[Teema] Vieraskynä: SOTE- ja maakuntauudistus tarvitsee vastuunsa tuntevia kyberosaajia

Kun sote- ja maakuntauudistusta valmistellaan, julkishallinnon rakenteita ja toimintapoja uudistetaan vauhdikkaasti. Tieto- ja viestintätekniikkakin (ICT) on mukana myllerryksessä. Julkisuudessa keskustellaan, toteutuuko uudistus aikataulussa vai ollenkaan, mutta mukana oleville spekuloinnin varaa ei ole. Työ on käynnissä. Vieraskynässä 2M-IT Oy:n Mikko Koivunen aloittaa SOTE-verkostomme yhteistyötä käsittelevän teeman. Tuemme verkoston toimintaa ja kannustamme alan kyberturvallisuusasiantuntijoita keskustelemaan luottamuksellisesti alan ongelmista ja ratkaisuista.

Mikko Koivunen on 2M-IT Oy:n Kyberturvapalveluiden tiimiesimies. Hän osallistuu maakuntien ICT-valmistelutyöhön tietoturvan ja tietoliikenteen muutosprojekteihin Varsinais-Suomessa, Satakunnassa ja Pohjanmaalla.

Paljon yhdistettävää, vähän valmiita ratkaisumalleja

Maakuntien ICT-ratkaisuiden valmistelutyössä muutossuunnittelun ja käyttöönottojen aikataulu on kova. Suunnitelmien mukaan yli 200 000 henkilöä aloittaa 1.1.2020 työnteon maakuntien palveluksessa. Niin työntekijöiden kuin palveluista riippuvaisten kansalaistenkin on saatava käyttöönsä toimivat ICT-palvelut ja -työkalut.

Valmistelun eteneminen vaihtelee maakunnittain, mutta haasteet ovat kaikkialla samat. Tietojärjestelmiä yhdistetään, laitteita ja lisenssejä siirtyy uudelle omistajalle ja hajanaisia tietoliikenneverkkoja kootaan maakunnan verkoiksi. Erilaisen sähköisten identiteettien, käyttäjätietokantojen ja käyttöoikeuksien hallintamalleja uudistetaan.

Valtionhallinnosta annetuissa taustamateriaaleissa ja projektisalkkujen kuvauksissa on ICT:n tietoturvamuutoksiin vähän valmiita apuja. Maakuntien valmistelijoiden on itse huolehdittava ja otettava suuri vastuu siitä, että projekteihin sisällytetään turvallisuus ja riskienhallinta.

Tilannekuva kuntoon ja haltuun yhteisillä käytännöillä

Maakunta on useasta eri toimialasta koostuva organisaatio. Kokonaisuutta hahmotetaan helposti perinteisten mallien kautta, ja tapana on ajatella että esimerkiksi erikoissairaanhoito on muusta maakunnan toiminnasta irrallinen saareke.

Maakunnissa tullaan kuitenkin myös käyttämään samoja järjestelmiä ja resursseja eri toimialojen välillä. Muun muassa rekisterinpitäjän vastuut tulevat muuttumaan merkittävästi, kun maakunta vastaa jatkossa useiden toimialojen rekistereistä samalla tavalla kuin potilastietorekisteristäkin. Johdon tulee olla tietoinen kaikkialla organisaatiossa tapahtuvista tietoturvapoikkeamista.

Maakunta tarvitsee yhtenäisen tavan valvoa teknisen ympäristön tietoturvatapahtumia, muodostaa tietoturvan tilannekuvaa sekä reagoida poikkeamiin yhteisen prosessin mukaisesti, toimialasta riippumatta.

Dokumentaatiota ja ohjeistusta on uusittava - keskeistä ymmärrettävyys, hyödyllisyys ja löydettävyys

Monissa organisaatioissa tietoturvaan liittyvä dokumentaatio, tietoturvapolitiikka ja henkilöstön ohjeistus ovat iäkästä. Vaikka tietoturvapolitiikan perustavoitteet eivät herkästi muutu, etenkin henkilöstölle suunnattuja ohjeita kannattaa modernisoida kokonaisuudistuksen yhteydessä.

Palveluiden digitalisaatio, pilviratkaisuiden lisääntyvä käyttö ja mobiilisovellusten läpimurto muuttaa ICT-kokonaisuutta ja siihen liittyviä uhkia merkittävästi. Työntekijät tulevat odottamaan työnantajaltaan apua, ohjeita ja selkeää tiedottamista, kun he työssään kohtaavat uusia tietoturvallisuuteen liittyviä haasteita.

Kun maakunnat valmistautuvat muutoksiin ja suunnittelevat tietoturvaohjeistuksiaan, myös modernit toimintamallit ja uhkakuvat on tärkeä huomioida. Muuten on vaarana, että poikkeamatilanteisiin ei kyetä reagoimaan ajoissa. Erityisesti on varmistuttava siitä, että uudistetut ohjeet ovat ymmärrettäviä, helposti löydettäviä ja niistä on hyötyä maakunnan työntekijöille.

Tavoitteena yksinkertainen teknologia-arkkitehtuuri

Teknisen tietoturvan varmistamisessa on kaksi erityisen tärkeää kohdetta: käyttäjähakemistojen ja maakunnan tietoliikenneverkon rakentaminen.

Jos vanhoja kuntien ja kuntayhtymien teknologioita yritetään yhdistää maakunnan ratkaisuksi perinteisten toteutusten mukaisesti, suurena riskinä on, että lopputulosta on mahdoton hallita.

Monilla maakunnilla tulee olemaan useita konesaleja, käyttäjähakemistoja, eri verkkototeutusten ja operaattoriyhteyksien kokoelmasta kudottuja tietoliikenneympäristöjä. Kaikkea ei ehditä eikä voida toteuttaa ennen maakuntauudistuksen käynnistymistä.

Suunnitelmat koko maakunnan tietoliikenneverkon vaiheistetusta harmonisoimisesta ja yhden maakunnan laajuisen käyttäjähakemiston toteutuksesta kannattaa kuitenkin tehdä jo nyt.

Optimismi kannattaa!

Muutos on mahdollisuus. Valmistelutyölle on vielä aikaa, ja sitä rahoitetaan kohtalaisen hyvin. Valmisteluun osallistuvilla organisaatioilla on nyt erinomainen tilaisuus katsoa tietoturvaa uusin silmin ja päivittää toimintansa nykymaailman vaatimusten mukaiseksi.

Kyberturvallisuuskeskus tukee SOTE-alan kyberturvallisuusasiantuntijoita työssään muun muassa koordinoimalla tiedonvaihtoryhmä SOTE-ISAC:n toimintaa. SOTE-ISAC:ssa alan asiantuntijat voivat luottamuksellisesti keskustella käytännön ongelmista ja niiden ratkaisuista myös sellaisten kollegoiden kanssa, jotka eivät suoraan osallistu puheena olevan asian käsittelyyn.

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Organisaatio , Riskienhallinta , Verkosto , Teema , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248