sote

Kyber­ri­kol­li­set ja bu­git uh­kaa­vat sai­raa­loi­ta

Hajanainen osaaminen kyberturvallisuudessa ja heikosti tietosuojatut järjestelmät kaipaavat Viestintäviraston mukaan huomiota terveydenhoidon organisaatioissa.

ville miettinen kuvaT: istock

Sairaalat ovat yleistyneet viimeisen vuoden aikana kyberrikollisuuden kohteina. Tyypillinen iskutapa on rikollisen lähettämä kiristyshaittaohjelma, joka ottaa tietokoneen ”panttivangiksi” ja salaa tiedostot huipputason salakirjoituksella. Rikollinen vaatii haittaohjelman vangiksi joutuneen koneen käyttäjältä lunnaita, joita vastaan tiedostot palautetaan luettavaksi.

- Jos lunnaita ei maksa, ei käytännössä ole muuta vaihtoehtoa kuin hyväksyä tiedostojen menetys – ellei niistä sitten ole tuoreita varmuuskopioita, sanoo tietoturva-asiantuntija Perttu Halonen Viestintävirastosta.

- Käytännössä nykyaikainen salakirjoitus ei ole murrettavissa millään järkevällä työmäärällä.

Haittaohjelma on tavallisesti naamioitu sähköpostiin liitetiedostoon, mutta tartunta voi tulla myös pelkästä vierailusta sivustolla, jonne haittakoodia on laitettu.

Suomessa on havaittu sairaaloiden tietokoneissa kiristyshaittaohjelmatartuntoja, mutta niistä on selvitty, koska tietohallinnolla on ollut ajantasaiset varmuuskopiot.

Haittaohjelmahyökkäykset ovatkin Suomessa toistaiseksi pieni ongelma. Maailmalla ne ovat kuitenkin vuoden 2016 alkupuolella lisääntyneet merkittävästi, Halonen kertoo.

Yhdysvalloissa eräät sairaalat maksoivat helmikuussa lunnaita verkkorikollisille haittaohjelmista vapautuakseen.

Kyberturvallisuuden kyvyt hajallaan

Viestintävirasto julkaisi tammikuussa Terveydenhuoltoalan kyberuhkia -raportin. Sen on tarkoitus herättää keskustelua terveydenhuollon organisaatioiden johtajien keskuudessa.

- Heillä on pallo asioiden tärkeysjärjestyksen määrittelyssä, Halonen taustoittaa kohderyhmää.

- Tämä on selkeästi ottanut tuulta purjeisiin, yhteydenottoja on tullut paljon.

Raportin mukaan organisaatioiden kyvyt kyberturvallisuudesta huolehtimisessa ovat hajallaan, eikä kykyä turvallisuudesta huolehtimiseen ole kehitetty määrätietoisesti.

Raporttia laatiessaan Halonen yllättyi siitä, kuinka hierarkkinen organisaatio sairaala voi olla. Tietohallinto ja atk-tuki ja toisaalta hoidosta vastaava ja laboratorioista vastaava henkilöstö ei juuri keskustele tietoturvasta keskenään, vuorovaikutus on vähäistä.

- Siinä piilee suuria riskejä, jos kukaan ei hahmota, millainen tietotekninen kokonaisuus sairaala on, mitä laitteita siellä on ja miten ne juttelevat keskenään – ja miten niiden pitäisi jutella.

Kyse on siis toimintakulttuurista. Raporttiin onkin kirjoitettu suositus eri osastojen ja asiantuntijoiden välille muodostettavista tiimeistä, jotka keskustelevat hoidon tarpeesta potilaan näkökulmasta, millaisia laitteita tarvitaan tietoteknisessä mielessä ja mitä keskitetty tietohallinto voisi tehdä verkkoinfran kannalta, että hoito olisi tietoturvallista.

Mobiililaitteet useisiin verkkoihin

Digitaalisiin laitteisiin ja niiden herkkyyteen liittyy paljon riskejä, joihin raportissa myös kiinnitetään huomiota. Esimerkiksi sairaalassa käytettävät mobiililaitteet ovat oleellisesti sen varassa, että matkapuhelinverkko toimii.

