Sisäiset vahvuudet Johdon osallistuminen
Internet-selainten säännöllinen päivittäminen Laitteiden päivitys
Laitteiden yhteenliitettävyys ja niiden sidosryhmien toimivuus Jatkuva teknisen laadun parantaminen Yhteinen potilastietojärjestelmä, integrointi
Selkeät vastuualueet
Koulutettu henkilöstö, työhyvinvointi Vahvat salasanat
Valvottu ja ohjattu vesi-, sähkö- ja tietoliikenneverkko
Sisäiset heikkoudet
Johtajien kykenemättömyys hoitaa riskejä Lääkinnällisten laitteiden ja Internet-
selainten päivitysten laiminlyönti
Osaamaton ja huolimaton henkilökunta Epäilyttävät linkit ja liitteet sähköpostissa Ohjaamaton ja valvomaton vesi-, sähkö- ja
tietoliikenneverkko
Ulkoiset mahdollisuudet Vakuuttaminen
Lainsäädäntö, standardit, politiikka EU:n yleinen tietosuoja-asetus Laitteiden suunnittelu ja kehitys Kumppanuudet, verkostoituminen
Imago, brändi
Ulkoiset uhat
Tietoverkkohyökkäykset, -uhat ja -riskit Tietokantamurto
Laiterikollisuus USB-tikut, muistikortit
Luonnonilmiöt
Lääketieteellinen identiteettivarkaus Epäilyttävät linkit ja liitteet sähköpostissa
Vesi-, sähkö ja tietojärjestelmä
Terveydenhuollon kyberturvallisuuden sisäinen vahvuus on johdon osallistuminen, kun vastaavasti heikkous on johdon kykenemättömyys hoitaa riskejä. Internet-selainten ja laitteiden päivittäminen on kyberturvallisuuden vahvuus, mutta laiminlyönti on heik-koutta samoin kuin vanhentuneet laitteet. Teknisen laadun parantamisella vahvistetaan myös kyberturvallisuutta terveydenhuollossa. Koulutettu henkilöstö ja heidän työhyvin-vointinsa sekä vahvojen salasanojen käyttö edistävät kyberturvallista toimintaa tervey-denhuollossa. Kyberturvallisuuden kannalta merkittävin vahvuus on terveydenhuollon organisaation oma osaava henkilökunta. (Etges ym. 2018, 14.)
Aineistosta ilmenee, että johtajien pitäisi entisestään tunnistaa ja pyrkiä vähentämään ris-kejä terveydenhuollon organisaation sisällä. Toimiva riskienhallinta onkin sisäinen vah-vuus terveydenhuollon johtamisessa, jonka vuoksi johtajien taustalla on osakseen merki-tystä. Tutkimusten mukaan usein sisäinen heikkous terveydenhuollon organisaatiossa on sen henkilöstö tai laitteisto. Sisäinen heikkous käsittää työntekijöiden tietoturvallisen osaamisen erilaisten verkkolaitteiden käytössä. Henkilökunnan huolimattomuus on heik-koutta. Työntekijä voi hukata arkaluonteista tietoa sisältävän työtietokoneen tai tietämät-tään klikata vaurioitunutta linkkiä sähköpostiviestissä, mikä vaarantaa koko tietoverkon.
Haittaohjelmat leviävät murrettujen verkkosivustojen, verkkomainosten, sähköpostin ja sosiaalisen median välityksellä. Ainoastaan vierailu sivustolla, jonne on ujutettu haitta-koodi, voi saada aikaan haittaohjelman asentumisen sivustolla vierailevan tietokoneelle, josta se leviää muualle organisaation verkkoon. Henkilökuntaa tuleekin muistuttaa tieto-koneen käyttöjärjestelmien ja sovelluksien ajantasaisuudesta huolehtimisesta ja ohjeistet-tava toimimaan ohjeiden mukaan. (ks. esim. Parwani 2017; Natsiavas ym 2018, 13.)
Tutkimustulosten kannalta sisäiset vahvuudet kannalta olivat organisaation käytössä ole-vat verkkoympäristön ominaisuudet ja resurssit. Organisaation sisäinen verkkoympäristö sisältää siihen kytketyt erilaiset verkkolaitteet sekä monet eri järjestelmät. Oikein käytet-tynä ne ovat sisäistä vahvuutta, millä taataan potilasturvallisuus. Terveydenhuollon si-säistä heikkoutta ovat taas puutteellinen valvonta, järjestelmien monimutkaisuus sekä osaltaan myös yhteinen verkkojärjestelmä. Järjestelmässä algoritmin muutos voi horjut-taa terveydenhuollon kyberturvallisuutta. Toisaalta sisäiset heikkoudet voidaan ajatella kehitettävinä kohteina, jotka terveydenhuollon johtamisessa tulee ymmärtää toimivan ky-berturvallisuuden kannalta.
