Maailman lääkäriliitto varoittaa kyberuhista. Ammattimaiset hyökkäykset ovat arkipäivää Suomessakin.
Terveydenhuoltoon kohdistuvat kyberhyökkäykset herättävät huolta. Hyökkäyksiä tapahtuu entistä enemmän.
Tarkasta määrästä ei ole tietoa, mutta esimerkiksi teknologiayhtiö IBM:n raportin mukaan terveydenhuollossa tapahtui viime vuonna enemmän kyberhyökkäyksiä kuin muilla toimialoilla. Aiemmin kärjessä oli finanssisektori.
IBM:n raportti 2016 Cyber Security Intelligence Index tarkastelee asiakasyritysten kyberturvallisuustilannetta yli sadassa maassa.
Myös Maailman lääkäriliitto on kiinnittänyt huomiota kyberuhkiin. Liitto valmistelee julistusta, jonka on tarkoitus avata jäsenmaiden silmiä kyberturvallisuuden suhteen. Julistus ilmestynee syksyn aikana.
– Terveyspalvelujärjestelmiä on ajateltu vain toimivuuden kannalta. Ei ole ajateltu vakavasti mahdollisuutta, että yksittäinen sairaala tai potilastietojärjestelmä joutuisi tarkoituksellisen vihamielisen hyökkäyksen kohteeksi, Lääkäriliiton toiminnanjohtaja Heikki Pälve sanoo.
Pälve toteaa, että myöskään lintukoto Suomessa ei vielä osata pelätä kyberhyökkäyksiä.
– Yhdysvalloissa ja Saksassa on jo esimerkkejä siitä, että sairaala ei voi toimia, kun hyökkäys sulkee potilastiedostot. Ajatuskin siitä karmii selkäpiitä.
Hyökkäyksiä tulee jatkuvasti
Alkuvuodesta ilmestynyt Kyberturvallisuuskeskuksen raportti todentaa Pälveen huolen. Suomen terveydenhuollon varautumisessa kyberuhkiin on parantamisen varaa.
Miltä tilanne näyttää esimerkiksi HUS:ssa?
Tietohallinnon johtaja Pertti Mäkelä kertoo, että kyberhyökkäykset ovat lisääntyneet terveydenhuollossa samoin kuin muillakin toimialoilla. Ne ovat myös viime vuosina muuttuneet entistä ammattimaisemmiksi.
Mäkelän mukaan HUS:ssa on tehty tietoturvan eteen kaikki, mikä on teknisesti ja taloudellisesti kohtuudella mahdollista. Sairaanhoitopiiri on myös päivittäin yhteydessä Viestintävirastoon ja seuraa, mitä maailmalla tapahtuu.
– Hyökkäyksiä tulee paljon koko ajan, miljoonia. Se on arkipäivää. Havainnointijärjestelmämme mukaan ovelle käydään kolkuttamassa useamman kerran joka sekunti. Ne ovat verkossa leviäviä, kohdistamattomia hyökkäyksiä ja tietoturva-aukkojen etsintää, Mäkelä sanoo.
– Internet on täynnä koneita, jotka yrittävät hyökätä kaikkiin suojaamattomiin laitteisiin. Sähköpostista 98 prosenttia suodatetaan pois, mikä kuvaa hyvin tietoverkoissa kulkevan roskapostin ja haittaohjelmien määrää, hän jatkaa.
Tapauksista ei aina kerrota
Kyberhyökkäykset ovat lisääntyneet terveydenhuollossa, mutta niistä ei oikein ole kattavaa tilastotietoa, kertoo VTT:n johtava tutkija Pasi Ahonen.
– Suuri ongelma on, että niitä piilotellaan. Kukaan ei halua myöntää julkisesti, että meidän yrityksessämme tai sairaalassamme on tapahtunut jotakin, ellei ole pakko.
Ahosen mukaan Suomessa on edelleen vähemmän hyökkäyksiä kuin muualla maailmassa.
