Allison Miller korosti, että pk-yritysten on toimittava ennakoivasti suojatakseen potilaiden arkaluonteisia tietoja, turvatakseen toimintansa jatkuvuuden ja vastatakseen kasvaviin kyberuhkiin. Tässä ovat Millerin keskeiset suositukset kyberturvallisuuden vahvistamiseen pk-yrityksille, jotka pyrkivät parantamaan kyberturvallisuuttaan muuttuvassa ympäristössä.
Tunnista terveydenhuollon erityiset kyberturvallisuusriskit
Terveydenhuolto on datakeskeinen ala ja yksi kyberhyökkääjien kiinnostavimmista kohteista. Noin kolmasosa globaalisti tallennetusta datasta on peräisin terveydenhuollosta, ja tämä data on erityisen arvokasta. Toisin kuin taloustiedot, jotka voi uusia, terveystiedot ovat korvaamattomia. Jos ne paljastuvat, potilaiden yksityisyys voi vaarantua pysyvästi. Terveydenhuollon tietomurtojen kustannukset ovat lähes kolme kertaa korkeammat kuin muilla aloilla, joten pk-yritysten on ymmärrettävä näiden riskien syvyys.
Toinen haaste on alan monimutkainen toimitusketju. Terveydenhuollon pk-yritykset luottavat usein useisiin ulkoisiin toimittajiin, lääkinnällisistä laitevalmistajista pilvipalveluntarjoajiin. Näiden toimittajien kyberturvallisuuden taso voi kuitenkin vaihdella, mikä luo verkoston haavoittuvia kohtia, joita hyökkääjät voivat käyttää hyväkseen. Pk-yrityksille tämä tarkoittaa sitä, että toimitusketjun turvaaminen on yhtä tärkeää kuin sisäisen verkon suojaaminen.
Priorisoi kybertaitojen kehittäminen
Miller korosti kyberturvallisuuden osaajapulaa erityisesti terveydenhuollossa, jossa alalla arvioidaan olevan 3,9 miljoonan osaajan vaje. Pk-yritykset ovat erityisen haavoittuvia, sillä niillä on usein vaikeuksia houkutella ja pitää kyberturvallisuuden erityisosaajia budjettirajoitteiden vuoksi. Miller kehottikin pk-yrityksiä panostamaan sisäiseen koulutukseen ja tietoisuuden lisäämiseen. Kun jokaiselle työntekijälle – hoitohenkilöstöstä hallintohenkilöstöön – tarjotaan kyberturvallisuuden perusosaamista, voidaan vähentää haavoittuvuuksia ja luoda turvallisuustietoisempi työympäristö.
Pk-yritykset voivat myös tehdä yhteistyötä oppilaitosten ja paikallisten viranomaisten kanssa saadakseen koulutusresursseja ja pysyäkseen ajan tasalla parhaista käytännöistä. Harjoittelu- ja oppisopimusohjelmat lähialueen oppilaitosten kanssa voivat auttaa paikkaamaan välitöntä osaajapulaa ja luomaan tulevaisuuden osaajapolkua.
Suojaa ja omista varoja kyberturvallisuuteen
Pk-yrityksille, joilla on tiukka budjetti, resurssien kohdistaminen kyberturvallisuuteen voi olla haastavaa. Miller kuitenkin painotti, että kyberturvallisuusrahoitusta tulisi pitää investointina eikä kuluna. Erillisen kyberturvallisuusbudjetin allokointi muiden kliinisten ja operatiivisten kulujen ulkopuolelle varmistaa, että kyberresilienssiä voidaan ylläpitää vaarantamatta potilaiden hoitoa. Kyberresilienssi tarkoittaa organisaation kykyä suojautua, reagoida ja toipua kyberuhkista, kuten kyberhyökkäyksistä tai tietoturvaloukkauksista, ilman merkittäviä häiriöitä liiketoiminnassa tai tärkeissä toiminnallisuuksissa. Se kattaa ennaltaehkäisyn, nopean reagoinnin ja palautumisen varmistamisen, jotta organisaatio pystyy jatkamaan toimintaansa ja suojaamaan tietonsa myös kyberuhkien kohdatessa.
Ota käyttöön vähimmäisvaatimukset kyberturvallisuudelle
Terveydenhuollossa kaikkia digitaalisia resursseja ei voida suojata korkeimmalla tasolla kustannus- ja resurssirajoitteiden vuoksi. Miller suositteli ”teräsrenkaan” muodostamista kriittisten resurssien, kuten lääkintälaitteiden, sähköisten potilastietojen (EHR) ja vanhojen järjestelmien ympärille. Näiden korkeavaikutteisten resurssien suojaaminen voi vähentää hyökkäysten aiheuttamia vahinkoja ja mahdollistaa perustoimintojen jatkumisen.