Verkkotoimintojen kannalta toimiva, ohjattu sekä valvottu vesi-, sähkö- ja tietoliikenne-verkko mahdollistavat kyberturvallisuuden toiminnan terveydenhuollossa. Valvomatto-mana ja ohjaamattoValvomatto-mana kyseiset verkkotoiminnat estävät kyberturvallisen toiminnan terveydenhuollon toimintaympäristössä. Nämä verkot ovat myös sisäinen heikkous, mutta samalla ne ovat ulkoinen uhka koko terveydenhuollon toiminnalla, sillä sähkö jae-taan organisaatioon ulkoisesti. (ks. esim. Kruse, Jacobson & Monticone 2016, 7.) Esimer-kiksi Suomessa, jos sairaalaan ei saada sähköä, jonkun ulkoa tapahtuneen uhan vuoksi,
niin silloin hyödynnetään varavoimaa. Mahdollisten ongelmien syntyessä on varavoima-tuotanto keskitetty useissa organisaatioissa eri yksiköiden sisälle ja on suositeltavaa, että kyseisiä koneita on useampi. Jos yksi kone on vaurioitunut, niin muut toimivat.
Ulkoinen mahdollisuus terveydenhuollon kyberturvallisuudelle on toiminnan vakuutta-minen, sillä se motivoi huolehtimaan toiminnasta (Ögut,Raghunathan & Menon 2011, 495). Osaltaan lainsäädäntö, standardit ja politiikka sekä EU:n yleinen tietosuoja-asetus ovat ulkoinen mahdollisuus, sillä ne luovat raamit kyberturvalliselle toiminnalle. Ulkoi-sina mahdollisuukUlkoi-sina ovat laitteiden suunnittelu ja kehitys, sekä hyvät kumppanuudet että verkostot. (ks. esim. Zandona & Thompson 2017, 362). Toimivalla kyberturvallisuu-della vaikutetaan terveydenhuollon imagoon ja brändiin.
Ulkoisina uhkina terveydenhuollon kyberturvallisuudelle ovat tietoverkkohyökkäykset, - uhat ja -riskit sekä tietokantamurrot ja laiterikollisuus. Oman henkilöstön tai vieraili-joidentuomat USB-tikut ja muistikortit, joita on käsitelty muualla kuin organisaation lait-teilla voivat tuoda mukanaan toisesta laitteesta ”vaarallisia tartuntoja”. Lääketieteellinen identiteettivarkaus on ulkoinen uhka, jos terveydenhuollon tietoja pääsee väärille tahoille.
Tällainen uhka altistaa tiedon väärinkäytön. Terveydenhuollon organisaation ulkopuo-lelta tulleet epäilyttävät linkit ja liitteet sähköpostissa tulee käsittää myös ulkoisena uh-kana kyberturvallisuudelle. (ks. esim. Kruse, Jacobson & Monticone 2016, 6.)
SWOT- analyysistä nousi mietittäväksi myös yhteys terveydenhuollon laitteen omista-juudesta ja käyttöominaisuuksista. Toimiessaan erilaisten laitteiden varassa on pohdittava laitteisiin liittyviä erilaisia turvallisuusasioita. Jos laitteilla on mahdollisuus päästä erilai-siin henkilöstörekistereihin, niin millä taholla on silloin kanssa. Ohjataanko laitteita or-ganisaation oman toiminnan kautta vai ulkoisen toimijan kautta?
Yhteenvetona, että muodostamani taulukon 6 ja kuvion 15 tehtävänä on tarjota strategi-selle, että operatiiviselle terveydenhuollon johtamiselle työkaluja ymmärtää kyberturval-lisuutta terveydenhuollossa. Kuviossa 15 olen muodostanut tutkimukseni yläluokat en-simmäisen ja toisen tutkimuskysymyksen ylemmän aaltosulkeen kohdalla sekä tutkimuk-seni alaluokat kolmannen kysymyksen ja alemman aaltosulkeen kohdalla.
