Terveydenhuoltoalan riskialttiiden häiriöiden lisääntyessä organisaatioiden on opittava hallitsemaan tietoturvaa, tietosuojaa ja tekoälyyn liittyviä riskejä yhtenäisenä hallintotapahaasteena. Miten tämä voidaan tehdä?
Kate O'Flaherty
DXS International – joka tarjoaa terveydenhuoltotietoa ja kliinistä päätöksentekotukea noin 10 prosentille kaikista Englannin NHS-lähetteistä – kärsi 14. joulukuuta 2025 tietomurrosta, joka vaikutti sen toimiston palvelimille.
Hakemuksessa Lontoon pörssin kanssa DXS International väitti, että tietomurto saatiin "välittömästi hallintaan" sen sisäisten IT-turvallisuustiimien yhteistyöllä tiiviissä yhteistyössä NHS Englandin kanssa. Mutta pian sen jälkeen DevMan-kiristysohjelmaryhmä väitti varastaneensa 300 gigatavua dataa, mukaan lukien sisäisiä budjetteja ja taloustiedostoja.
Vaikka itse tapauksen vaikutukset olivat vähäiset ja yrityksen kliiniset etulinjan palvelut pysyivät toiminnassa, se on erinomainen esimerkki siitä, miten kolmannen osapuolen riski voi levitä toimitusketjussa.
Tällaisten tapahtumien lisääntyessä terveydenhuollon organisaatioiden on opittava hallitsemaan tietoturvaa, tietosuojaa ja tekoälyriskejä yhtenäisenä hallintohaasteena. Miten tämä voidaan tehdä?
Suuri ongelma
Koska DXS Internationalin palvelut pysyivät toiminnassa, tietomurtoa on helppo sivuuttaa tapahtumattomana. Vaikka kliiniset etulinjan palvelut pysyivät toiminnassa, myöhemmin voi ilmetä muita ongelmia, sanoo Skip Sorrels, Clarotyn teknologiajohtaja ja tietoturvajohtaja. ”Kun vaarannat terveydenhuollon hallinnollisen selkärangan, luot pitkän hännän riskejä, kuten identiteettivarkauksia, tietojenkalastelukampanjoita ja potilaiden luottamuksen murenemista.”
Sorrels huomauttaa, että ”toiminnallinen” ei tarkoita ”turvallista”: ”Hyökkääjät kohdistavat iskunsa tarkoituksella pehmeämpiin hallintojärjestelmiin, koska he tietävät, että näillä toimittajilla ei usein ole samaa tietoturvatasoa kuin heidän tukemallaan kliinisellä infrastruktuurilla.”
Kevin Curran, IEEE:n vanhempi jäsen ja kyberturvallisuuden professori Ulsterin yliopistosta, on samaa mieltä tästä arviosta. ”Varastettuja tietoja voidaan käyttää väärin, mikä voi vaikuttaa potilaiden yksityisyyteen vuosien ajan.”
Hän kuvailee, kuinka taloudelliset seuraukset, kuten tutkintakulut, oikeudenkäyntikulut ja mahdolliset sakot, voisivat rasittaa jo ennestään paineen alla olevia resursseja julkisissa terveydenhuollon palveluissa. ”Lisäksi se korostaa digitaalisen terveydenhuollon infrastruktuurin systeemisiä ongelmia, mikä johtaa laajempaan tarkasteluun siitä, miten toisiinsa kytketyt teknologiat käsittelevät arkaluonteisia tietoja.”
Kolmannen osapuolen riskit
Yhdistyneen kuningaskunnan terveydenhuolto on jatkuvasti vahvistanut kyberturvallisuustoimiaan siitä lähtien, kun WannaCry ransomware-hyökkäys iski NHS:ään vuonna 2017. Sääntelyviranomaiset kiinnittävät yhä enemmän huomiota toimitusketjuihin ja tunnustavat, että hallinnoitujen palvelujen tarjoajien tai kriittisten toimittajien haavoittuvuuksilla voi olla laaja-alaisia vaikutuksia, sanoo Katharina Sommer, NCC Groupin hallitusasioiden ryhmäpäällikkö.
Kolmannen osapuolen ja toimitusketjun riskit edustavat "yhtä kiireellisimmistä terveysalan turvallisuushaasteista", koska ala on yhä enemmän riippuvainen ulkoisista toimittajista välttämättömien palveluiden osalta, Curran sanoo.
