[Tema] Gästskribent: Med kontrollerade risker mot social- och hälsovårdsreformen – Ägare och investeringar håller riskerna under kontroll

31.5.2018 kl. 13.20

Informationsförvaltningstjänsterna inom social- och hälsovården belastas av nya tekniker och verksamhetsmodeller, skärpta regler och ibland av alltför entusiastiska leverantörer av olika lösningar. Det är inte lätt att göra begrundade val mitt i en enorm ström av krav och system. När alla organisationer förstår att en övergripande riskhantering är en viktig del av säkringen av verksamheten och dataskyddet, har de tagit ett stort steg. Denna gång är det Marko Ruotsala på Istekki Oy som berättar om cybersäkerhetsutmaningar. Cybersäkerhetscentret stöder verksamheten i samarbetsnätverket inom social- och hälsovården och uppmuntrar medlemmarna i nätverket att dela information på ett konfidentiellt sätt.

Gästskribent är Marko Ruotsala, affärschef för säkerhets- och riskhanteringstjänster på Istekki Oy.

Det första steget är att få högsta ledningen att förstå sitt ansvar för att organisera företagets riskhantering. Arbetet med att hitta personer som tar ansvar för, följer upp och hanterar risker är ofta den största utmaningen. Organisationer som har nått en tillräckligt hög riskhanteringsnivå motiverar nödvändiga och viktiga investeringar i informationssäkerheten med en övergripande riskhantering.

Strömmen av krav och offerter vållar en del huvudbry

I mitt arbete som säkerhets- och riskhanteringsansvarig på Istekki Oy stöter jag varje vecka på informationssäkerhets- och dataskyddskrav för branschen. Den senaste tiden har vi särskilt talat om den allmänna dataskyddsförordningen (GDPR), sårbarheter i medicineringstekniken och brytare av kryptovalutor. Försäljare av olika lösningar ringer ihärdigt till mig, personer i informationsförvaltningstjänsterna, informationssäkerhetschefer och andra som fattar beslut i social- och hälsovårdsfrågor. De erbjuder lösningar till exempel på utmaningar med GDPR eller för undersökning av integritetsförluster. Som försäljningsargument används ofta kraven i regelverket och de senaste integritetsförlusterna.

Personer i informationsförvaltningstjänsterna kämpar också med bland annat skugg-IT och små budgetar. Till vardagen inom social- och hälsovården hör också molntjänster, IoT, Big-Data, robotik och mobilappar. Distansmottagningar, distanskonsultationer, sociala medier, mångsidiga smarttjänster och arbete som är oberoende av tid och plats. Hur ska vi vara innovativa och klara av den globala förändringen i detta läge? Hur ska vi kunna utnyttja nya, innovativa möjligheter så att informationssäkerheten och dataskyddet säkerställs adekvat?

Vi bör hitta ägare till risker

Jag anser att en systematisk riskhantering är det bästa svaret på utmaningarna i vardagen inom social- och hälsovården.

Risker ska ha ägare, ansvariga personer och tydliga behandlingsmodeller. I sista hand är det till exempel styrelsen i samkommunen som ansvarar för organiseringen av riskhanteringen. När ansvarsområdena inom riskägarskapet har fastställts är det också enklare att hitta de ansvariga. Få tjänstemän eller organisationer har en särskilt stor riskaptit och därför söks aktivt lämpliga och rimliga riskhanteringsmetoder. Om den som har valts till riskägare inte är i beslutande ställning kan beslut om riskhantering begäras av högre organ.

Risker med nya eller uppdaterade lösningar och verksamhetsmodeller bör alltid utvärderas, oavsett om det gäller en tjänst av IaaS-typ som används med en mobilapp eller upphandling av en operationsrobot av senaste modell. Den konsekvensbedömning som krävs i dataskyddsförordningen ska göras med minst tre års intervall. Läget kan dock förändras på en natt och därför är intervallet ohjälpligen för långt.

Utifrån min erfarenhet är det bristen på jämförbarhet som gör att det är svårt att utvärdera risker. För kassören på en cafeteria är ett fungerande kassasystem det viktigaste systemet eftersom det annars inte går att betjäna kunder. Å andra sidan anser till exempel laboratorieassistenter eller radiologer som använder LIS- eller RIS-system att dessa är de viktigaste systemen.