KUVIO 15. Tutkimustulosten luokittelu
6 POHDINTA JA JOHTOPÄÄTÖKSET
6.1 Tutkimuksen luotettavuus ja eettisyys
Tutkielmani on aineistolähtöinen ja ilmiön ymmärtämiseen tähtäävä kuvaileva kirjalli-suuskatsaus kyberturvallisuudesta terveydenhuollon johtamisessa. Tutkimukseni tehtävä on määritetty selkeästi ja teoreettinen perusta on rakentunut ymmärrettävästi perustuen rehellisyyteen, huolellisuuteen ja tarkkuuteen koko prosessin ajan. Tutkimukseni suun-nittelu, toteutus ja raportointi ovat tapahtuneet tieteellisen tiedon vaatimusten mukaisesti.
Aineiston jatkuvan reflektoinnin ja vastavuoroisuuden tarkoituksena on, että itse tutki-muskysymys ja valittu tutkimusaineisto täsmentyvät koko tutkimusprosessin ajan. (Kan-gasniemi ym. 2013, 292). Tutkielmani tutkimuskysymyksiä selvensin tutkimukseni ai-kana vastatakseni parhaiten tutkimaani ilmiöön sekä olen huomioinut aiempien tutkimuk-sien asianmukaisuuden. Tutkimuskysymykset olivat varsin laajoja, mutta niiden kannalta määritin keskeiset käsitteet, jotka olivat kyberturvallisuus, terveydenhuolto ja johtami-nen. Aineistonhaussa tiedostin, että internetiin syntyy päivittäin uusia sivuja, jotka sisäl-tävät valtavan määrän uutta tietoa. Suurin osa tiedosta oli kuitenkin viihteellistä, joten pidin mielessäni, että korkealaatuinen tieto löytyi suurista lisensioiduista tietokannoista.
Tarkoituksenani olikin valikoida eri tietokannoista aiheeseen sopivista tieteellisiä julkai-suja, jotka sopivat tutkimukseni tarkoitukseen muodostaen siten kattavan kokonaisuuden.
Mäkisen (2005, 177) mukaan aineiston hankinnassa oleellista on käyttäjäystävällisyys ja käytettävyyden korostuminen, kun pyritään tiedonhakijan omatoimisuuteen. Tein alkuun koehakuja erilaisilla hakusanoilla tutkimuksessani käyttämiin tietokantoihin Google Scholar, UEF-Finnan kirjaston kokoelma sekä kotimaisiin tietokantoihin Artoon ja Me-lindaan. Koehakujen jälkeen siirryin varsinaiseen hakuun ja etsin sopivia artikkeleita UEF-Finnan kansainvälisestä artikkelihausta. Tämän lisäksi aineistoni haussa hyödynsin informaatioasiantuntijan osaamista. Tämä korostaa tutkimukseni haun luotettavuutta, sillä hakusanojen käyttöä arvioin myös hänen kanssaan. Hakusanojen huolellinen valinta rajasi halutuloksia niin, että jäljelle jäävät artikkelit vastasivat tutkimuksen tehtävään mahdollisimman hyvin. Ymmärsin, että hakusanoja monipuolistamalla ja erilaisella
asia-sanahaulla oli vaikutusta saamiini tuloksiin. Hakuja tehdessäni totesin valitsimieni tieto-kantojen ja tieteellisten lehtien soveltuvuuden omaan tutkimushakuuni. Scopus ja Web of Science – tietokantoihin tekemilläni hauilla sain samoja tuloksia molemmista kannoista, joten en päätynyt käyttämään enää muita tietokantoja. Sopivia julkaisuja etsin viidestä eri tieteellisestä lehdestä (BMC Health Services Research, Expert Systems with Applica-tions, Health Care Manager, International Journal of Medical Informatics ja Journal of Biomedical Informatics). (ks. esim. Salminen 2011, 10.)
Tutkimuskysymyksiini etsin vastauksia monipuolisesti tietyin kriteerein ja aineiston va-linnat kriteerit näkyvät sisäänotto- ja poissulkukriteerien taulukossa 5 luvussa neljä. Tä-hän saatuun aineistoon tutustuessani totesin, että kaikki julkaisut eivät soveltuneet vas-taamaan tutkimukseeni ja päädyin neljääntoista kansainväliseen julkaisuun. Valittujen julkaisun kriteerinä oli, että julkaisun sisältö vastasi tutkimustehtävään antaen lisätietoa tutkittavasta aiheesta. Neljätoista julkaisua voi olla toisaalta vähän, mutta se osoittaa, että kyberturvallisuutta terveydenhuollon johtamisen kannalta ei ole tutkittu kovin paljoa.
