Kyberhyökkäykset terveydenhuollossa ja niiden vaikutukset potilaisiin
30.09.2024Mikäli terveydenhuollon toimija joutuu kyberhyökkäyksen kohteeksi, hyökkäyksen vaikutukset voivat olla merkittäviä ja laajoja. Tämän vuoksi terveydenhuolto on erityisen haavoittuvassa asemassa mahdollisen kyberhyökkäyksen tapahtuessa.
Hyökkäyksellä voi olla vaikutusta potilasturvallisuuteen, käytössä oleviin eri tietojärjestelmiin ja lääkinnällisiin laitteisiin, yksityisyydensuojaan, mainetekijöihin, talouteen, toimintakykyyn ja toiminnan jatkuvuuden edellytyksiin. Luonnollisesti vakavin vaikutus kyberhyökkäyksellä on, mikäli se viivästää, vääristää tai estää potilaan hoidon.
Tämä on mahdollista, jos käytössä oleviin tietojärjestelmiin, lääkinnällisiin laitteisiin tai tietoliikenneverkkoon kohdistuu hyökkäys. Potilas voi saada esimerkiksi vääriä lääkkeitä tai potilaan elintoimintoja seuraavia laitteita manipuloidaan, mikä voi johtaa virheellisiin hoitopäätöksiin ja henkeä uhkaaviin tilanteisiin – henkilötietojen vuotamisesta puhumattakaan.
Riskit saattavat vaikuttaa etäisiltä uhkakuvilta, joiden ei välttämättä uskota toteutuvan käytännössä. Valitettavasti kyberturvaan liittyvät poikkeamat ovat tätä päivää, ja sen myötä myös terveydenhuolto on saanut niistä oman osansa.
Esimerkiksi Amerikassa vuosi 2023 oli pahin terveydenhuoltoa kohdannut tietomurtovuosi koskaan. Vuodettujen terveystietojen määrä kasvoi 156 % edelliseen vuoteen verrattuna, ja se rikkoi samalla aiemman, vuodelta 2015 olleen ennätyksen. Yhteensä hieman yli 133 miljoonaa terveystietoa päätyi vääriin käsiin vuoden 2023 aikana, ja tämä siis yksistään Amerikassa.
Satojen miljoonien ihmisten yksityisyys on vaarantunut hyökkäyksissä, eikä ole varmaa, millaisiin eri keinotteluihin vuodettuja tietoja tullaan käyttämään. On todennäköistä, että ainakin osa tietovuodon uhreista tulee kohtaamaan myös henkilökohtaista kiristystä, riippuen siitä, kuinka sensitiivisiä vuodetut tiedot ovat olleet. Vuodetut tiedot jatkavat omaa elämäänsä ja kiertokulkuaan pimeässä verkossa, ja niiden jatkokäytön rajana on vain kyberrikollisten mielikuvitus.
Tietomurtojen sattuessa on selvää myös se, että asiaan liittyvä selvitystyö ja tarvittavat korjaavat toimenpiteet ovat kalliita. Yhden terveydenhuollon tietomurron hintalapuksi Amerikassa on arvioitu 10,93 miljoonaa dollaria. Herääkin kysymys, kuinka moni terveydenhuollon toimija pystyy jatkamaan toimintaansa keskeytyksettä tällaisten hyökkäysten jälkeen? Kuinka moni kestää taloudelliset tappiot ja mahdollisen maineriskin mukanaan tuoman asiakaskadon?
Onko edellä kuvattu vakavinta mitä kyberhyökkäysten rintamalla voidaan kohdata? Valitettavasti ei. Esimerkiksi 9.9.2020 kiristyshaittaohjelmahyökkäys kohdistettiin Düsseldorfin yliopistolliseen sairaalaan, jossa yksi sairaalan potilaista oli kyberhyökkäyksen aikaan saamassa kriittistä tehohoitoa. Kiristyshaittaohjelma hyökkäys lamaannutti sairaalan järjestelmät, eikä potilaalle pystytty tarjoamaan hänen tarvitsemaansa tehohoitoa. Niinpä ainoa ratkaisu oli kuljettaa potilas 30 kilometrin päähän saamaan vastaavaa hoitoa, mutta valitettavasti siirto ja sen aiheuttama keskeytys tehohoitoon olivat liikaa potilaalle ja hän menehtyi.
Vaikka kiristyshaittaohjelma hyökkäysten perimmäinen tarkoitus onkin taloudellisen hyödyn saavuttaminen, tällainen hyökkäys voi lamaannuttaa ja keskeyttää kaiken toiminnan esimerkiksi sairaalassa. Jokaisella sairaaloiden kohtaamalla kiristyshaittaohjelmahyökkäyksellä voi olla kriittiset seuraukset, etenkin jos hyökkäys on ajoitettu kiireisempään tai muuten haasteelliseen ajankohtaan kuten juhlapyhiin.
Terveydenhuollon osalta tärkeimpään rooliin astuu reagoiminen. Esimerkiksi Düsseldorfin yliopistollisen sairaalan kohtaamassa hyökkäyksessä hyödynnettiin jo vuoden 2020 alussa ilmennyttä haavoittuvuutta sairaalan käyttämässä järjestelmässä. Haastavaksi haavoittuvuuksien korjaamisen muodostaa se, että sairaaloiden tulee pyöriä vuorokauden ajasta riippumatta. Tällöin järjestelmien päivitystyöt koetaan hankaliksi, sillä niin sanottua hyvää hetkeä päivitykselle ei ole olemassa.
Silti reagointi haavoittuvuuksiin ja muuhun poikkeavaan toimintaan on tärkeimpiä toimia, joita voimme tehdä suojellaksemme potilaita ja työntekijöitä. Tämän osalta varautuminen ja suunnitelmat poikkeusoloissa käytettävistä työvälineistä ja työtavoista ovat parasta varautumista, mitä voimme tehdä häiriötilanteesta selviämiseksi.
CyberCare Kymi on Kaakkois-Suomen ammattikorkeakoulun toteuttama hanke, jota rahoitetaan Kymenlaakson liiton kautta Euroopan unionin Oikeudenmukaisen siirtymän rahastosta (JTF). Hanke toteutetaan ajalla 1.11.2023-31.12.2025.
Lähteet
Alder, S. Security Breaches in Healthcare in 2023. 2024. THE HIPAA JOURNAL. Www-sivu. Päivitetty 31.1.2024. Saatavissa: https://www.hipaajournal.com/security-breaches-in-healthcare/ [viitattu: 8.9.2024]
The Top 18 Healthcare Industry Cyber Attacks of the Past Decade. 2024. Arctic Wolf. Päivitetty 10.4.2024. Www-sivu. https://arcticwolf.com/resources/blog/top-healthcare-industry-cyberattacks/ [viitattu: 8.9.2024]
O’Neill, P.H. A patient has died after ransomware hackers hit a German hospital. 2020. Www-sivu. Päivitetty 18.8.2020. Saatavissa: https://www.technologyreview.com/2020/09/18/1008582/a-patient-has-died-after-ransomware-hackers-hit-a-german-hospital/ [viitattu 8.9.2024]