Vuosittain Suomessa on noin kymmenen vakavaa matkapuhelinverkkojen toimintahäiriötä. Pahimmillaan sellainen voi vaarantaa potilasturvallisuuden. Raportti patistaakin organisaatioita varmistamaan, että yhden teleyrityksen vakava häiriö ei lamauta omaa toimintaa.

- Toimivia varautumiskeinoja ovat esimerkiksi useampien eri verkoissa toimivien teleyritysten liittymien hankkiminen tärkeimpiä toimintoja varten sekä vaihtoehtoisten työntekotapojen säilyttäminen ja säännöllinen käyttö mobiilikäytön rinnalla, raportissa sanotaan.

Järjestelmät ovat herkkiä häiriöille

Sairaaloiden digitaaliset järjestelmät puolestaan ovat käytännössä automaatiojärjestelmiä, jotka voivat olla herkkiä käsittelemälleen datakuormalle.

- Liika tai vääränlainen tietoliikenne voi sotkea laitteiden toimintaa niin, etteivät ne toimi odotetulla tavalla. Seuraukset voivat järjestelmän käyttötarkoituksesta riippuen olla jopa kohtalokkaita, raportissa todetaan.

Huhtikuussa Pirkanmaan sairaanhoitopiirin laaja tietoliikennehäiriö haittasi potilastietojärjestelmiä mm. teho-osastolla ja synnytysosastolla. Häiriön aiheutti runkolaitteen vika, joka johtui ohjelmointivirheestä.

Oleellista tietoliikennehäiriöitä vastaan suojautumisessa on varmentavien ratkaisujen toteuttaminen. Vian ilmaantuessa yhteyteen toinen yhteys ottaa homman haltuun. Näin oli tarkoitus tapahtua myös PSHP:ssa, mutta varmentavalle yhteydelle siirtävä automatiikka ei toiminut.

PSHP:n sairaalainsinööri Markus Markkisen mukaan varmentava yhteys on perusasia, jonka pitäisi aina olla kunnossa.

Erilaisia varautumisen testauksia tehdään jatkuvasti.

- Testejä tekemällä voi parantaa varmentavien ratkaisujen toimintaa tositilanteessa, Markkinen sanoo.

Suunnitteluun moniammattilaisuutta

Automaatiojärjestelmien ja -laitteiden tietoturvassa on Viestintäviraston raportin mukaan rutkasti parannettavaa. Pahimmillaan laitteet eivät varmista vastaanottamiensa komentojen aitoutta ja sallivat sisältämiensä tietojen käsittelyn ilman käyttäjän tunnistusta.

Raportti suosittaa, että järjestelmät järjestetään sisäkkäisiin ja rinnakkaisiin turvavyöhykkeisiin niin, että potilaisiin suoraan kytketyt järjestelmät – esimerkiksi elintoimintoja mittaavat laitteet tai lääkepumput – ovat sisimpänä muiden vyöhykkeiden suojaamana.

- Näin myös häiriöihin varautuminen sekä toimenpiteet häiriötilanteessa voidaan kohdentaa organisaation tehtävän kannalta kriittisimpiin kohteisiin, raportti toteaa.

Viestintäviraston Perttu Halonen peräänkuuluttaa moniammatillisia tiimejä, joissa voisi olla koko kyberturvallisuuden kannalta monisyisen sairaanhoitopiirin edustus: atk-työntekijöitä, laboratorion työntekijöitä, perushoitotyön edustajia, kiinteistöedustaja – ja kaikki miettivät laajalla skaalalla, mitä tietoteknisiä uhkia ympäristössä voisi olla

Tietoturva vaatii myös paljon ostamisosaamista, hän muistuttaa.