Pääluvussa neljä dokumentoin tutkimukseni aineistonhaun, jotta se voidaan tarvittaessa tarkastaa. Myös Anil V. Parwanin (2017) puheenvuoron hyväksyin, sillä puheenvuoro sisälsi oleellisia huomioita tutkimustehtäväni kannalta
Ilman avoimuuttani uusille näkemyksille ja aineistonkeruutani kansainvälisistä tutkimuk-sista aiheestani en olisi saanut yhtä monipuolista toteumaa ja vaikutusta. Osassa hyväk-sytyistä julkaisussa oli arvioitu kyseisen tutkimuksen luotettavuus, mutta toisissa tutki-muksissa oli kuvattu tutkimuksen tarkoitus, toteutus ja tulokset. Osassa artikkeleita tar-koituksena oli kuvata, kuvailla, selvittää tai saada tietoa sekä joissakin korostettiin käsi-tyksen muodostamista tutkittavasta aiheesta, minkä koin lisäävän luotettavuutta.
Tiedostin, että laadullisen tutkimuksen luotettavuuden arvioimiselle on olemassa useita kriteereitä. Kerätyn aineiston käyttöön sisältyy hyvä tiedonhallinta, joka tarkoittaa, että lähdekirjallisuus on merkitty tekstiin ohjeistuksen mukaisesti (Kuula & Tiitinen 2010, 457). Olen kirjoittanut lähdemerkinnät luotettavuuden takaamiseksi niin työni tuloksiin kuin teoreettiseen viitekehykseen On suositeltu, että tutkimustulosten luotettavuuden kannalta käytettäisiin suoria lainauksia (Kyngäs, Kääriäinen, Elo, Kanste & Pölkki 2011,
147), mutta suoria viittauksia en tutkimuksen tulosten aukikirjoituksessa käyttänyt. Tu-lokset tallensin, arvioin ja esitin käyttämällä eettisesti kestäviä tiedonhankintamenetelmiä sekä tutkimus- ja arviointitapoja.
Ensimmäiseen ja toiseen tutkimuskysymykseeni aineiston olen koonnut luokittelemani yläluokan alle. Kolmanteen tutkimuskysymykseen olen vastannut yläluokkien alle muo-dostamistani alaluokista. Kolmanteen kysymykseen vastaamista täydensin kertomalla, miksi jokin asia oli esimerkiksi sisäistä vahvuutta. Tutkimusaineistosta saadut tulokset olen pyrkinyt kuvaamaan rehellisesti. Ajallisesti koen käyttäneeni riittävästi aikaa saa-dakseni monipuolisen aineiston sekä olin tietoinen omista lähtökohdistani koko tutkimus-prosessin ajan. Olen myös arvioinut tutkimukseni luotettavuutta tutkimustutkimus-prosessin eri vaiheiden kautta. (ks. esim. Kylmä, Vehviläinen-Julkunen & Lähdevirta 2003, 613.)
Tekemäni aineiston luokittelu ja teemoittelu vaikuttivat tutkimukseni tuloksiin. Tutki-mustulosten luotettavuutta voin kriittisesti tarkastella omien valintojeni kautta, joita teks-teistä lopulta nostin. Valinnat perustuivat minun epistemologiseen ja ontologiseen ym-märrykseeni, mikä vaikuttaa siihen, millaisia ilmiöitä sain esiin. Tiedostin myös, että pelkkä tutkimustulosten luokittelu ei ole riittävää aineiston analysoinnissa. Saamaani ai-neistoa jäsentelin tutkielmassani aineistolähtöisellä sisällönanalyysillä, SWOT-analyy-sillä ja vielä tarkastelemalla muun teorian kautta. Tässä on jo erilaisia vaiheita käyttää aineistoa. Aineistosta ei nouse itsestään ylös mitään eikä aineisto kerro, kuinka sen kanssa tulee toimia, vaan tutkimuskysymys, lukemisen tapa sekä valinnat ohjaavat ja jäsentävät tekstiä. Tulokset olen liittänyt teoreettisiin näkökulmiin ja käytännön esimerkkeihin.
Tällä tavoin tutkimukseni tuloksia avasin moninaisemmin ja sovelsin laajempaan kon-tekstiin. (ks. esim. Mäkinen 2005, 187; Ruusuvuori, Nikander & Hyvärinen 2010, 9-34.)
