta kyberturvalli-suudesta ja yksityisyyden suojasta. (Williams & Woodward 2015, 305-307.) Näiden syi-den vuoksi onkin huomioitava kyberturvallisuusyi-den osallisuus kehityksessä ja luotava mo-niammatillisia toiminnallisia ryhmiä, jotta turvallinen ja luotettava hoito toteutuu.
5.2.2 Kyberturvallisuuden tekijät operatiivisella tasolla
Operatiivisen tason kyberturvallisuuden tekijöistä nousivat yläluokiksi johdon esimerkki, henkilöstön työhyvinvointi ja motivointi sekä henkilöstön kouluttaminen (kuvio 14).
KUVIO 14. Kyberturvallisuus terveydenhuollon johtamisessa operatiivisella tasolla
Johdon esimerkki
Natsiavas ym. (2018, 13) mukaan operatiivisten päälliköiden ja tietovastaavien on näy-tettävä omalla toiminnallaan esimerkkiä henkilöstölle. Heidän tulee informoida ohjeis-tuksesta, joka heijastaa organisaation kiinnostusta ja sitoutumista potilasturvallisuuteen kyberturvallisuuden kannalta. Erilaiset ohjelmat ja ilmoitukset edistävät paremman tieto-turvan tarpeen merkitystä ja tietoisuutta henkilöstössä. Työympäristön on hyvä olla oppi-miseen kannustava. Tulee luoda avoin ympäristö, jossa henkilökunta voi vapaasti keskus-tella ja pohtia, miten heidän oma toimintansa voi vahingoittaa potilasturvallisuutta.
Johdon esimerkki
Henkilöstön työhyvinvointi ja
motivointi
Henkilöstön kouluttaminen
Henkilöstön työhyvinvointi ja motivointi
Kyberturvallisuuden toimivuuden kannalta nousi esiin henkilöstön osallisuuden merki-tys, kun taataan korkealaatuinen ja turvallinen hoito potilaille. Terveydenhuollon riskien-hallinnassa on vastattava oikeanlaisesta resursoinnista, sillä pitää tiedostaa työntekijöistä johtuvien riskien merkitys koko organisaatiolle. Yksittäisen työntekijän voinnilla on mer-kitystä. Emotionaalisen uupumuksen ratkaiseminen on välttämätöntä, jotta varmistetaan potilasturvallisuuden korkea taso. Yksittäisen lääkärin työhyvinvointi ei välttämättä hyö-dytä organisaatiota, mutta se voi olla laadun organisatorinen indikaattori tietoverkkotur-vallisuuden kannalta. Inhimillisen pääoman vuoksi terveydenhuollon organisaatioiden on ylläpidettävä riskienhallinnan osaamista riskiluettelon kärjessä. (Etges ym. 2018, 13-14.) Tämän vuoksi voidaan päätellä, että jokaisen työntekijän osaamisella ja taustalla on mer-kitystä riskienhallinnassa, mikä vaikuttaa osakseen rekrytointiin.
Koulutustilaisuuksia tulee järjestää henkilöstön tiedottamiseksi ja kouluttamiseksi siitä, kuinka uutta käytäntöä noudatetaan asianmukaisesti. Kannattavaa on lisätä mahdollisuuk-sia näiden uusien odotusten noudattamiseen. Ilman motivoitunutta ja sitoutunutta työvoi-maa kohdataan helposti vastarintaa, kun pyrkimyksenä on ottaa käyttöön tehokkaita tie-toturvakäytäntöjä. Henkilöstön koulutuksella tulee kannustaa työntekijöitä noudattamaan tietoturvaa koskevia käytäntöjä. Koko henkilöstön on omaksuttava tietoturva, koska hei-dän työnsä pitää olla potilasturvallista, joten verkkoympäristössä työskentelyn pitää olla turvallista ja luotettavaa. (Zandona & Thompson 2017, 367- 370.)
Henkilöstön koulutus
Kreikkalaisen tutkimuksen mukaan henkilökunnan tietoisuutta on merkittävää lisätä ky-berturvallisuudesta ja terveystietojen vaihdossa eri järjestelmien välillä (Natsiavas ym.
2018, 12). Yhdysvaltalaisen kirjoituksen mukaan on hyvä ymmärtää, että kokonaisturval-lisuuden kannalta tulee suorittaa internet-selainten säännöllinen päivittäminen. Henkilö-kuntaa muistutetaan vahvojen salasanojen käytöstä ja epäilyttävien linkkien tai liitteiden avaamisen riskeistä sähköpostin kautta. Ymmärrettävää on, kun laitteita liitetään toisiinsa tai kun ulkoisia muisteja, esimerkiksi kun USB-muistia siirretään eri työasemien välillä,
millainen tartuntariski on olemassa. Ajantasaisen koulutuksen tarve korostuu henkilökun-nan tietämyksen lisäämisenä turvallisuudesta (Parwani 2017), sillä esimerkiksi muistu-tuksena, että työntekijöiden velvollisuutena on toteuttaa asianmukaisesti määritellyt oh-jelmistopäivitysprosessit. (Kruse, Jacobson & Monticone 2016, 7.)
Kun selvennetään esimerkein, miksi pitää toimia tietyllä tavalla, niin henkilöstö helpom-min motivoituu muokkaamaan myös omaa toihelpom-mintaansa. Williamsin ja Woodwardin (2015, 312) mukaan päivittäisessä operatiivisella tasolla jokapäiväiset käytännöt, kuten teknisten valvontatoimien toteuttaminen on toimittava rutiininomaisesti. Kyberturvalli-suudesta huolehtiminen toteutuu tehokkaasti, kun resurssit ovat kohdennettu oikein. Pro-sessit, jotka ovat integroitu saumattomasti työnkulkuun varmistavat verkkoturvallisen toi-minnan oikeaoppisen toteutumisen.
Terveydenhuollon johto voi myös hyötyä henkilökunnan palautteesta, jolloin sen tulee järjestää turvallisuutta käsitteleviä tilaisuuksia henkilöstön palautteen avulla sekä ottaa henkilöstö mukaan kehittämään turvallisuustietoisuutta ja tekniikoita. Organisaatioiden käytännesäännöt pitää päivittää sisällyttämään kaikki tietoturvallisuuden ja potilasturval-lisuuden kannalta merkitykselliset käytänteet. Tähän sisältyy rikkomusten ilmoittaminen, epäiltyjen rikkomusten tunnistaminen ja ennen kaikkea asianmukaisen protokollan nou-dattaminen. Koulutusseminaarit auttavat henkilöstöä tunnistamaan, mikä on rikkomus tai mahdollinen riski sekä miten estetään niiden syntyminen. Järjestelmänvalvojien on muis-tettava kannustaa työntekijöitä ilmoittamaan tapauksista avoimuuden ylläpitämiseksi ja palautteen antamiseksi organisaatiossa. (Zandona & Thompson 2017, 367-368.)
5.3 Terveydenhuollon kyberturvallisen toiminnan sisäiset vahvuudet ja heikkoudet sekä ulkoiset mahdollisuudet ja uhat
Luin neljätoista artikkelia uudelleen etsien asioita, jotka vastaavat kolmanteen tutkimus-kysymykseeni. 5.1 ja 5.2 luvuissa esiintyvien yläluokkien alle perustin alaluokat sisällön analyysin pelkistyksien avulla sekä aineiston uusintalukemisen myötä nousseista asioista.
Näistä ylä- ja alaluokista koostin kuvion 15.
Muodostin löytämistäni alaluokista taulukon 6, joka on toteutettu SWOT-analyysillä, jonka avulla vastaan kolmanteen tutkimuskysymykseen.