Tee kyberturvallisuudesta käyttäjäystävällistä terveydenhuollon työntekijöille
Terveydenhuollon pk-yrityksille on tärkeää varmistaa, ettei kyberturvallisuus häiritse tuottavuutta. Usein terveydenhuollon työntekijät käyttävät suojaamattomia sovelluksia tietojen jakamiseen ja viestintään, mikä altistaa potilastiedot riskille. Miller suositteli yhteistyötä teknologiatoimittajien kanssa, jotka soveltavat ”turvallisuutta suunnittelusta lähtien” -periaatteita varmistaakseen, että lääkinnälliset laitteet, ohjelmistot ja käyttöliittymät ovat yksinkertaisia, turvallisia ja käyttäjäystävällisiä. Intuitiiviset järjestelmät helpottavat turvallisuusprotokollien noudattamista potilashoidon keskeytymättä.
Vahvista yhteistyötä ja tiedonjakamista
Pk-yritysten tulisi ottaa oppia muilta aloilta, kuten rahoitussektorilta, jolla on usein vahvat kyberturvallisuusrakenteet ja josta voidaan saada arvokasta tietoa. Myös yhteistyö terveydenhuollon alalla on tärkeää; pienemmät organisaatiot voisivat hyötyä suurempien terveydenhuollon toimijoiden kokemuksista osallistumalla yhteisiin kyberturvallisuusharjoituksiin ja jakamalla parhaita käytäntöjä.
Miller suositteli, että pienemmät terveydenhuollon organisaatiot osallistuisivat aktiivisesti yhteisiin kyberturvallisuusharjoituksiin, kuten ENISAn ”purple teaming” -istuntoihin ja simulaatioharjoituksiin. Nämä aloitteet auttavat tunnistamaan ja korjaamaan haavoittuvuuksia, parantamaan kriisivastevalmiuksia ja edistämään valmiuskulttuuria.
Laadi toimialakohtaiset ohjeet ja käytännön tuki
Yksi merkittävimmistä suosituksista pk-yrityksille oli toimialakohtaisten kyberturvallisuusohjeiden laatiminen ja noudattaminen. ISO 27001 kaltaiset standardit voivat toimia hyvänä perustana, mutta terveydenhuollon pk-yritysten tulisi ottaa käyttöön toimialan erityistarpeisiin mukautettuja standardeja ja parhaita käytäntöjä.
Miller korosti myös käytännön tuen tarvetta erityisesti pk-yrityksille. Monet pienemmät organisaatiot eivät kykene toteuttamaan kattavia kyberturvallisuustoimenpiteitä. Räätälöity ohjeistus ja tuki näiden standardien täytäntöönpanoon voi auttaa terveydenhuollon pk-yrityksiä parantamaan turvallisuuttaan ilman, että resursseja kuormitetaan liikaa.
Vahvista toimitusketjun turvallisuutta
Terveydenhuollon pk-yritykset luottavat usein monimutkaiseen ulkoisten toimittajien verkostoon, lääkintälaitteiden valmistajista ohjelmistotoimittajiin, joilla kaikilla on erilainen kyberturvallisuuden valmiustaso. Tämä monimutkaisuus voi aiheuttaa merkittäviä tietoturvariskejä toimitusketjun eri kohdissa. Miller painotti, että terveydenhuollon pk-yritysten on arvioitava ja hallittava näitä riskejä ennakoivasti.
Toimitusketjun turvallisuuden vahvistamiseksi pk-yritysten tulisi aloittaa asettamalla kyberturvallisuusvaatimukset kaikille toimittajille ja kumppaneille. Tämä tarkoittaa vähimmäisvaatimusten, kuten EU NIS2-direktiivin, integroimista ja toimittajien velvoittamista osoittamaan vaatimustenmukaisuutensa. Pk-yritykset voivat hyödyntää toimittajien turvallisuusarviointeja arvioidakseen kyberturvallisuuden tasoa ja tunnistaakseen mahdolliset heikkoudet, jotka voisivat uhata potilastietoja tai toiminnan jatkuvuutta.
Suhteiden rakentaminen avaintoimittajiin ja yhteistyö turvallisuuskäytännöissä voi myös auttaa pk-yrityksiä vähentämään riskejä tehokkaammin. Esimerkiksi yhteisten kyberturvallisuusprotokollien kehittäminen tai yhteistyö uhkien havaitsemisessa voi vahvistaa toimitusketjun resilienssiä. Toimitusketjun turvallisuuden priorisointi mahdollistaa pk-yrityksille paitsi oman organisaation myös potilaiden suojaamisen epäsuorilta riskeiltä, joita toimittajien haavoittuvuudet voivat aiheuttaa.
Sijoita kybertutkimukseen ja innovointiin
Lopuksi Miller kannusti kaikkia terveydenhuollon organisaatioita koosta riippumatta tukemaan kyberturvallisuustutkimusta. Yhteistyö akateemisten instituutioiden ja alan toimijoiden kanssa voi edistää innovointia ja luoda edullisia, terveydenhuollon erityistarpeisiin mukautettuja ratkaisuja. Pk-yritykset, jotka tekevät yhteistyötä paikallisten yliopistojen tai tutkimuslaitosten kanssa, eivät ainoastaan paranna alansa resilienssiä, vaan myös asemansa potilastiedon turvaamisen etulinjassa.