Olen sisäistänyt, että tieteellisen käytännön lainrikkomus tarkoittaa epärehellistä ja epä-eettistä toimintaa johtuen yleensä tahallisuudesta tai huolimattomuudesta. Yksityiskoh-tainen rikkomuksen selvittäminen on hankalaa ja vilppi tieteellisessä toiminnassa tarkoit-taa myös tiedeyhteisön harhautusta (Tutkimuseettinen neuvottelukunta 2012, 8). Norma-tiivisia kriteereitä rikkovat tutkimuksen teossa hyvän tieteellisen käytännön loukkaukset, jotka ovat jaettu kahteen osaan piittaamattomuuteen (törkeä laiminlyönti) ja vilppiin (lu-vaton lainaaminen, anastaminen, vääristely ja sepittäminen). Viimeksi mainitsemaani
osaa on pidetty raskaimpana tutkimusetiikan loukkauksena, sillä vilppi on epärehellistä ja epäluotettavaa toimintaa, mikä vähentää tutkimuksen merkittävyyttä (Hirvonen 2006, 32). Tiedon digitaalisen muodon kopiointi ja muokattavuus eivät vaikuta tietoon sinänsä, mutta toiminnalla on vakavat juridiset ja eettiset seuraukset (Mäkinen 2005, 178). Nämä seikat ymmärtäen olen välttänyt tekemästä tällaisia virheitä tutkielmassani.
Tutkimuksen laadun arviointiin liittyy tutkimustiedon yleistettävyys, mikä tekee tutki-muksestani hyödyllisen ja tieteellisen. Olen kuvannut jokaisen työvaiheeni totuudenmu-kaisesti tutkimustyössäni. Kirjoitettua tekstiä olen muokannut useaan otteeseen, joten merkityssuhde on voinut muokkaantua matkan aikana, mutta tarkoitus ei ole ollut vääris-tellä tekstin alkuperäisyyttä. Tutkimukseni eettisyyden arvioinnissa tutkimusvaiheiden tarkka kuvaus on keskeinen väline. Kysymykset luotettavuudesta liittyvät asetettuihin tut-kimuskysymyksiin sekä kirjallisuuskatsauksessa käytetyn aineiston valinnan perusteluun ja prosessin johdonmukaisuuteen. (ks. esim. Kangasniemi ym. 2013, 292).
Yleisillä eettisillä ohjeilla tavoitteena on ohjata tutkijaa toiminaan oikein, mutta lopulta tutkija on yksin ratkaisujensa kanssa ja vastuussa toiminnastaan (Saaranen-Kauppinen &
Puusniekka 2006). Tässä tutkimustyössä oli hyväksyttävä, että valmiita ohjeita ja ratkai-suja ei etiikan kannalta ole saatavana.Tutkimukseni loppumetreillä pohdin, olivatko tut-kimuksen aineistonkeruun rajaukset liian tiukkoja validiteetin ja reliabiliteetin kannalta.
Vastaamisessa hyödynsin englanninkielisiä tutkimusten tuloksia, raportteja ja puheen-vuoroa, jotka muodostuivat primaari- ja sekundaarilähteiden käytöstä. Ymmärrän, että on olemassa tulkintavaara kielen kääntämisestä ja tekstin merkityksen muuttumisesta, mikä oli tavallaan eettinen haaste. Oli mahdollista, että vieraskielisen aineiston analysointi saattoi johtaa sudenkuoppiin aineiston analysoinnissa. (ks. esim. Mäkinen 2005, 186.)
6.2 Keskeiset tutkimustulokset
Tutkimukseni tarkoituksena oli aiempien tieteellisten julkaisujen perusteella selvittää, mitä kyberturvallisuus on terveydenhuollon johtamisessa. Tämän lisäksi olin kiinnostu-nut tarkastelemaan, millaisia kyberturvallisuuden tekijöitä on terveydenhuollon strategi-sen ja operatiivistrategi-sen johtamistrategi-sen tasoilla sekä mitä ovat kyberturvallistrategi-sen toiminnan vah-vuudet, heikkoudet, mahdollisuudet ja uhat.