- Pitää osata vaatia tietoturvaa palvelun ja laitteiden toimittajilta. On määriteltävä, kuinka monessa paikassa ja millaista tietoturvaa tarvitaan, ja millaisella palvelulupauksella, miten nopeasti asiat saadaan korjattua. ♦

Sairaan­hoi­to­pii­rit reklamoivat Soneran verkosta

Mikkelin keskussairaalassa koettiin vaaratilanne 19. tammikuuta, kun Soneran puhelinverkko, jota sairaalan henkilökunta käytti, lakkasi toimimasta.

Aamuvarhaisella alkanut häiriö vaikeutti sairaalan ulkopuolella kotonaan nukkuneiden takapäivystäjien tavoittamista.

- Mikäli matkapuhelin mykistyy päivystäjän nukkuessa, ei paljoakaan ole tehtävissä mikäli varajärjestelmät (esim. Virve ja varapuhelimet) ovat sairaalan sisällä, todetaan Etelä-Savon sairaanhoitopiirin (ESSHP) Itä-Suomen aluehallintovirastolle lähettämässä selvityksessä tapahtuneesta.

Konkreettista potilasvahinkoa ei todettu, mutta tilanne olisi voinut johtaa vakaviin seurauksiin, koska hätätilanteessa leikkaustiimin ja sisätauti/kirurgi-päivystäjien paikalle saaminen olisi saattanut viivästyä vähintään 15–30 minuuttia. Myös elvytysryhmän tai hätäsektioryhmän tavoittaminen sairaalan sisällä olisi saattanut viivästyä.

Häiriö paitsi vaaransi sairaalan sisäisen kommunikaation, myös katkaisi yhteydet sairaalasta ulos ja ulkopuolelta sairaalaan.

”Käsittämätöntä välinpitämättömyyttä”

ESSHP arvostelee Soneran toimintaa aluehallintovirastolle lähettämässään selvityksessä ja pitää käsittämättömänä välinpitämättömyytenä sitä, että vaikka katko alkoi klo 5.30, Sonera kertoi siitä vasta klo 8.40.

Häiriötä seuranneena päivänä yhtiö kommentoi vikaa julkaisemalla videon Youtubessa.

- Vikatilanne johtui mobiiliverkon päivitystöistä. Se oli erittäin iso ja eskaloitui isommaksi kuin pahimmissakin ajatuksissa pelättiin, Soneran toimitusjohtaja Valdur Laid sanoi.

Kyseessä ei ollut ensimmäinen kerta, kun Soneran verkko petti. Katkoja on ollut kolmesti heinä-elokuussa 2015 ja kerran joulukuussa 2014 .

ESSHP on reklamoinut Soneralle ja kirjelmöinyt Viestintävirastolle, sosiaali- ja terveysministeriölle sekä Valviralle. ESSPH:ssä koetaan, että ongelmat eivät ole aiemmin kiinnostaneet viranomaisia,

- Operaattorin kanssa on myös neuvoteltu, ja lupasivat parantaa ennakkotiedotusta poikkeustilanteissa sekä tiedotusta häiriötilanteissa. Ei näkynyt parannusta, johtajaylilääkäri Kati Myllymäen allekirjoittamassa kirjeessä todetaan.

Tammikuista häiriötä koskeneessa reklamaatiossa olivat mukana myös Carea, Eksote sekä Kanta-Hämeen, Keski-Pohjanmaan, Pohjois-Pohjanmaan, Länsi-Pohjan ja Vaasan sairaanhoitopiirit, joita häiriö kosketti. Erillisessä Viestintävirastolle, STM:lle ja Valviralle lähetetyssä kirjeessä asiasta olivat mukana Kainuun sote, Päijät-Hämeen sote-kuntayhtymä sekä Pirkanmaan, Pohjois-Savon, Satakunnan ja Varsinais-Suomen sairaanhoitopiirit.

Varautuminen uusiksi

Tammikuun jälkeen ESSHP:ssa on varmistettu omaa toimintaa vastaavien tilanteiden varalle.

Takapäivystäjille on otettu käyttöön puhelimet, joissa on kaksois-SIM-kortti ja myös Elisan liittymä. Lisäksi on kiirehditty Virve-puhelinten käyttöönottoa kaikille päivystäjille.

