Kyberuhkat terveydenhuollossa – Henkilöstön kokemukset valmiudesta ja varautumisesta
Ladataan...
1.07 MB
suljettu
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
Pysyvä osoite
Verkkojulkaisu
DOI
Tiivistelmä
Sosiaali‑ ja terveydenhuoltoon kohdistuvat kyberuhkat ovat lisääntyneet merkittävästi viime vuosina ja ala on kansainvälisesti yksi yleisimmistä kyberhyökkäysten kohteista. COVID‑19‑pandemia on entisestään lisännyt digitaalisten palveluiden käyttöä, joka on johtanut sosiaali‑ ja terveydenhuollon haavoittuvuuden lisääntymiseen. Sosiaali‑ ja terveydenhuollon palvelut eivät ole vielä riittävästi varautuneet vastaamaan kyberuhkiin, vaikka alaan kohdistuvat kyberhyökkäykset ovat lisääntyneet jo 2010‑luvulta lähtien. Aiemmissa tutkimuksissa on tarkasteltu pääasiassa jo toteutuneita kyberhyökkäyksiä sekä kyberturvallisuuden teknisiä näkökulmia. Sen sijaan varautuminen kyberhäiriötilanteisiin, joissa kyberuhka realisoituu huolellisesta kyberturvallisuudesta huolimatta, on jäänyt tutkimuksissa vähemmälle huomiolle.
Tämän tutkimuksen tarkoituksena oli selvittää terveydenhuollon henkilöstön näkemyksiä organisaation varautumisesta kyberuhkiin, kyberhäiriötilanteiden vaikutuksista potilastyöhön sekä tunnistaa varautumisen kehittämistarpeita henkilöstön kokemusten perusteella. Tutkimuksessa tarkasteltiin erityisesti eri tietojärjestelmien merkitystä potilastyön jatkuvuudelle ja potilasturvallisuudelle.
Tutkimus toteutettiin kuvailevalla laadullisella tutkimusasetelmalla. Aineisto kerättiin puolistrukturoiduilla yksilöhaastatteluilla terveydenhuollon ammattilaisilta (n = 14), jotka työskentelivät ensihoidossa, päivystyksessä, teho‑osastolla ja leikkausosastolla. Osallistujat rekrytoitiin harkinnanvaraisella otannalla ja he olivat sekä lääkäreitä että hoitohenkilöstöä. Haastatteluaineisto analysoitiin induktiivisella sisällönanalyysillä.
Tutkimuksen tulosten mukaan terveydenhuollon henkilöstö koki kyberuhkat todellisina ja konkreettisina uhkina, jotka aiheuttivat huolta erityisesti potilasturvallisuuden näkökulmasta. Kyberuhkiin varautumiseen liittyvää koulutusta ja harjoittelua pidettiin riittämättömänä, eikä kyberuhkia ollut henkilöstön kokemusten mukaan systemaattisesti huomioitu valmiussuunnitelmissa muiden häiriötilanteiden rinnalla. Vaikka terveydenhuollossa oli käytössä useita yksittäisiä varautumisen keinoja, kuten paperilomakkeita ja manuaalisia toimintatapoja, niiden käytännön toteutuminen, saavutettavuus ja osaaminen vaihtelivat yksiköittäin. Erityisen kriittisiksi kyberhäiriötilanteessa koettiin potilastietojärjestelmien, laboratoriojärjestelmien sekä lääkinnällisten laitteiden ja peruselintoimintojen seurannan toimivuus.
Tutkimuksen perusteella kyberuhkiin varautumista tulisi kehittää kokonaisvaltaisesti osana terveydenhuollon häiriötilannevarautumista. Varautumisen kehittämisessä korostuvat henkilöstön koulutus ja harjoittelu, selkeät toimintamallit, johdonmukainen viestintä sekä johtamisen rooli häiriötilanteissa. Kyberuhkien huomioiminen varautumisessa on keskeistä potilastyön jatkuvuuden ja potilasturvallisuuden turvaamiseksi, myös pitkittyneessä häiriötilanteessa. Jatkotutkimusta tarvitaan erityisesti henkilöstön käytännön osaamisen, resilienssin, häiriötilanteiden johtamisen sekä pitkittyneiden häiriötilanteiden näkökulmista.
Cyber threats targeting the social and healthcare sectors have increased significantly in recent years, and the sector is internationally among the most frequent targets of cyberattacks. The COVID-19 pandemic has further accelerated the use of digital services, which has in turn increased the vulnerability of social and healthcare systems. Despite the rise in cyberattacks since the 2010 s, social and healthcare services remain insufficiently prepared to respond to cyber threats. Previous research has primarily focused on realized cyberattacks and the technical aspects of cybersecurity. In contrast, preparedness for cyber incidents, situations in which cyber threats materialize despite robust cybersecurity, has received less attention.
The aim of this study was to examine healthcare professionals’ perceptions of organizational preparedness for cyber threats, the impacts of cyber incidents on patient care, and to identify development needs in preparedness based on staff experiences. Particular attention was paid to the role of different information systems in ensuring continuity of care and patient safety.
The study was conducted using a descriptive qualitative design. Data were collected through semi-structured individual interviews with healthcare professionals (n = 14) working in emergency medical services, emergency departments, intensive care units, and operating rooms. Participants were recruited through purposive sampling and included both physicians and nursing staff. The interview data were analysed using inductive content analysis.
According to the findings, healthcare personnel perceived cyber threats as real and concrete risks, raising particular concern regarding patient safety. Training and exercises related to cyber preparedness were considered insufficient, and cyber threats had not been systematically incorporated into preparedness plans alongside other emergency scenarios. Although various preparedness measures, such as paper-based documentation and manual procedures, were in place, their practical implementation, accessibility, and staff competence varied across units. In cyber disruption situations, the functionality of electronic health record systems, laboratory information systems, medical devices, and systems supporting the monitoring of vital functions were perceived as especially critical.
Based on the findings, preparedness for cyber threats should be developed comprehensively as part of broader healthcare emergency preparedness. Key areas for development include staff education and training, clear operational models, consistent communication, and the role of leadership in crisis situations. Addressing cyber threats in preparedness is essential for ensuring continuity of care and patient safety, including during prolonged disruptions. Further research is needed particularly on practical competencies, resilience, crisis leadership, and prolonged emergency situations.