Isku hanaveteen tai terveystietoihin
Kuntien ja terveydenhuollon pitäisi varautua kriiseihin paremmin. Uhkia pohdittaessa kannattaisi päästää mielikuvitus valloilleen, sanoo tutkija.
KOTIMAA 30.03.2022 20:45
EEVA-LIISA HYNYNEN
SUOJELUPOLIISI varoitti 29. maaliskuuta, että Venäjä kohdistaa todennäköisesti tulevina kuukausina Suomeen kyber- ja informaatio-operaatioita.
Supon johtaja
Antti Pelttari mainitsi mahdollisiksi kohteiksi verkossa toimivien palvelujen lisäksi muun muassa ja vesi- ja lämpöhuollon.
”Kunnilla ja terveydenhuollolla on herätyksen paikka”, sanoo tietojohtamisen professori
Samuli Pekkola Tampereen yliopistosta.
Pekkolan mukaan kuntien ja terveydenhuollon kyky vastata tietojärjestelmiin liittyviin riskeihin on hajanaista.
”Jotkut osaavat, toiset eivät. Pahimmillaan tietoturvallisuuden ajatellaan olevan yhtä kuin toimiva virustentorjuntaohjelma ja palomuuri.”
Suomessa on Ahvenanmaa mukaan lukien 309 kuntaa. Terveydenhuollon ja erikoissairaanhoidon järjestämisestä vastaa vielä vuoden 2022 loppuun asti laaja joukko kuntia ja kuntayhtymiä.
Kyberturva maksaa, ja Pekkola perääkin valtiolta rahoitusta terveydenhuollon ja muun kriittisen infrastruktuurin turvallisuuden parantamiseen.
Kyse ei ole pelkästään Venäjään liittyvistä uhkakuvista vaan varautumisesta uudenlaisiin kriiseihin laajemminkin.
Lähimenneisyydestä löytyy esimerkkejä: Nokian vesihuollon kriisi vuonna 2007, Turun terrori-isku 2017 ja psykoterapiakeskus Vastaamoon kohdistettu, vuonna 2020 julkisuuteen tullut tietomurto.
Esimerkiksi Nokian kaupungin vesihuollon turvallisuussuunnitelmassa oli tunnistettu inhimillisen virheen mahdollisuus, mutta riski oli arvioitu vähäiseksi.
Kun virhe tapahtui marraskuussa 2007, yli 400 000 litraa jätevettä sekoittui juomaveteen. Yli 8 000 kaupunkilaista sairastui, osa vakavasti. Yksi ihmisen kuoli saastuneen juomaveden vuoksi.
KRIISEISTÄ jokainen on opettanut jotakin yhteiskunnan haavoittuvuudesta. Tuoreimpana tapauksena Vastaamo osoittaa, millaisia katastrofeja riittämättömästi hoidettu tietoturvallisuus aiheuttaa.
Samuli Pekkola muistuttaa, että kuntien ja terveydenhuollon tietojärjestelmiin on käytetty miljardeja euroja veronmaksajien rahaa, mutta järjestelmät ovat
seurustelleet keskenään heikosti, jos lainkaan.
Pekkolan mukaan kuntien välillä on suuria eroja tietoturvallisuuden osaamisessa.
Sote-palvelut
siirtyvät hyvinvointialueiden vastuulle vuoden 2023 alusta. Samuli Pekkolan mukaan tässä vaiheessa olisi mahdollisuuksia korjata aiemmin tehtyjä virheitä, jotka liittyvät kuntien ja terveydenhuollon ajattelumalleihin.
Pekkola sanoo, että terveydenhuollon organisaatioissa ja kunnissa tunnutaan ajattelevan, että tietojärjestelmiin ja -turvallisuuteen liittyvät kysymykset kuuluvat vain ict-alan ammattilaisille. Kunnissa ja tulevilla hyvinvointialueilla tarvitaankin nykyistä systemaattisempaa tietojohtamista.
”Sellaista johtamista, jolla kriisitietoisuus jalkautetaan koko organisaatioon. Että johtajan lisäksi kaikki muutkin tiedostavat toimintamallit ja riskit.”
Pekkola listaa kysymyksiä, joihin kunnissa olisi vastattava: Mitä tarkoittaa, jos kaupungin kaikki tietojärjestelmät ovat rikki, eikä kaupunki ole johdettavissa totunnaiseen tapaan? Kuinka potilaita hoidetaan, jos sähköinen potilastietojärjestelmä lakkaa toimimasta? Onko organisaation kriisisuunnitelma vain internetissä – jos verkko ei toimi, mitä silloin tehdään?
Pekkola tietää, että arjessa kriisitietoisuus jää taka-alalle. Nyt kuntien ja terveydenhuollon toimijoiden tulisi kuitenkin kantaa huolta mahdollisista kyberhyökkäyksistä.