– Suomessa on maailman puhtaimmat verkot. Viestintäviraston Kyberturvallisuuskeskus tunnistaa uhat erittäin hyvin ja ilmoittaa niistä asianosaisille, hän sanoo.
Viime syksynä uutisoitiin palvelunestohyökkäyksestä Pohjois-Karjalassa. Ahosen mukaan sairaanhoitopiirit saattavat olla huonosti valmistuneita palvelunestohyökkäyksiin, sillä teleoperaattorien tietoturva ei välttämättä riitä niitä vastaan.
Haittaohjelmat ovat ehkä tyypillisin kyberhyökkäyksen muoto. Uusin ja hyvin yleinen hyökkäyskeino on kiristyshaittaohjelma. Se salaa tietokoneen tiedostot eikä avaa niitä, jos käyttäjä ei maksa lunnaita. Ainakin ulkomailla moni sairaala on joutunut turvautumaan lunnaiden maksuun.
Maailmalla ilmenee paljon myös potilastietojen varastamista. Tietoja myydään eteenpäin hyvällä hinnalla.
Kiusantekijöistä ammattilaisiksi
Pertti Mäkelän mukaan terveydenhuollossa suurin osa hyökkäyksistä on kohdistamattomia, eli niitä ei ole tähdätty johonkin tiettyyn organisaatioon.
– Taustalla ovat ammattimaiset rikolliset, jotka pyörittävät bisnestä. Kun hyökkäys leviää maailmanlaajuisesti, aina löytyy kohteita, jotka eivät ole tarpeeksi suojattuja.
Mäkelän mukaan hakkerit olivat aiemmin amatöörimäisiä kiusantekijöitä, jotka halusivat näyttää, mihin pystyvät. Nyt ammattimaiset tehtailijat käärivät isoja rahoja.
Kyberturvallisuuskeskuksen mukaan monet suurimmista kyberuhista sairaaloissa liittyvät lääketieteellisiin laitteisiin.
– Asia nousee mediassa usein raflaavasti esiin, kun esimerkiksi sydämentahdistimia on hakkeroitu. Periaatteessa kaikki laitteet, jotka ovat verkossa tai joihin pääsee etäisesti, ovat murrettavissa. Sellaisia suojauksia ei olekaan, ettei laitteisiin pääsisi käsiksi, jos on tarpeeksi tahtoa ja rahaa, Mäkelä sanoo.
Laitteiden hallinnointi on retuperällä
Pasi Ahosen mukaan lääketieteellisissä laitteissa voi saada helposti suuria vahinkoja aikaiseksi, ja niiden korjaaminen vaatii erityisosaamista. Joskus laitteet muodostavat sekamelskan päivittämätöntä it-infraa, jota tavallinen it-tukihenkilö ei hallitse.
– Uhat ovat olemassa ja voivat realisoitua massiivisesti. On varmasti kaaos, jos hyökkääjät tai haitantekijät pääsevät mellastamaan, Ahonen sanoo.
Miksi laitteiden kyberturvallisuus sitten on niin huonolla tolalla?
Ahosen näkemyksen mukaan terveydenhuollon tietoturvallisuutta ei useinkaan ole pystytty hallinnoimaan keskitetysti, eikä sen tärkeyttä ole ymmärretty. Tämä on näkynyt hankinnoista lähtien.
– Yleensä lääkärit ovat pitkälti saaneet itse valita, mitä hankintoja tehdään. Koska he eivät ole tietoturvan asiantuntijoita, on tullut hyvin monenlaisia järjestelmiä ja puutteellisia tietoturvaominaisuuksia. Integroiminen jälkikäteen on mahdotonta.
Terrorismi tähtää epävarmuuteen
Ahonen pitää mahdollisena, että kyberrikollisuus suuntautuu nyt terveydenhuoltoon finanssialan paremman varautumisen takia.
– Terveydenhuollossa on sekä rahaa että kriittistä toimintaa. Kiristystilanteessa on tehtävä nopeita päätöksiä potilasturvallisuuden takia. Ei ole aikaa miettiä, mitä tehdä.