Mikkelissä toivotaan, että Sonera saa tiedottamiseensa ryhtiä. Avoin tiedotus paitsi vioista myös konesalien ja servereiden uudistamisesta helpottaisi myös sairaalan varautumista ongelmiin.

- Näissä riskialttiissa yliheittotilanteissa loppukäyttäjillä voisi olla varajärjestelmät jo viritettynä ja esimerkiksi kotona päivystävillä erikoislääkäreillä olisi varmistuspuhelimet mukana, ladattuina ja päällä, ESSHP muistuttaa.

Häiriö aiheutti potentiaalisen

riskitilanteen PSHP:ssä

Oli onni onnettomuudessa, että Pirkanmaan sairaanhoitopiirin taannoinen laaja tietoliikennehäiriö tapahtui varhain sunnuntaiaamuna, jolloin normaali poliklinikkatoiminta ja leikkaustoiminta ei ollut käynnissä, sanoo johtajaylilääkäri Kari-Matti Hiltunen.

- Kun järjestelmiä arkena tarvitaan joka puolella sairaalaa, tilanne olisi ollut vielä hankalampi.

Hankaluuksia nimittäin esiintyi ilman arkista kuhinaakin. Esimerkiksi teho-osaston potilastietojärjestelmä, johon mm. lääketiedot siirtyvät reaaliaikaisena, ei ottanut kirjauksia vastaan.

- Tehohoidossa tilanne vaihtuu nopeasti, että kun lääketiedot ja laboratoriotiedot keräävä ohjelma on pois päältä, aiheutuu ongelmia. Siinä yhteydessä on vain kirjattava käsin potilaskohtaisia tietomuutoksia.

Manuaalisella kirjaamisella ja puhelinliikenteellä korvattiin myös se, että leikkaustoimintaa kirjaava järjestelmä ei toiminut.

- Potentiaalisesti se oli riskitilanne.

Synnytyssalissa häiriö puolestaan aiheutti sen, että vaikka potilaskutsujärjestelmässä hälytykset tulivat päälle, niitä ei voitu kuitata pois päältä. Reaaliaikainen synnytyksen etenemisen monitorointi ei toiminut.

- Kätilön piti olla synnyttäjän kanssa läsnä kaiken aikaa, kun monitorointi ei kirjautunut järjestelmään.

Yhtään potilasreklamaatiota Hiltusen tietoon ei kuitenkaan ole tullut.

Henkilökuntaa on koulutettu tämänkaltaisten häiriötilanteiden varalle.

- Ja myös maalaisjärkeä saa ja osataan käyttää.

Kiristyshyökkäykset leviävät Pohjois-Amerikassa

Vuonna 2016 kiristyshaittaohjelmat tulevat aiheuttamaan sekasortoa Amerikan kriittiselle infrastruktuurille, varoittaa Kriittisen infrastruktuuriteknologian instituutti (Institute for critical infrastructure technology, ICIT) tuoreessa raportissaan.

- Maksaako vai eikö maksaa? tulee olemaan kuumien keskustelujen aihe kautta maan ja myös ulkomailla, ICIT ennustaa.

Ainakin Yhdysvalloissa ennustus on jonkin verran käynyt toteen.

Los Angeles Timesin mukaan hollywoodilainen sairaala maksoi helmikuussa 40 bitcoinin eli noin 17 000 dollarin lunnaat hakkerille, jotta tämä vapauttaisi pääsyn takaisin sairaalan kaapattuihin tiedostoihin.

Maaliskuussa kiristyshaittaohjelma lamautti osan MedStar-sairaalaketjun järjestelmistä niin, että kaikkia ketjun sairaaloihin tulossa olleita potilaita ei voitu ottaa sisään.

Iskun alusta kesti noin 48 tuntia, että tärkeimmät lääketieteelliset järjestelmät palautuivat toimintaan. Toiset 48 tuntia myöhemmin 90 prosenttia lamautuneista toiminnoista oli palautunut.

MedStar ei kertonut, miten se sai toiminnot takaisin raiteilleen – lunnaiden maksu kiistettiin.