”Kunnissa ja terveydenhuollossa on viimeinen hetki herätä ja tiedostaa, että kyse ei ole pelkästä teknisestä suoritteesta vaan koko organisaation kriisitietoisuudesta ja toimintakyvystä.”
HUOLTOVARMUUSKESKUS teki vuonna 2020 kartoituksen eri toimialojen kyberturvallisuudesta.
Kartoitus kattoi 12 toimialaa, ja näiden piirissä oli yli sata organisaatiota. Kyberturvallisuutta arvioitiin asteikolla, jossa taso yksi merkitsi varautumattomuutta ja taso viisi jatkuvaa kriisilähtöistä kehittämistä.
Kärkeen nousi finanssiala – pankit ja vakuutuslaitokset – jonka tulos oli yli neljä.
Terveydenhuollon ja energia-alan tulos jäi alle neljän, ja vesihuollon hiukan alle 3,5:n. Vaikka kriittiset infrastruktuurit pärjäsivät kohtuullisesti, yksikään toimija ei yltänyt ylimmälle tasolle.
Tulos ei yllätä tutkijatohtori
Ossi Heinoa.
Heino ja Pekkola ovat mukana Terveyden ja hyvinvoinnin laitoksen ja Tampereen yliopiston hankkeessa, jossa tutkitaan terveydenhuoltojärjestelmän kriisinkestävyyttä. Tavoitteena on tuottaa toimintamalli, joka tukee kriisinhallintaa.
Heino on aiemmin tutkinut Poliisiammattikorkeakoulussa, miten yhteiskunnan kriittistä infrastruktuuria saatettaisiin käyttää terrorismin toteuttamisen välineenä.
Heinon mukaan vakava kysymys on, kuinka kauan yhteiskunta selviäisi toimintakykyisenä ilman sähköä ja hanavettä.
”Jos valtakunnan kantaverkko ajautuisi jostain syystä alas, sen pystyyn nostamisen arvioidaan kestävän nopeimmillaan noin kolme vuorokautta”, Heino kertoo.
Juuri tästä syystä kotitalouksia kehotetaan pitämään kaapeissaan 72 tunnin hätävaraa: pullovettä, kuivaruokaa, säilykkeitä, paristoja, ensiaputarvikkeita, lääkkeitä ja niin edelleen.
Kantaverkon kaaduttua talousveden jakelu häiriintyisi, wc:n huuhtelu ei toimisi, kaukolämmön jakelu estyisi, bensiinipumput lakkaisivat toimimasta ja tietoverkot kaatuisivat.
Ossi Heino sanoo, että jokaisen kansalaisen on syytä ajatella tilanne omalle kohdallaan ja pohtia, miten sellaiseen voisi varautua.
KUNTIEN nykyisenlaiset turvallisuussuunnitelmat voivat Heinon mukaan saada aikaan petollista turvallisuuden tunnetta. Jos varaudutaan lähinnä uhkiin, joista on aiempaa kokemusta, katveeseen jää riskejä, joista pitäisi nyt kiinnostua.
”Kun yleisesti tunnistetut riskit on dokumentoitu ja niihin liittyvät toimintamallit kirjoitettu eri sarakkeisiin, saatetaan ajatella, että tilanne on nyt hallinnassa”, Heino sanoo.
Kriisitilanteissa olettamukset kuitenkin murtuvat. Jos uuden uhan kohdalla tukeudutaan vanhoihin näkemyksiin, ratkaistaan väärää ongelmaa. Se voi jopa pahentaa tilannetta.
Heinon mielestä kunnissa ja terveydenhuollon organisaatioissa pitäisi uskaltaa kuvitella uhkakuvia, joita ei vielä ole kohdattu. Hän perää julkisten organisaatioiden johtoryhmiin kyseenalaistajia, jotka eivät suostu lakaisemaan kiusallisia kysymyksiä maton alle.
”Mielikuvitukselle pitäisi antaa nykyistä suurempi rooli kriiseihin varautumisessa.”
Poikkeuksellisissa tilanteissa tarvitaan päätöksenteko- ja johtamistaitoa, jota ei välttämättä synny pitkässä ja tasaisessa uraputkessa. Kriiseissä on osattava poiketa sääntökirjasta, kun huomataan, että tilanne on toisenlainen kuin oli oletettu. Sellaista kykyä tarvittaisiin myös kunnissa ja terveydenhuollossa.
Kunnissa varautumista kriiseihin ei ole Heinon mukaan pidetty tärkeänä. Se ei ole aina edes ”kakkoskorin” asia, vaan saattaa kuulua ”kolmos- tai neloskorin” asioihin. Tällaisen ajattelun aika on ohi.
”Meillä on naapurissamme valtio, joka tulittaa ydinvoimalaa, ottaa henkilöstön panttivangiksi, irrottaa ydinvoimalan sähköverkosta ja vallattuaan ydinvoimalan ilmoittaa ottavansa sen haltuunsa pysyvästi.”
Suomen kuvalehti
www.apteekkari.fi
yle.fi