”Ohjelmistotoimitusketjuhyökkäykset ovat erittäin vaarallisia ja yleistyviä, koska ne hyödyntävät nykyaikaisen ohjelmistokehityksen verkottunutta luonnetta”, Curran kertoo. IO"Nämä hyökkäykset kohdistuvat riippuvuuksien, koontiprosessien tai kolmannen osapuolen komponenttien haavoittuvuuksiin, jolloin hyökkääjät voivat usein vaarantaa useiden yritysten tietoturvan yhden vikaantumispisteen kautta."
Välittömien vaikutusten lisäksi ongelmia voivat aiheuttaa pienemmät organisaatiot, joilla on ”laaja systeeminen jalanjälki, mutta rajallinen tietoturvakypsyys”, sanoo Tracey Hannan-Jones, UBDS Digitalin tietoturvakonsultointijohtaja, GRC ja ryhmätietosuojavastaava.
Tilannetta pahentaa se, että terveydenhuoltoalalla on näkyvyyshaasteita, Claroty's Sorrelsin mukaan. ”Useimmilla terveydenhuollon organisaatioilla on vaikeuksia ymmärtää kolmansien ja neljänsien osapuolten toimittajien turvallisuustilannetta. Palvelua ei voi ulkoistaa ja ajatella, että riski on jo ulkoistettu.”
Sääntelyn odotukset
Toimitusketjun turvallisuuden lisäksi sääntely edellyttää yhä useammin, että kriittisten palvelujen, kuten terveydenhuollon, on toteutettava lisätoimia sietokyvyn parantamiseksi. Kun tietomurtoja tapahtuu, alan toimijoiden odotetaan suojaavan tietoja ja noudattavan tiukkoja raportointivaatimuksia.
DXS Internationalin tietomurto antaa käsityksen terveydenhuoltotietoja koskevista sääntelyodotuksista Isossa-Britanniassa ja EU:ssa, erityisesti ... Yleinen tietosuojadirektiivi (GDPR) ja yhdenmukaistettu Yhdistyneen kuningaskunnan tietosuojalainsäädäntö. ”Nämä puitteet edellyttävät, että henkilötietoja, mukaan lukien terveystietoja, käsittelevien organisaatioiden on varmistettava vankat suojatoimet ja reagoitava läpinäkyvästi tietoturvaloukkauksiin”, sanoo Ulsterin yliopiston Curran.
Tässä tapauksessa DXS:n "nopea ilmoitus" tietosuojavaltuutetulle (ICO) ja lainvalvontaviranomaisille on Curranin mukaan GDPR:n 33 artiklan mukainen, jossa edellytetään tietomurrosta ilmoittamista 72 tunnin kuluessa, jos yksilöiden oikeuksiin ja vapauksiin kohdistuu riski.
Vastaavasti Yhdistyneen kuningaskunnan vaatimukset Tietosuojalaki 2018 korostavat vastuullisuutta ja pakottavat tahot dokumentoimaan ja lieventämään tietojen käsittelyyn liittyviä riskejä, Curran sanoo. ”ICO:n jatkuva tapauksen arviointi heijastaa sitä, miten sääntelyviranomaiset tarkastelevat paitsi itse tietomurtoa myös vastaustoimenpiteiden, mukaan lukien eristämis- ja tutkintaprotokollien, riittävyyttä”, hän kertoo. IO.
Sääntelyviranomaiset vaativat yhä enemmän näyttöä ennakoivasta riskienhallinnasta, koska reaktiiviset lähestymistavat ovat osoittautuneet riittämättömiksi kehittyviä uhkia vastaan – kuten Curranin mukaan terveydenhuollon kybertapahtumien kasvava määrä osoittaa.
Toisiinsa liittyvät riskit
Tämä tapahtuu aikana, jolloin kyber-, yksityisyys- ja tekoälyriskit ovat tulossa erottamattomiksi terveydenhuoltoympäristöissä verkottuneiden järjestelmien, tiedon jakamisen ja automaation ansiosta. Samaan aikaan tekoälypohjaiset työkalut muokkaavat riskiprofiileja.