Ahosen mukaan osa kyberhyökkäyksistä voi olla terrorismia, jossa rikolliset haluavat häiritä yhteiskunnan toimintaa ja saada aikaan epävarmuutta ja luottamuspulaa.
Esimerkiksi terveydenhoitojärjestelmän ajaminen alas vaikuttaisi tehokkaasti suomalaisten turvallisuudentunteeseen. Jos kansalaiset katsovat, ettei yhteiskunta toimi kunnolla, tämä voi vaikuttaa poliittiseen päätöksentekoon.
– Hybridiuhat on valitettavasti todellisuutta. Suomessakin on toimintaa, jota voidaan pitää hybriditoimintana eli tiedusteluna ja soluttautumisena. Voi olla, että kohteena on myös terveydenhuoltoala.
Ahosen mukaan hybridisodankäynti on selvästi lisääntynyt, eikä Suomi ole poissuljettu.
– Suomi on saanut kyberturvallisuudessa paljon apua ulkomailta, mutta siitä ei ole aina voinut kertoa avoimesti. On usein omat lakinsa, mitä asioita tuodaan julkisuuteen, hän sanoo.
Kiristyshaittaohjelma lukitsi tiedostoja HUS:ssa
HUS:ssa on kevään aikana ilmennyt neljä kyberhyökkäystä, joissa kiristyshaittaohjelma lukitsi yksittäisen käyttäjän työaseman tiedostoja ja levyjakoja.
Vaikutukset eivät ulottuneet muiden työntekijöiden työasemiin tai sairaanhoitopiirin tietojärjestelmiin. HUS teki tapauksista rikosilmoitukset.
Kyseessä on yksi tämän hetken tyypillisimmistä kyberhyökkäyksistä. Haittaohjelma pääsee koneelle esimerkiksi sähköpostissa olevan linkin ja verkkosivulla käynnin kautta. Sitten tiedostoja sulkeutuu ja koneelle tallentuu kirje, jossa vaaditaan bitcoin-maksua.
Muualla maailmassa hyökkäykset ovat pahimmillaan rampauttaneet koko sairaalan toiminnan.
– Hyökkäyksen tarkoitus on pelästyttää käyttäjä ja saada maksamaan lunnasrahat. Haittaohjelmistojen poisto ja tietojen palautukset varmistuksista vievät aikaa ja tuovat tavallaan turhaa työtä. Sille työlle löytyisi muutakin käyttöä, Pertti Mäkelä HUS:n tietohallinnosta sanoo.
Anestesialaitteen kaappaus kävi helposti
Saksalainen Spiegel-lehti kertoo sairaalassa tehdystä testistä, jossa it-asiantuntija onnistui kaappaamaan anestesialaitteen hallinnan kannettavan tietokoneen avulla. Hän pystyi myös sulkemaan laitteen toiminnot.
Testissä ei ollut mukana potilasta. Anestesialaitteesta ei kerrottu tarkempia tietoja, mutta sen kuvattiin olevan tunnetun valmistajan tuotantoa.
Lääketieteelliset laitteet ovat tietoturvan kannalta erittäin haavoittuvia, toteaa HUS:n Pertti Mäkelä. Laitteiden toimittaja on usein varmistanut niiden toimivuuden niin, että niitä ei päivitetä eikä niihin saa asentaa virussuojausta.
– Valmistajat eivät ole osanneet varautua siihen, että tietoturvaa pitää hallita laitteen koko elinkaaren ajan. Ei riitä, että se on hoidettu laitteen asennuksessa. Tämä on iso haaste.
– Nyt tulee internet of things, eli paljon erilaisia antureita, mittauslaitteita ja etäohjattuja laitteita. Siltä osin olemme siirtymässä maailmaan, johon ei ole vielä kehitetty riittäviä suojauksia haittaohjelmilta.
Kirjoittaja
Miia Soininen
toimittaja
Kuva: Fotolia
Julkaistu Lääkärilehdessä 22/2016