Kuva: Canva-Pro.

Kyberhygienian painajaiset – hoitajien tarinoita kyberturvallisuudesta

29.05.2023

Sairaalat ja hoivakodit ovat yhteiskuntamme tiukimmin säänneltyjä ja turvatuimpia paikkoja. Potilaiden tiedot ovat lailla suojattuja, ja sairaaloilla ja hoivakodeilla on tiukat turvallisuuspolitiikat, jotka varmistavat potilastietojen luottamuksellisuuden ja eheyden. Kaikista näistä varotoimista huolimatta kyberkauhutarinat terveydenhuollossa eivät ole harvinaisia.

Tässä artikkelissa tarkastelemme kolmea tällaista tarinaa. Tapaukset ovat aitoja, hankkeissamme mukana olleiden sote-ammattilaisten kertomia. Heidän pyynnöstään kaikki tapauksiin liittyvät tiedot on anonymisoitu.

Tarve yksityisille työtiloille

Olkapään yli kurkkiminen on teko, jossa urkitaan tietoja esimerkiksi jonkun näytöltä sellaisia henkilötietoja, joihin itsellä ei ole oikeutta. Tätä voidaan kutsua myös visuaaliseksi vakoiluksi, koska siten voidaan varastaa salasanoja, pankki- tai muita arkaluonteisia tietoja. Joskus tämä on tahallista ja toisinaan tahatonta, kuten ensimmäisestä kauhutarinastamme ilmenee.

Tarina kertoo aamuvuorossa olevasta hoitajasta, joka kirjoittaa päivittäisiä raportteja hoivakodin ruokailuhuoneessa. Yhtäkkiä hän kuuli äänen takanaan kommentoivan, kuinka yksinkertainen hänen salasanansa oli.

Kuvattu tilanne oli mahdollinen, koska hoivakoti oli päättänyt, että kaiken toiminnan tulisi oli kodinomaista. Tästä syystä hoitajilta poistettiin omat toimistot, mikä johti siihen, että hoitajien täytyi kirjoittaa päivittäiset raporttinsa julkisilla paikoilla kaikkien nähden. Henkilökunta joutui jopa tekemään potilastietoja koskevat puhelut julkisilla paikoilla tai keittiössä kaikkien kuullen.

Koska toimistotilat on poistettu, potilaiden oikeus terveystietojensa luottamukselliseen käsittelyyn vaarannettiin. Riski siitä, että joku lukee tai kuulee jotain, joka ei ole tarkoitettu heidän korvilleen, kasvaa. Hoitajat tarvitsevat tiloja, joissa he voivat työskennellä luottamuksellisten tietojen parissa ilman pelkoa siitä, että joku kurkkii heidän olkansa yli.

Potilastietojen yksityisyyttä ja turvallisuutta ei saa vaarantaa työtilojen puutteellisuuden vuoksi. Näin kuitenkin toimitaan edelleenkin joissakin sote-alan paikoissa.

Hyväksy kaikki evästeet -podcastistamme löydät lisätietoja tietosuoja-asetuksesta ja GDPR:stä.

Tarve vahvoille salasanoille

Toinen tarina kertoo sairaanhoitajasta, joka joutui vastaamaan puheluun aamurutiinin aikana ja laittoi puhelimen potilaan yöpöydälle. Puhelin jäi siihen. Myöhemmin erään asukkaan sukulainen tuli ja palautti puhelimen hoitajalle, sanoen lisänneensä oman puhelinnumeronsa puhelimeen, jotta hänet voisi tarvittaessa saada kiinni.

Puhelimesta oli paitsi yhteys potilastietojärjestelmään, myös kaikki asukkaiden sukulaisten, hoitajien ja tavaratoimittajien yhteystiedot sekä kaikki hoitajien, sukulaisten ja lääkäreiden väliset viestit. Selvittääkseen, onko hänen puhelinnumeronsa puhelimessa, potilaan sukulaisen oli täytynyt käydä läpi kaikki puhelimessa jo olleet yhteystiedot.