Kyberturvallisuus tulee käsittää yhä kasvavaksi aiheeksi yhteiskunnassa, joka vaatii enemmän huomiota erilaisilta tahoilta ja verkostoitumista. Tulee käsittää, että erilaisten järjestelmien ja sähköverkostojen suojeleminen vaikuttaa, niin kotitalouksiin kuin erilai-siin organisaatioihin. Tutkimukseni mukaan kyberturvallisuutta terveydenhuollon johta-misessa on kansainvälisesti pohdittu enemmän terveydenhuollon organisaation oman toi-minnan kautta kuin teoreettisessa viitekehyksessä kuvaamaani erilaisten toimijoiden kautta. Terveydenhuollossa kyberturvallisuus ymmärretään lähinnä potilastietojen suoje-lemisena, johon varaudutaan erilaisin teknisin keinon. (ks. esim. Payette ym. 2015, 32.)
Haluan muistuttaa, että Turvallisuuskomitea (2018) kuvaa kyberturvallisuutta on tavoite-tilaksi, jossa kybertoimintaympäristöön voi luottaa ja sen toiminta turvataan. Ensimmäi-sen tutkimuskysymykEnsimmäi-seni mukaan terveydenhuollon johtamisessa kyberturvallisuus on ennakointia, riskienhallintaa ja resursointia. Ennakoinnin mukaan on varauduttava tun-nistamaan erilaisia toimintaa horjuttavia uhkia ja riskejä. Riskienhallinnan tarkoituksena on luotava luotettavat ja turvalliset terveydenhuollon palvelut sekä parantaa verkkojärjes-telmän teknistä laatua. Toiminnan tarkoituksena on turvattava terveydenhuollon tehtävä eli turvallinen ja laadukas potilashoito. Epävarmassa toimintaympäristössä haavoittu-vuuksien tunnistaminen on tärkeää potilasturvallisuuden varmistamiseksi. Tämä edellyt-tää teknistä valvontaa, joustavuutta, sääntelyä ja standardeja, joten on selvää, että koordi-noitu ja ennakoiva lähestymistapa on välttämätöntä. Näihin asioihin vastataan oikeanlai-sella resursoinnilla, jotta kyetään torjumaan verkossa piileviä uhkia. Esimerkiksi poista-malla monimutkaisuus luopoista-malla yhtenäinen verkkojärjestelmä. (ks. esim. Williams &
Woodward 2015, 305; Harries & Yellowlees 2012 61; Jalali & Kraiser 2018, 21.) Kyber-turvallisuudesta huolehtiminen on jaettava johtamistasolta asiantuntijatasolle, mikä on osakseen myös ennakointia, resursointia ja riskienhallintaa.
Kyberturvallisuuden johtaminen terveydenhuollossa merkitsee ensisijaisesti turvallisuu-desta huolehtimista olemassa olevien lakien ja säädösten eli voimassa olevan tietoturva-politiikan mukaisesti sekä moniammatillisesti luoduin visioin ja strategioin. Terveyden-huollon kyberturvallisuuden jatkuva laadun parantaminen ja tietoisuuden lisääminen ovatkin hyvin ajankohtainen asia. Saamani tutkimusaineiston kautta voin todeta, että tois-taiseksi ei osata riittävästi puuttua ja suojautua varsinaisilta potilaiden terveyteen kohdis-tuvilta kyberriskeiltä. Tällaisia ovat esimerkiksi lääkintälaitteiden uhat tai sähköverkon jakelun toimintahäiriöt.
Erilaisten haasteiden vuoksi kyberturvallisuuden pitää pohjautua pitkäjänteiseen ja riittä-vään kehitykseen sekä oikea-aikaisuuteen, joustavaan käyttöön ja elintärkeiden toiminto-jen kykyyn hallita häiriöitä. Kyvykkyyttä on huolehtia riskeistä ja toimintotoiminto-jen haavoittu-vuudesta, jotka saattavat aiheuttaa ohjelmiston kaatumisen itsestään, mikä edesauttaa tie-toturvamurtoja. Tietoturvariski voi piillä ohjelmistossa vuosia huomaamattomana, minkä vuoksi haitat on torjuttava ajantasaisella ja vastuullisella ohjelmiston ylläpidolla. (ks.
esim. Kyberturvallisuusstrategia 2013, 7-13; Liikenne- ja viestintäministeriö 2016, 20.)
Terveydenhuollon johtamisen tasoilla on erilaiset tehtävät kyberturvallisuuden kannalta, joita selvitin tutkimukseni toisessa tutkimuskysymyksessä. Terveydenhuoltoon kohdistuu entistä enemmän kyberriskejä, sillä se on mielenkiintoinen rikoksen kohde. Terveyden-huollon turvallisuusasetelmat ovat luonteeltaan heikompia kuin muissa organisaatioissa, esimerkiksi teollisuuslaitoksissa. Tämän vuoksi strategisessa johtamisessa varautumis-suunnittelu ja tietoverkkoturvallisuuden integrointi ovat merkittäviä kyberturvallisuuden vuoksi. Integrointi on hyvä toteuttaa verkostoitumalla sekä luomalla kumppanuuksia Strategisessa johtamistason tulee ymmärtää, että kyberhyökkäyksistä on organisaation ta-louden ja turvallisuuden lisäksi haittaa sen maineelle. (ks. esim. Martin ym. 2017, 3.)