Sairaan­hoi­to­pii­rit reklamoivat Soneran verkosta

Mikkelin keskussairaalassa koettiin vaaratilanne 19. tammikuuta, kun Soneran puhelinverkko, jota sairaalan henkilökunta käytti, lakkasi toimimasta.

Aamuvarhaisella alkanut häiriö vaikeutti sairaalan ulkopuolella kotonaan nukkuneiden takapäivystäjien tavoittamista.

- Mikäli matkapuhelin mykistyy päivystäjän nukkuessa, ei paljoakaan ole tehtävissä mikäli varajärjestelmät (esim. Virve ja varapuhelimet) ovat sairaalan sisällä, todetaan Etelä-Savon sairaanhoitopiirin (ESSHP) Itä-Suomen aluehallintovirastolle lähettämässä selvityksessä tapahtuneesta.

Konkreettista potilasvahinkoa ei todettu, mutta tilanne olisi voinut johtaa vakaviin seurauksiin, koska hätätilanteessa leikkaustiimin ja sisätauti/kirurgi-päivystäjien paikalle saaminen olisi saattanut viivästyä vähintään 15–30 minuuttia. Myös elvytysryhmän tai hätäsektioryhmän tavoittaminen sairaalan sisällä olisi saattanut viivästyä.

Häiriö paitsi vaaransi sairaalan sisäisen kommunikaation, myös katkaisi yhteydet sairaalasta ulos ja ulkopuolelta sairaalaan.

”Käsittämätöntä välinpitämättömyyttä”

ESSHP arvostelee Soneran toimintaa aluehallintovirastolle lähettämässään selvityksessä ja pitää käsittämättömänä välinpitämättömyytenä sitä, että vaikka katko alkoi klo 5.30, Sonera kertoi siitä vasta klo 8.40.

Häiriötä seuranneena päivänä yhtiö kommentoi vikaa julkaisemalla videon Youtubessa.

- Vikatilanne johtui mobiiliverkon päivitystöistä. Se oli erittäin iso ja eskaloitui isommaksi kuin pahimmissakin ajatuksissa pelättiin, Soneran toimitusjohtaja Valdur Laid sanoi.

Kyseessä ei ollut ensimmäinen kerta, kun Soneran verkko petti. Katkoja on ollut kolmesti heinä-elokuussa 2015 ja kerran joulukuussa 2014 .

ESSHP on reklamoinut Soneralle ja kirjelmöinyt Viestintävirastolle, sosiaali- ja terveysministeriölle sekä Valviralle. ESSPH:ssä koetaan, että ongelmat eivät ole aiemmin kiinnostaneet viranomaisia,

- Operaattorin kanssa on myös neuvoteltu, ja lupasivat parantaa ennakkotiedotusta poikkeustilanteissa sekä tiedotusta häiriötilanteissa. Ei näkynyt parannusta, johtajaylilääkäri Kati Myllymäen allekirjoittamassa kirjeessä todetaan.

Tammikuista häiriötä koskeneessa reklamaatiossa olivat mukana myös Carea, Eksote sekä Kanta-Hämeen, Keski-Pohjanmaan, Pohjois-Pohjanmaan, Länsi-Pohjan ja Vaasan sairaanhoitopiirit, joita häiriö kosketti. Erillisessä Viestintävirastolle, STM:lle ja Valviralle lähetetyssä kirjeessä asiasta olivat mukana Kainuun sote, Päijät-Hämeen sote-kuntayhtymä sekä Pirkanmaan, Pohjois-Savon, Satakunnan ja Varsinais-Suomen sairaanhoitopiirit.

Varautuminen uusiksi

Tammikuun jälkeen ESSHP:ssa on varmistettu omaa toimintaa vastaavien tilanteiden varalle.

Takapäivystäjille on otettu käyttöön puhelimet, joissa on kaksois-SIM-kortti ja myös Elisan liittymä. Lisäksi on kiirehditty Virve-puhelinten käyttöönottoa kaikille päivystäjille.

