[Teema] Vieraskynä: Hallituin riskein soteen - Omistajat ja investoinnit pitävät riskit ruodussa

Sote-alan tietohallintoja kuormittavat uudet teknologiat ja toimintamallit, kiristyvä regulaatio ja joskus yli-innokkaat ratkaisujen tarjoajat. Vaatimus- ja järjestelmätulvan keskellä harkittujen valintojen teko ei ole helppoa. Kun organisaatiot ymmärtävät, että kokonaisvaltainen riskienhallinta on tärkeä osa toiminnan turvaamista ja tietojen suojelemista, ollaan jo pitkällä. Tällä kertaa alan kyberturvallisuushaasteista kertoo Istekki Oy:n Marko Ruotsala. Kyberturvallisuuskeskus tukee SOTE-yhteistyöverkoston toimintaa ja kannustaa verkoston jäseniä jakamaan tietoa luottamuksellisesti.

Vieraskynän kirjoittaja on Istekki Oy:n turvallisuus- ja riskienhallintapalvelujen liiketoimintapäällikkö Marko Ruotsala.

Ensimmäinen askel on saada ylin johto ymmärtämään vastuunsa riskienhallinnan järjestämisestä. Usein suurin haaste on löytää henkilöt, jotka ottavat riskeistä vastuut, seuraavat ja hallinnoivat niitä. Organisaatio, joka on saavuttanut riskienhallinnan kypsän tason, perustelee tietoturvainvestointinsa tarpeellisuuden ja tärkeyden kokonaisvaltaisella riskienhallinnalla.

Vaatimusten ja tarjousten tulva päänvaivana

Työssäni Istekki Oy:n turvallisuus- ja riskienhallintaliiketoiminnasta vastaavana törmään viikoittain alan tietoturva- tai tietosuoja-vaatimuksiin. Viime aikoina on erityisesti puhuttanut yleinen tietosuoja-asetus GDPR, lääkintätekniikan haavoittuvuudet ja kryptovaluutan louhijat. Ratkaisuja tarjoavat myyjät soittelevat minulle, tietohallintoihin, tietoturvapäälliköille ja muille sote-päättäjille sinnikkäästi. He tarjoavat ratkaisuja esimerkiksi GDPR:n haasteisiin tai vaikkapa tietoturvaloukkausten tutkintaan. Myyntiargumentteina ovat usein sekä regulaation vaatimukset ja tuoreimmat tietoturvaloukkaukset.

Tietohallintojen henkilöt kamppailevat myös muun muassa varjo-IT:n ja pienten budjettien kanssa. Myös sote-arkeen kuuluvat pilvipalvelut, IoT, Big-Data, robotiikka ja mobiilisovellukset. Etävastaanotot, etäkonsultaatiot, sosiaalinen media ja monimuotoiset älypalvelut sekä paikasta ja ajasta riippumaton työn tekeminen. Kuinka olisimme innovatiivisia ja miten vastaisimme maailman muutokseen tässä tilanteessa? Entäpä kuinka voisimme hyödyntää uusia ja innovatiivisia mahdollisuuksia niin, että tietoturva ja tietosuoja tulisivat hoidetuiksi kunnolla?

Riskeille pitää löytää omistajat

Parhaana vastauksena sote-arjen haasteisiin pidän suunnitelmallista riskienhallintaa.

Riskeillä pitää olla omistajat, vastuuhenkilöt sekä selkeät käsittelymallit. Viime kädessä vastuu riskienhallinnan järjestämisestä esimerkiksi kuntayhtymässä on hallituksella. Kun riskin omistajuuteen liittyvät vastuut on määritelty, vastuullisetkin on helpompi löytää. Harvalla virkamiehellä tai tai organisaatiolla on kovin suurta riskinottohalua, siksi sopivia ja kohtuullisia riskienhallintakeinoja etsitään aktiivisesti. Jos riskin omistajaksi valittu ei ole päättävässä asemassa, päätökset riskin käsittelystä voi hakea ylempää.

Uusiin tai päivitettyihin ratkaisuihin ja toimintamalleihin liittyvät riskit pitää aina arvioida, olipa kyseessä IaaS-tyyppisinen palvelu, jota käytetään mobiilisovelluksella, tai viimeisintä huutoa olevan leikkausrobotin hankinta. Tietosuoja-asetuksen vaatima vaikutustenarviointi tulee tehdä vähintään kolmen vuoden välein. Tosin tilanne voi muuttua yhdessä yössä, siksi kolmivuotinen arviointitahti on auttamatta liian hidas.

