Terveydenhuollon kyberturvallisuuden heikoin lenkki ei usein ole ohjelmisto, vaan sen käyttäjät

Terveydenhuollon nopea digitalisoituminen sähköisistä potilastiedoista lääkinnällisiin laitteisiin on tehostanut toimintaa ja parantanut hoidon saatavuutta. Samalla se on kuitenkin lisännyt niiden kohteiden määrää, joihin kyberrikolliset voivat iskeä. Tietojärjestelmätieteen väitöskirjassaan Pius Ewoh korostaa, että terveydenhuollon suojaaminen vaatii muutakin kuin teknisiä puolustuskeinoja.

– Ihminen on usein kyberturvallisuusketjun heikoin lenkki. Henkilöstöltä saattaa puuttua koulutusta tai tietoisuutta riskeistä, he voivat langeta tietojenkalasteluun tai käyttää epävirallisia sovelluksia. Kun nämä arkipäivän toimet yhdistyvät vanhentuneisiin järjestelmiin tai epäselviin toimintatapoihin, riskit kasvavat nopeasti, Ewoh toteaa.

Vaikka Suomen terveydenhuoltojärjestelmää voidaan pitää kyberturvallisuuden kannalta edistyneenä, haavoittuvuuksia löytyy yhä erityisesti ns. legacy-järjestelmistä ja kolmansien osapuolten sovelluksista. Vanhentuneet järjestelmät ovat alttiita tietomurroille, koska niihin ei enää ole saatavilla tarvittavia päivityksiä. Moni kolmannen osapuolen sovelluksista ei puolestaan täytä yleisen tietosuoja-asetuksen (GDPR), HIPAA-lain (Health Insurance Portability and Accountability Act) tai muiden turvallisuusstandardien vaatimuksia.

– Suomalaisten terveydenhuollon ja IT-alan ammattilaisten vastaukset osoittavat, että myös pitkälle kehitetty järjestelmä vaatii kolme asiaa pysyäkseen toimintakykyisenä: säännöllisiä auditointeja ja arviointeja, selkeämpiä käytäntöjä ja parempaa viestintää koko organisaation läpi, Ewoh sanoo.

Uusi viitekehys terveydenhuollon resilienssin vahvistamiseksi

Vastatakseen näihin haasteisiin Ewoh on kehittänyt terveydenhuollolle räätälöidyn sosioteknisen kyberturvallisuuden viitekehyksen. Malli yhdistää ihmisten toiminnan seurannan, organisatorisen oppimisen ja älykkäät incident response -kyvykkyydet haavoittuvuuksien tunnistamiseksi, ehkäisemiseksi ja kyberhyökkäyksiin reagoimiseksi.

Viitekehyksen ohella väitöskirja tarjoaa käytännön standardeja ja tarkistuslistoja, jotka auttavat organisaatioita arvioimaan omia käytäntöjään, rutiinejaan ja teknisiä järjestelmiään. Tarkistuslistat ohjeistavat sairaaloita muun muassa lääkinnällisten laitteiden turvallisessa suunnittelussa, suojatussa tiedonvaihdossa, anonymisoinnissa, monivaiheisessa tunnistautumisessa ja kolmannen osapuolen sovellusten hallinnassa.

– Selkeiden ohjeiden ja jäsennellyn arviointitavan avulla terveydenhuollon organisaatiot voivat vahvistaa järjestelmiään ja välttää tietomurtoja, jotka voisivat häiritä hoitoa tai vaarantaa arkaluonteisia terveystietoja, Ewoh kiteyttää.

Väitöskirja

Ewoh, Pius (2025). Cybersecurity of Healthcare: Socio-technical Analysis and Solutions. Acta Wasaensia 576. Väitöskirja. Vaasan yliopisto.

Julkaisun PDF

Väitöstilaisuus

MBA Pius Ewohin väitöstutkimus ”Cybersecurity of Healthcare: Socio-technical Analysis and Solutions”tarkastetaan maanantaina 15.12.2025 klo 12 Vaasan yliopiston Kurtén-auditoriossa.

Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta: 
https://uwasa.zoom.us/j/67070899524?pwd=VauraIs1jb7tAlW1f03Wyxzp6aXroG.1
Password: 784681

Vastaväittäjänä tilaisuudessa toimii professori Reima Suomi (Turun yliopisto) ja kustoksena professori Tero Vartiainen.