DXS Internationalin tapaus on esimerkki tästä lähentymisestä, jossa toimittajan tietomurto voisi "potentiaalisesti paljastaa potilastietoja käsitteleviä integroituja verkkoja ja sekoittaa kyberturvallisuusuhkia yksityisyyden suojaan liittyviin huolenaiheisiin", Curran sanoo.
Hän huomauttaa, että datan jakaminen eri ekosysteemien välillä – palveluntarjoajien, tavarantoimittajien ja jopa rajat ylittävien toimijoiden välillä – murentaa perinteisiä rajoja entisestään. ”NHS:n kaltaisissa viitekehyksissä Terveys- ja sosiaalihuoltoverkosto, tieto virtaa dynaamisesti. Tämä yhteenliitettävyys voi johtaa kybertapahtumaan, joka pahenee yksityisyyden loukkauksiksi, kuten arkaluonteisten terveystietojen tahattomaksi paljastumiseksi.”
Tämän riskin huomioon ottaen kyber-, yksityisyys- ja tekoälyriskien käsittely erillisissä terveydenhuoltoympäristöissä "edistää merkittäviä sokeita pisteitä", Curran sanoo.
Sen sijaan yritysten on omaksuttava yhtenäinen lähestymistapa riskienhallintaan. Tämä edellyttää integroitujen kehysten käyttöä, jotka yhdistävät tietoturvan, tietosuojan ja tekoälyn hallinnan tukeakseen resilienssiä, luottamusta ja pitkän aikavälin vaatimustenmukaisuutta.
Esimerkiksi organisaatioiden on pidettävä tekoälyagentteja ja ihmisiä ”yhdistettynä työvoimana, joka on vuorovaikutuksessa ohjelmistojen ja infrastruktuurin kanssa”, sanoo Javvad Malik, KnowBe4:n johtava tietoturvajohtaja. ”Tätä varten tarvitsemme selkeää vastuuvelvollisuutta, toimittajien varmuutta ja valvontaa, joka yhdistää datan, ihmiset ja tekoälyn luottamuksen ja resilienssin tukemiseksi.”
Kehykset, kuten Kansallisen kyberturvallisuuskeskuksen Kyberturvallisuusarviointikehys, ISO 27001 ja NIST Kyberturvallisuuskehys tarjoavat ”käytännön työkaluja kontrollien, käytäntöjen ja riskimittareiden integrointiin”, sanoo NCC Groupin Sommer. ”Tämä auttaa organisaatioita rakentamaan luottamusta, osoittamaan vaatimustenmukaisuutta ja hallitsemaan kyberriskejä johdonmukaisella ja puolustuskelpoisella tavalla.”
Ulsterin yliopiston Curran neuvoo perustamaan ”monitoiminnallisia tiimejä”, jotka koostuvat kyberturvallisuuden, yksityisyyden suojan ja tekoälyn asiantuntijoista ja jotka tekevät yhteistyötä riskinarvioinneissa varmistaen, että uhkia arvioidaan ”monitahoisen linssin” kautta.
Kestävä, luotettava ja tulevaisuuteen valmis
Terveydenhuollon organisaatioiden ja niiden käyttämien toimittajien on pyrittävä rakentamaan kestävämpiä, luotettavampia ja tulevaisuuteen suuntautuneempia riskienhallintakäytäntöjä.
Voiton saavuttamiseksi organisaatioiden on siirryttävä kohti yhtenäistä lähestymistapaa riskeihin, sanoo Ivan Milenkovic, Qualysin riskiteknologian varatoimitusjohtaja EMEA-alueella. ”Sen sijaan, että parhaat tiimit keksisivät pyörän uudelleen, ne integroivat vakiintuneet kansainväliset turvallisuus-, yksityisyys- ja tekoälyn hallinnan standardit yhdeksi moottoriksi.”
Ulsterin yliopiston Curranin mukaan keskeistä on riskienhallinnan sisällyttäminen organisaatiokulttuuriin yhtenäisten käytäntöjen avulla, jotka edellyttävät ”säännöllisiä, integroituja tarkastuksia”.
Samaan aikaan ota käyttöön jaetun vastuun malli toimittajiesi kanssa, sanoo Clarotyn Sorrels. ”Älä kohtele toimittajasopimuksia ’sovitaan ja unohdetaan’ -sopimuksina. Vaadi jatkuvaa läpinäkyvyyttä, näyttöä tietoturvatestauksesta ja todisteita siitä, että ne täyttävät perusstandardit.”