Därför gäller det att skapa tydliga kriterier för hur olika system kategoriseras och hur risker utvärderas enligt organisationens prioriteringar. Samtidigt är det bra att i modellen för riskhantering integrera till exempel kraven på riskhantering i lagen om klientuppgifter (utkast 23.4.2018), den allmänna dataskyddsförordningen och NIS-direktivet.

Med riskhantering avses enligt standard ISO 31000 bedömning av risker utifrån konsekvenserna av riskerna för affärsverksamheten och sannolikheten att konsekvenserna realiseras. Sjukvårdsdistrikten utvärderar särskilt risker som kan påverka olika kärnverksamheter, dvs. vård av patienter, ekonomi, dataskydd och anseende. Nu när sociala medier är så vanliga kan inte en enda organisation låta bli att ta hänsyn till risken för förlorat anseende. Social- och hälsovårdsorganisationerna konkurrerar om klienter redan nu och speciellt efter social- och hälsovårdsreformen.

Verktyg för att undanröja de värsta riskerna

Investeringar i informationssäkerheten kan prioriteras genom att hantera risker. Investeringar kan göras snabbt till exempel i allvarliga risker om dessa bedöms påverka exempelvis målen för patientvården, dataskyddet eller ekonomin.
Genom riskhantering fastställs vilka riskhanteringsmetoder som är primära i organisationens verksamhet. Riskhantering bör tillämpas i organisationens samtliga verksamheter för att lägesbilden och beslutsprocessen ska vara övergripande och bygga på bästa tillgängliga kunskap. Det är bra att beakta att riskerna aldrig kan undanröjas helt, men att de kan hanteras på ett ändamålsenligt sätt.

Lönsamheten i informationssäkerhetsinvesteringar kan beräknas med kalkylen Return On Security Investment (ROSI). Genom kontroller av informationssäkerheten och dataskyddet är det inte direkt möjligt att nå vinster, utan kontrollerna ska säkerställa kontinuiteten i organisationens verksamhet. Riskerna minskar vanligen genom rätt utvalda, konfigurerade och underhållna kontroller av informationssäkerheten.

Jag känner redan till ett litet antal progressiva social- och hälsovårdsorganisationer vars informationssäkerhetsbudgetar för nästa år har gjorts upp främst utifrån riskanalyser. Dessa organisationer investerar i objekt där riskerna är mest betydande. Riskhantering är ett svar på kraven i regelverket, men framförallt är den det allra bästa verktyget för att prioritera och motivera investeringar i informationssäkerheten.

Cybersäkerhetsutmaningar inom social- och hälsovården delas och löses i bland annat gruppen för informationsutbyte, SOTE-ISAC, vars verksamhet samordnas av Kommunikationsverkets Cybersäkerhetscenter. Därutöver finns det dock andra kanaler för byte av information om branschen och temat. Vi kan via flera kanaler förmedla aktuell information till varandra, särskilt om riskerna för informationssäkerheten inom social- och hälsovården. I ett klimat med högt förtroende kan vi dessutom utvärdera risker och dryfta olika lösningar för att hantera dem. I fortsättningen kommer samarbetet att intensifieras.


Cybersäkerhetscentret stöder experter på cybersäkerhet inom social- och hälsovården i deras arbete bland annat genom att samordna gruppen för informationsutbyte SOTE-ISAC:s verksamhet. I SOTE-ISAC kan branschexperter konfidentiellt diskutera praktiska problem och lösningar på problemen även med kolleger som inte direkt deltar i behandlingen av frågor som diskuteras.


För mer information

[Tema] Gästskribent:Landskaps- och vårdreformen behöver ansvarstagande cyberexperter
Cybersäkerhetscentrets samarbetsnätverk
Kimmo Rousku, Befolkningsregistercentralen:Riskhantering möjliggör organisationens verksamhet (Youtube-video)

Den ursprungliga artikeln publicerades 31.5.2018.


Uppdateringshistorik

Ämnesord: Informationssäkerhet , Cybersäkerhet , Nät , Nätverk , Organisation , Riskhantering , Informationssäkerhet nu! , Tema

LinkedIn Print

logo

Kommunikationsverket

Cybersäkerhetscentret

PB 313, 00181 Helsingfors


Mediekontakter per telefon: +358 295 390 248