6.11.2020

Sairaalatkaan eivät ole turvassa lunnashaittaohjelmilta: potilasturvallisuutta harjoitellaan pian oikeankaltaisessa ympäristössä Jyväskylässä

Jyväskylän ammattikorkeakoulun IT-instituutissa luodaan parhaillaan digitaalisen terveydenhuollon ympäristöä kyberturvallisuusharjoittelua varten. Ympäristössä syksyllä 2021 pidettävän ensimmäisen terveydenhuollon kyberturvallisuusharjoituksen teemana ovat potilasturvallisuus ja potilaiden henkilötietojen tietosuoja sairaalaympäristössä.

Terveydenhuolto Suomessa on digitalisoitunut ja toiminnot muodostuvat toisiinsa kytkeytyvistä palveluista ja järjestelmien laajasta verkostosta. Samalla, kun työnteko tehostuu, kasvavat myös riskit toimintojen ollessa riippuvaisia toisistaan. Verkkoon kytketyn laitteen äärellä toimivan lääkärin, johtajan, sairaalainsinöörin, kiinteistöhoitajan, palvelukumppanin ja potilaan käyttäytymisellä on suuri vaikutus potilasturvallisuuteen.

JAMKin suljetussa kyberharjoitusympäristössä harjoitellaan erilaisten uhkaskenaarioiden varalta turvallisesti. Sairaalaympäristö on mallinnettu tieto- ja hoitoteknisesti tavalla, jossa lyhyen harjoituksen aikana kyetään varioimaan useita erilaisia tietoturvahyökkäyksiä sekä vahingossa tapahtuvia potilasturvallisuutta tai tietosuojaa vaarantavia tapahtumia. Ympäristöön on mallinnettu myös kansallisten sosiaali- ja terveydenhuollon toimijoiden, kuten Kelan ja THL:n järjestelmiä.

– Järjestelmään on luotu suuri määrä diagnostiikkadataa ja fiktiivisiä potilaita. Sisällöllisesti ne ovat kuten oikeassa sairaalassa, kertoo projektipäällikkö Jani Päijänen Jyväskylän ammattikorkeakoulusta.

Osallistujat oppivat havaitsemaan harjoituksen aikana omien prosessien ja toimintatapojen hyvät käytännöt sekä mahdolliset kehityskohteet. Lisäksi harjoituksessa pyritään vaikuttamaan verkkoon kytkettyihin lääkinnällisiin laitteisiin, joihin lukeutuu myös potilaiden käyttämät verkkopalvelut. Mikäli laitteisiin on onnistuttu murtautumaan tai laitteissa sijaitsevat potilastiedot ovat vaarassa, raportoidaan murtautumismenetelmistä vastuullisesti kyberturvallisuuskeskukselle ja laitteiden valmistajille.

– Harjoituksella tähdätään siihen, että todellisessa tilanteessa osataan tehdä oikeita päätöksiä oikea-aikaisesti organisaatioiden eri tasoilla ja toiminnoissa. Suuri merkitys on myös kehitystarpeiden tunnistamisella. Tavoitteena on, että kyberhäiriötilanteita ei pääsisi edes syntymään ja vahingon sattuessa tilanne voitaisiin korjata nopeasti ja tehokkaasti, kertoo Päijänen.

Päijänen ei voi kertoa itse harjoituksen sisällöistä tarkemmin, mutta antaa kuitenkin kuvitteellisen esimerkin.

– Harjoitus voisi olla tilanne, jossa verkon kaikki tietokoneet ja lääkinnälliset laitteet lukitaan lunnashaittaohjelmalla. Tämä aiheuttaa siirtymisen varajärjestelyihin vakavan pandemiatilanteen vallitessa. Kuviteltu hyökkäys voisi tulla esimerkiksi eurooppalaisen kiinteistövalvontakumppanin verkosta, johon on murtauduttu ensin. Kiinteistövalvonnan työntekijä on käyttänyt siviilikonettaan työasioiden hoitamiseen, eikä siviilikonetta ole asianmukaisesti suojattu eikä valvottu. Henkilö on myös käyttänyt samaa salasanaa useissa palveluissa.

– Hyökkääjä voisi julkaista oikeita potilastietoja tai väittää väärentäneensä tietokannoissa olevia potilastietoja, laboratoriotuloksia ja kuvantamistiedostoja. Vapauttaakseen lukitut järjestelmät uhkatoimija vaatii lunnaita virtuaalivaluutalla. Jos tähän ei suostuta, saattaa hyökkääjä kiristää sairaanhoitopiiriä, yksittäisiä potilaita ja lopulta keskeisissä asemissa toimivia viranomaisia ja poliittisia päättäjiä uhaten julkaista kaikki hallussaan olevat tiedot, ellei saa vaatimiaan maksuja, Päijänen jatkaa.

Osallistuminen harjoitukseen on tehty yhteistyökumppaneille ja asiakkaille helpoksi. Harjoituksen sisällöt ja kulku suunnitellaan yhdessä.

– Meillä JAMKissa on harjoitusympäristö, asiakkailla prosessit, menetelmät ja henkilöstö. Yhdessä suunnittelemme tarkoituksenmukaisen harjoituksen. Asiakas osallistuu ja johtaa oman organisaationsa toimintaa harjoituksessa, me tarjoamme puitteet ja asiantuntevan ohjauksen, kertaa Päijänen harjoituskokonaisuutta.

JAMKin kyberturvallisuuden asiantuntijoiden kehittämässä ja ylläpitämässä kyberturvallisuuden tutkimus-, kehitys-, ja koulutuskeskuksessa (JYVSECTEC) on toteutettu useita laajoja kansallisia kyberturvallisuusharjoituksia viranomaisille ja hallinnon aloille, sekä kohdennettuja koulutuksia yrityksille.

JAMKin Health Care Cyber Range (HCCR) -projektissa on mukana laaja joukko sairaanhoitopiirejä ja terveydenhuollon ammattilaisia JAMKin kyberturvallisuuden sekä hyvinvointiyksikön asiantuntijoiden ohella. Projektia rahoittaa Euroopan aluekehitysrahasto (EAKR).

Lisätietoja:
Jani Päijänen, projektipäällikkö
etunimi.sukunimi@jamk.fi
p. 040 707 2850
Jyväskylän ammattikorkeakoulu, IT-instituutti

Marko Vatanen, asiantuntija
etunimi.sukunimi@jamk.fi
p. 040 545 8630
Jyväskylän ammattikorkeakoulu, IT-instituutti

HCCR-projekti: https://jyvsectec.fi/2019/01/healthcare-cyber-range-hccr/

Takaisin