Kokemukseni mukaan yhteismitallisuuden puute tekee riskien arvioinnista vaativaa. Kanttiinin myyjälle tärkein järjestelmä on toimiva kassajärjestelmä, jota ilman asiakkaita ei voi palvella. Toisaalta esimerkiksi laboratoriohoitajat tai radiologit, jotka käyttävät LIS- tai RIS-järjestelmiä, pitävät niitä tärkeimpinä.

On siis luotava selkeät kriteerit, kuinka järjestelmiä luokitellaan ja kuinka riskejä arvioidaan kunkin organisaation prioriteettien mukaisesti. Samalla riskienhallinnan malliin kannattaa integroida esimerkiksi asiakastietolain (luonnos 23.4.2018), yleisen tietosuoja-asetuksen ja NIS-direktiivin riskienhallinnan vaatimukset.

ISO 31000 -standardin mukaan riskienhallinta on riskien arvioimista liiketoiminnalle aiheutuvien seurausten ja niiden toteutumisen todennäköisyyden perusteella. Sairaanhoitopiireissä arvioidaan erityisesti riskejä, jotka voivat vaikuttaa ydintoimintoihin: potilaiden hoitoon, talouteen, tietosuojaan ja maineeseen. Nykyisenä some-aikakautena yksikään organisaatio ei voi jättää maineensa menettämiseen liittyvää riskiä huomioimatta. Sote-organisaatiot kilpailevat asiakkaista jo nyt ja erityisesti sote-uudistuksen jälkeen.

Välineitä pahimpien riskien haravointiin

Riskejä hallitsemalla voidaan priorisoida tietoturvainvestointeja. Esimerkiksi vakaviin riskeihin voidaan investoida pikaisesti, jos niiden arvioidaan vaikuttavan esimerkiksi potilaiden hoitoon, tietosuojaan tai talouteen liittyviin tavoitteisiin.

Riskienhallinnan avulla määritetään, mitkä riskienhallintakeinot ovat organisaation toiminnassa ensisijaisia. Riskienhallintaa tulisi soveltaa organisaation kaikessa toiminnassa, jotta tilannekuvasta ja päätöksenteosta saataisiin kokonaisvaltaisia ja parhaaseen tietoon perustuvia. On hyvä huomioida, että riskejä ei voida koskaan kokonaan poistaa, mutta niitä voidaan asianmukaisesti hallita.

ROSI eli Return Of Security Investment -laskelmalla voidaan arvioida tietoturvainvestointien kannattavuutta. Tietoturva- ja tietosuojakontrolleilla ei suoraan saavuteta voittoja, vaan turvataan organisaation toiminnan jatkuvuus. Oikein valituilla, konfiguroiduilla ja ylläpidetyillä tietoturvakontrolleilla riskit tavallisesti pienenevät.

Tiedossani on jo pieni määrä edistyksellisiä sote-organisaatiota, joiden ensi vuoden tietoturvabudjetit on rakennettu pitkälle riskianalyysien perusteella. Näissä organisaatiossa investoidaan kohteisiin, joissa riskit ovat merkittävimmät. Riskienhallinnalla vastataan regulaation vaatimuksiin, mutta ennen kaikkea se on mitä parhain väline priorisoida ja perustella tietoturvainvestointeja.

Soteen liittyviä kyberturvallisuushaasteita jaetaan ja ratkotaan muun muassa tiedonvaihtoryhmä SOTE-ISAC:ssa, jonka toimintaa koordinoi Viestintäviraston kyberturvallisuuskeskus, mutta olemassa on myös muita alaan ja aiheeseen liittyviä tiedonjakelukanavia. Useiden kanavien kautta voimme välittää toisillemme ajantasaista tietoa erityisesti sote-sektorin tietoturvallisuusriskeistä. Luottamuksen ilmapiirissä pystymme myös arvioimaan riskejä ja pohtimaan ratkaisuja niiden hallitsemiseksi. Yhteistyötä tullaan jatkossa yhä tiivistämään.


Kyberturvallisuuskeskus tukee SOTE-alan kyberturvallisuusasiantuntijoita työssään muun muassa koordinoimalla tiedonvaihtoryhmä SOTE-ISAC:n toimintaa. SOTE-ISAC:ssa alan asiantuntijat voivat luottamuksellisesti keskustella käytännön ongelmista ja niiden ratkaisuista myös sellaisten kollegoiden kanssa, jotka eivät suoraan osallistu puheena olevan asian käsittelyyn.


Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Organisaatio , Riskienhallinta , Verkosto , Teema , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248