Potilasturvallinen toiminta korostaa organisaation imagoa, minkä kannalta henkilöstön kouluttaminen on merkittävää. Tietoturvan osaaminen tulee pitää ajantasaisena, mistä strategisen johtamisen on huolehdittava. Laitteiden tulee olla kunnossa. Terveydenhuol-lon organisaatiot voivat ostaa uusia ohjelmistoja ja laitteita niin paljon kuin budjetti riit-tää, mutta ne eivät riitä suojelemaan toimintaa. Työntekijöiden piittaamattomuus ohjeisiin
lisää riskiä erilaisiin uhkiin. Tekniikka ei yksinään kykene pitämään toimintaa turvassa.
(Jalali 2018.) Työntekijöiden koulutukseen on resursoitava tulevaisuudessa. Henkilöstön tulee ymmärtää kyberturvallinen toiminta sekä sisäisenä vahvuutena että heikkoutena.
Työntekijöiden koulutuksella ja oikeilla toimintamalleilla varmistetaan kyberturvallinen osaaminen. Henkilökunta osaa käyttää erilaisia laitteita kohtalaisen hyvin, mutta laittei-den turvallisessa käytössä on vielä parantamisen varaa organisaation jokaisella tasolla.
Henkilökunnan on tärkeää osata tietoturvalliset toimintamallit työaikana tai työsähköpos-tisosoitetta käyttäessä. Useiden internetin sivustojen yhteydessä käytetään evästeitä esi-merkiksi markkinoinnin hyväksymiseen. Evästeiden hyväksyminen ei ole turvallista, sillä hyväksyessä saattaa antaa luvan haitallisille toiminnoille. Työntekijöiden onkin hyvä ym-märtää, että joillakin sivustoilla vaaditaan evästeiden hyväksyminen pelkästään sivuston selailuun tai verkkourkintaa harrastetaan tietojen kalastelulla sähköpostin välityksellä.
Organisaation laitteella jopa sivustoilla vierailu tai työsähköpostin osoitteen käyttö muissa kuin työasioinnissa voivat olla riski koko terveydenhuollon organisaation verkjärjestelmälle. Jopa ulkoisen muistin (USB) siirtäminen organisaation ulkopuolisesta ko-neesta organisaation sisäiseen laitteeseen voi tuoda mukanaan ei- toivottuja vieraita.
Terveydenhuollon työntekijöiden kouluttamista ja tietoisuutta kyberturvallisuudesta tulee varmistaa entisestään. Tämä vaatii oikeanlaista resursointia, ajantasaisuutta ja yhteentoi-mivuutta, niin henkilöstön välillä kuin laitteiden kanssa. Työntekijöiden osaamisen var-mistaa operatiivinen johto, jonka tehtävänä on luottaa työntekijöihin, tukea, perehdyttää ja ohjeistaa sekä tarvittaessa puuttua. Laitteiden hallinta tulee ymmärtää myös riskienhal-lintana. Operatiivisella tasolla johdon on toimittava ensinnäkin esimerkkinä, jotta työnte-kijät sitoutuvat kyberturvalliseen toimintaan. Henkilöstöä tulee kouluttaa kannustamalla oikeanlaiseen ja turvalliseen toimintaan, minkä vuoksi heidän työhyvinvointiaan on tuet-tava. Henkilökunnan työhyvinvointi on riskienhallintaa. (ks. esim. Etges ym. 2018, 14.) Henkilöstön koulutuksella vähennetään monia turvallisuushaasteita (Parwani 2017).
Tutkimustulosten kannalta ja neljäntoista julkaisun perusteella laadin muistilistan tur-vallisista tavoista toimia terveydenhuollon verkkoympäristössä.
Älä asenna, poista tai siirrä omatoimisesti työaseman ohjelmia.
Älä liitä laitteita omatoimisesti verkkoon.
Älä luovuta salasanaasi tai tunnustasi kenellekään.
Älä jaa tietojasi tai työpaikan sähköpostiosoitetta organisaation ulkopuoliselle.
