rahoitusmalli kyberturvallisuus

Suomeen tarvitaan kannustava rahoitusmalli sosiaali- ja terveydenhuollon kyberturvallisuuden parantamiseksi

Koronaviruspandemian aikana on havaittu digitalisoituvan terveydenhuoltojärjestelmän häiriöttömän toiminnan suuri merkitys. Psykoterapiakeskus Vastaamon tapaus herätti myös suuren yleisön huomion sote-alan kyberturvallisuuteen.

Sosiaali– ja terveydenhuollon laitteiden, ohjelmistojen ja järjestelmien turvallisuus on yhä tärkeämmässä roolissa. Nopea digitalisaatio ja kehittyvä terveysteknologia ovat tarjonneet terveydenhuoltoon runsaasti uusia mahdollisuuksia. Samalla on syntynyt tarve entistä paremmalle kyberturvalle.

Asiaa pitää katsoa useasta näkökulmasta. Potilasturvallisuus, tietosuoja ja tietoturva on jo säädetty eurooppalaisin asetuksin. Näiden lisäksi Euroopassa laaditaan uutta sääntelyä, joka asettaa yrityksille kasvavia tietoturvallisuus- ja raportointivelvoitteita. Laajentuva verkko- ja tietoturvadirektiivi (NIS) ulottaa tulevaisuudessa tietoturvavaatimuksia useille uusille toimialoille.

On myös hyvä huomata, että tietovarantojen suuruus ei yksin vaikuta riskin suuruuteen. Siihen vaikuttaa myös se, miten tietoturva on rakennettu kerroksittain suojeltavan tiedon ympärille ja miten vastuut on hahmotettu. Esimerkiksi Kelan ylläpitämä Kanta-järjestelmä sekä Findatan tietoturvallinen datan käsittely-ympäristö ovat esimerkkejä siitä, miten tietoturvaa rakennetaan suurten datamassojen suojaksi. Tiedon riittävä suojaaminen vaatii organisaation johdolta vankkaa sitoutumista jatkuvaan turvallisuustyöhön.

Viime syksyn ikävien tapahtumien jälkeen useat päättäjät ovat perustellusti nostaneet esiin kyberturvallisuuden suuren merkityksen kriittisillä toimialoilla, kuten sosiaali- ja terveydenhuollossa. Avaukset ovat olleet tervetulleita ja hyvin perusteltuja. Ainakin selvitysten muodossa moniin toimenpiteisiin on myös ryhdytty.

Ratkaisuksi useisiin haasteisiin on esitetty erilaisia toimialakohtaisia lisävaatimuksia sekä tietoturvan pakollista arviointia tai sertifiointia. Niillä olisi kieltämättä mahdollisuuksia parantaa tietoturvan ja tietosuojan tasoa sekä julkisella että yksityisellä sektorilla. Samaan aikaan tulee kuitenkin huomioida, mitä on jo säädelty. Silloin toimivan ja sujuvan valvonnan rooli korostuu. 

Myös viranomaisten suuremmasta roolista ja resursoinnista on keskusteltu. On kuitenkin muistettava, että virkatyönä toteutettavat kattavat tietoturva-arvioinnit ovat mahdottomuus jo pelkästään resurssikysymysten ja potentiaalisten markkinahäiriöiden vuoksi. Siksi tehokkainta on hyödyntää yrityksissä jo nykyisin olevaa osaamista ja palveluita.  

On huomioitava, että lisävaatimuksia on mahdotonta toteuttaa ilman kasvavia kustannuksia. Tietoturva ei tule kuntoon hetkessä. Se vaatii jatkuvaa päämäärätietoista työtä ja investointeja. Se on suuri haaste erityisesti alan pienemmille yrityksille.

Tietoturvan ja tietosuojan parantamiseen tarvitaan siksi kannustava investointimalli. Esimerkiksi Iso-Britanniassa on ollut jo pitkään käytössä julkisrahoitteinen tietoturvaseteli pienten ja keskisuurten yritysten kyberturvallisuuden parantamiseen. Lisäksi syksyllä 2020 terveydenhuoltoalan yrityksille ja alan koko toimitusketjulle tarjottiin mahdollisuutta hakea rahoitusta kyberturvallisuutensa parantamiseen koronapandemian kasvattamien kyberriskien vuoksi. Vastaavia malleja tarvitaan nyt myös Suomeen, mikäli tietoturvan ja tietosuojan tasoa halutaan parantaa tehokkaasti ja kestävästi.  

Kyberturvallisuusinvestointeihin kannustavalla rahoitusmallilla voitaisiin parantaa tehokkaasti sote-sektorin tietoturvaa. Lisäksi voitaisiin edistää turvallisen terveysteknologian kehitystä ja käyttöä sekä kyberturvallisuusalan kasvua ja menestystä. Yhdessä ne tarkoittaisivat parempaa turvallisuutta kaikille kansalaisille. Samalla avautuisi mahdollisuuksia kasvavaan vientiin, uusiin työpaikkoihin ja Suomen profiloitumiseen turvallisen digitalisaation mallimaana. 

Mika Susi, Kyberala ry

Saara Hassinen, Terveysteknologia ry

Ulla-Maija Rajakangas, Hyvinvointiala HALI ry

Lyhyempi versio artikkelista julkaistiin Helsingin Sanomissa 20.3.2021 https://www.hs.fi/mielipide/art-2000007870151.html?share=167945452b801d6f7836412a19df9589