Mikkelissä toivotaan, että Sonera saa tiedottamiseensa ryhtiä. Avoin tiedotus paitsi vioista myös konesalien ja servereiden uudistamisesta helpottaisi myös sairaalan varautumista ongelmiin.

- Näissä riskialttiissa yliheittotilanteissa loppukäyttäjillä voisi olla varajärjestelmät jo viritettynä ja esimerkiksi kotona päivystävillä erikoislääkäreillä olisi varmistuspuhelimet mukana, ladattuina ja päällä, ESSHP muistuttaa.

Häiriö aiheutti potentiaalisen

riskitilanteen PSHP:ssä

Oli onni onnettomuudessa, että Pirkanmaan sairaanhoitopiirin taannoinen laaja tietoliikennehäiriö tapahtui varhain sunnuntaiaamuna, jolloin normaali poliklinikkatoiminta ja leikkaustoiminta ei ollut käynnissä, sanoo johtajaylilääkäri Kari-Matti Hiltunen.

- Kun järjestelmiä arkena tarvitaan joka puolella sairaalaa, tilanne olisi ollut vielä hankalampi.

Hankaluuksia nimittäin esiintyi ilman arkista kuhinaakin. Esimerkiksi teho-osaston potilastietojärjestelmä, johon mm. lääketiedot siirtyvät reaaliaikaisena, ei ottanut kirjauksia vastaan.

- Tehohoidossa tilanne vaihtuu nopeasti, että kun lääketiedot ja laboratoriotiedot keräävä ohjelma on pois päältä, aiheutuu ongelmia. Siinä yhteydessä on vain kirjattava käsin potilaskohtaisia tietomuutoksia.

Manuaalisella kirjaamisella ja puhelinliikenteellä korvattiin myös se, että leikkaustoimintaa kirjaava järjestelmä ei toiminut.

- Potentiaalisesti se oli riskitilanne.

Synnytyssalissa häiriö puolestaan aiheutti sen, että vaikka potilaskutsujärjestelmässä hälytykset tulivat päälle, niitä ei voitu kuitata pois päältä. Reaaliaikainen synnytyksen etenemisen monitorointi ei toiminut.

- Kätilön piti olla synnyttäjän kanssa läsnä kaiken aikaa, kun monitorointi ei kirjautunut järjestelmään.

Yhtään potilasreklamaatiota Hiltusen tietoon ei kuitenkaan ole tullut.

Henkilökuntaa on koulutettu tämänkaltaisten häiriötilanteiden varalle.

- Ja myös maalaisjärkeä saa ja osataan käyttää.

Kiristyshyökkäykset leviävät Pohjois-Amerikassa

Vuonna 2016 kiristyshaittaohjelmat tulevat aiheuttamaan sekasortoa Amerikan kriittiselle infrastruktuurille, varoittaa Kriittisen infrastruktuuriteknologian instituutti (Institute for critical infrastructure technology, ICIT) tuoreessa raportissaan.

- Maksaako vai eikö maksaa? tulee olemaan kuumien keskustelujen aihe kautta maan ja myös ulkomailla, ICIT ennustaa.

Ainakin Yhdysvalloissa ennustus on jonkin verran käynyt toteen.

Los Angeles Timesin mukaan hollywoodilainen sairaala maksoi helmikuussa 40 bitcoinin eli noin 17 000 dollarin lunnaat hakkerille, jotta tämä vapauttaisi pääsyn takaisin sairaalan kaapattuihin tiedostoihin.

Maaliskuussa kiristyshaittaohjelma lamautti osan MedStar-sairaalaketjun järjestelmistä niin, että kaikkia ketjun sairaaloihin tulossa olleita potilaita ei voitu ottaa sisään.

Iskun alusta kesti noin 48 tuntia, että tärkeimmät lääketieteelliset järjestelmät palautuivat toimintaan. Toiset 48 tuntia myöhemmin 90 prosenttia lamautuneista toiminnoista oli palautunut.

MedStar ei kertonut, miten se sai toiminnot takaisin raiteilleen – lunnaiden maksu kiistettiin.