Älä säilytä luottamuksellista tietoa sähköpostissa, älä lähetä luottamuksellisia tie-toja sähköpostitse tai älä avaa epäilyttäviä linkkejä työsähköpostissa.
Älä tallenna salassa pidettäviä tietoja muistitikulle tai liitä organisaation ulkopuo-lella käytettyä muistitikkua organisaation laitteeseen.
Lukitse työpisteesi, jotta ulkopuoliset eivät pääse luottamuksellisiin tietoihin.
Ilmoita epäilyttävistä asioista lähijohtajallesi.
Kolmannessa kysymyksessä selvitin terveydenhuollon kyberturvallisen toiminnan sisäi-siä vahvuuksia ja heikkouksia sekä ulkoisia mahdollisuuksia ja uhkia. Terveydenhuollon sisäisenä vahvuutena sekä heikkoutena ovat sen erilaiset laitteet ja myös henkilökunta.
Ulkoisena uhkana erilaiset kyberhaitat ja kyberrikollisuus, kun mahdollisuutena kumppa-nuudet ja verkostoituminen turvallisten tahojen kanssa. Laitteiden hallinnan kannalta voi-daan ajatella myös laitevarkauksia, sillä varkauden kirjo on laaja. Jotkut laitteet, esimer-kiksi lääkintälaitteet sisältävät potilaan yksityisiä tietoja. Muun muassa endoskooppeja on varastettu ulkomailla huumerikollisten käyttöön. Tällainen varkaus aiheuttaa taloudel-lista ja materiaataloudel-lista vahinkoa, mutta viivästyttää samalla potilaiden hoitoa. Tämän vuoksi tulee varautua toiminnan suunnittelulla suojaamaan terveydenhuollon organisaation ai-neellista omaisuutta verkkotoimintojen lisäksi.
Yhteenvetona totean, että terveydenhuollon johtamisessa on kyberturvallisuus huomioi-tava koko sähköisen toiminnan kautta, niin potilastietojen kuin erilaisten verkkojärjestel-mien. Tutkimustuloksista ja tutkimukseni teorian mukaan verkkorikokset ovat laajempi yhteiskunnallinen ongelma kuin yksittäisen terveydenhuollon organisaation uhka. Tämän vuoksi kyberhaittojen vakavuudesta riippumatta, niistä tulee tiedottaa terveydenhuollon organisaation sisällä sekä sen kumppaneille, että verkostolle.
6.3 Päätelmät
Tänä päivänä terveydenhuollon trendinä on kehittää asiakaslähtöisyyttään tarjoamalla sähköisiä palveluita asiakkaille. Tämä tarkoittaa, että potilashoidon toteutuminen on yhä enemmän eri verkkojärjestelmien varassa, sillä potilaille tarjotaan sähköisiä palveluita terveydenhuollon asiointiin. Asiakastiedot kirjataan tietojärjestelmiin ja hoidossa hyö-dynnetään yhä useammin verkkoon kytkettyjä lääkinnällisiä laitteita. Näiden syiden vuoksi turvallisuus on otettava huomioon kehityksessä. Kun digitaalisia palveluita tuote-taan asiakkaille enemmissä määrin, herää kysymys siitä, kuinka algoritmit muodostuvat ja käyttäytyvät erilaisilla alustoilla sekä järjestelmissä. Voidaan pohtia sitä, millaisia vai-kutuksia erilaisilla sovelluksilla on terveydenhuollon verkkoturvallisuuteen, kun ohjel-miin kirjaudutaan esimerkiksi asiakkaan päivittämättömän tai suojaamattomassa ver-kossa olevan älypuhelimen kautta. Oma aiheena on tekoäly, millaisia turvallisuusriskejä se aiheuttaa, jos se itse oppiessaan muokkaa toimintansa vahingolliseksi.
Tämä valtakunnallinen sähköinen kehitys ohjaa terveydenhuollon organisaatioita kehit-tämään omaa toimintaansa turvalliseksi ja luotettavaksi. Tämän vuoksi terveydenhuollon johdon tulee olla tietoinen, mitä tarkoittaa kyberturvallisuus terveydenhuollon
Tämä valtakunnallinen sähköinen kehitys ohjaa terveydenhuollon organisaatioita kehit-tämään omaa toimintaansa turvalliseksi ja luotettavaksi. Tämän vuoksi terveydenhuollon johdon tulee olla tietoinen, mitä tarkoittaa kyberturvallisuus terveydenhuollon