Tilanne olisi voitu helposti välttää käyttämällä pin-koodia. Yleistä on myös se, että mikäli pin-koodia on käytetty, se on joko 0000 ja 1234. Tämä on lähes sama kuin ettei pin-koodia olisi lainkaan. Toinen yhtä yleinen käytäntö on, että puhelimen pin-koodi on kirjoitettu puhelimen koteloon näkyville tai kotelon sisälle.

Sairaanhoitajien on käytettävä vahvoja salasanoja potilastietojen suojaamiseksi. Yksinkertaisten tai helposti arvattavien salasanojen käyttö on turvallisuusriski, joka voi vaarantaa potilastiedot.

Niiden sijaan hoitajien tulisi käyttää lauseita, jotka ovat pidempiä ja monimutkaisempia kuin perinteiset salasanat. Lauseen salasana on lause, joka on helppo muistaa, mutta vaikea muille arvata. Esimerkiksi “Hello K1tty is awesome :)” on 25 merkin mittainen lauseen salasana, jossa on numeroita, isoja ja pieniä kirjaimia sekä erikoismerkkejä. Välilyönti on myös erikoismerkki.

Salasanojen jakamisen riskit

Kolmas sote-alan kauhutarina kertoo tapauksesta, jossa yrityksessä otettiin käyttöön uusi potilastietojärjestelmä. Sitä käyttäneiden sairaanhoitajien tuli muistaa kaksi salasanaa.

Helpottaakseen salasanojen muistamista, yksi sairaanhoitajista päätti kirjoittaa käyttäjänimensä ja salasanansa muistikirjaan tietokoneen viereen. Muut sairaanhoitajat seurasivat hänen esimerkkiään ja kirjoittivat samoin omat kirjautumistietonsa samaan muistikirjaan.

Salasanojen jakamisen riskit ovat valtavat, sillä kuka tahansa, jolla on pääsy toimistoon, voi myös päästä kaikkiin sairaanhoitajien tileihin. Tämä voisi johtaa potilastietojen vaarantumiseen. Joku voisi muuttaa niitä, ladata tietoja, ottaa niistä kuvia tai jopa jakaa näitä tietoja verkossa.

Apua turvallisiin salasanoihin Hyväksy kaikki evästeet -podcastin jaksosta Hyvät salasanakäytännöt.

Mitä tästä opimme?

Nämä kauhukertomukset terveydenhuollon tietoturvasta osoittavat, että tietovuotojen ja tietomurtojen riskit ovat todellisia. Yksinkertaiset käytännön toimet voivat auttaa estämään tällaisia tapahtumia.

Tietomurtojen seuraukset terveydenhuollossa ja sosiaalialalla voivat olla tuhoisia sekä potilaille että terveydenhuollon tarjoajille. Pitämällä henkilöstöä tietoisena, kouluttamalla heitä ja tarjoamalla heille tarvittavat työkalut potilastietojen suojaamiseen, terveydenhuollon laitokset voivat merkittävästi vähentää kyberhyökkäysten ja tietomurtojen riskiä.

Tietoturvakoulutuksen tulisi olla säännöllinen osa työntekijöiden perehdyttämistä ja jatkuvaa ammatillista kehittymistä. Asiakastietojen suojaaminen on yhteinen vastuu ja tehtävä, joka edellyttää yhteistä ponnistelua kaikilta osapuolilta.

Mistä saa apua?

Apua on onneksi saatavilla. Kyberturvan ABC yrittäjille -hanke on tuottanut vapaaseen käyttöön podcasteja ja oppaita, jotka voivat auttaa terveydenhuollon ammattilaisia ymmärtämään kyberturvallisuuden perusteet.

Mikäli olet kymenlaaksolainen sote-alan ammattilainen ja kiinnostunut suorittamaan Sote ja hyvinvointialan kyberturvan ABC -koulutusohjelman tallenteiden muodossa, voit ilmoittautua siihen tästä linkistä.

Kyberturvan abc yrittäjille -hanketta rahoittaa Hämeen ELY-keskus Euroopan sosiaalirahastosta.

Kirjoittanut Janine Klauenbösch

Kirjoittaja työskentelee sote-alan kyberturvallisuuden TKI-asiantuntijana Kaakkois-Suomen ammattikorkeakoulussa. Ennen alan vaihdosta hän työskenteli sote-alalla eri puolilla Suomea ja ulkomailla.