Tietoturvan vähimmäistaso sosiaali- ja terveydenhuollon tietojärjestelmissä
Saikkonen, Heidi (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025120934132
https://urn.fi/URN:NBN:fi:amk-2025120934132
Tiivistelmä
Sosiaali- ja terveydenhuollon tietojärjestelmät muodostavat olennaisen osan suomalaisen hyvinvointivaltion arkea. Niissä käsitellään arkaluonteista tietoa, jonka paljastuminen voi johtaa merkittäviin haittoihin. Vastaamon tapaus havainnollisti, miten vakavia ja kauaskantoisia seuraukset voivat olla tietoturvan puutteiden vuoksi, ja korosti sosiaali- ja terveydenhuollon tietoturvan laajaa yhteiskunnallista merkitystä. Sosiaali- ja terveydenhuollon tietojärjestelmät luokitellaan A- ja B-luokkiin, mikä vaikuttaa sekä vaadittavien tietoturvatoimenpiteiden laajuuteen että ulkopuolisiin arviointeihin. Noin 70 prosenttia kaikista tietojärjestelmistä kuuluu omavalvonnan piiriin, ja 30 prosenttia tietoturva-arvioinneista tehdään puolueettoman arviointilaitoksen toimesta.
Opinnäytetyön tarkoituksena oli selvittää, mikä on tietoturvan nykyinen vähimmäistaso sosiaali- ja terveydenhuollon toimialalla sekä millaisia eroja on korkeimman ja tyypillisimmän järjestelmätyypin tietoturvavaatimusten välillä. Opinnäytetyön tavoitteena oli lisätä yhteiskunnan ja toimialalla toimivien tietoisuutta tietoturvan vaatimustasosta.
Tutkimuksessa hyödynnettiin kvalitatiivista sisällön analyysiä, jonka avulla aineisto rajattiin, pelkistettiin, koodattiin ja luokiteltiin systemaattisesti. Aineisto koostui THL:n määräyksen 5/2024 tietoturvavaatimuksista. Tutkimuksessa toteutettiin kaksi erillistä sisällönanalyysiä: 1) korkeimmalle järjestelmäluokalle ja 2) tyypillisimmälle järjestelmäluokalle. Saatuja tuloksia verrattiin toisiinsa.
Vertailu osoitti, että korkeammalle järjestelmätyypille asetetut vaatimukset muodostivat laajan ja perusteellisen kokonaisuuden tietoturvan tasolle, kun taas tyypillisen järjestelmätyypille asetetut vaatimukset olivat huomattavasti suppeammat. Puutteita havaittiin erityisesti hallintayhteyksien ja järjestelmien välisen tunnistamisen, luvattomien muutosten havaitsemisen sekä lokien luotettavan jäljitettävyyden osalta.
Tulevaisuudessa on arvioitava, tulisiko vähimmäisvaatimuksia tiukentaa esimerkiksi lisäämällä pakollisia vaatimuksia sekä tuomalla uusia vaatimuksien, jotka liittyvät riskienhallintaa, vastuunjakoon ja integraatioiden tietoturvaan. Tulevaisuudessa tulisi tarkemmin tutkia, saavuttavatko SOTE-vaatimukset kyberturvallisuuslain vaatimustason sekä miten uudet teknologiat kuten tekoäly, automaatio ja IoT-ratkaisut muokkaavat tietoturvatarpeita sosiaali- ja terveydenhuollon alalla.
Opinnäytetyön tarkoituksena oli selvittää, mikä on tietoturvan nykyinen vähimmäistaso sosiaali- ja terveydenhuollon toimialalla sekä millaisia eroja on korkeimman ja tyypillisimmän järjestelmätyypin tietoturvavaatimusten välillä. Opinnäytetyön tavoitteena oli lisätä yhteiskunnan ja toimialalla toimivien tietoisuutta tietoturvan vaatimustasosta.
Tutkimuksessa hyödynnettiin kvalitatiivista sisällön analyysiä, jonka avulla aineisto rajattiin, pelkistettiin, koodattiin ja luokiteltiin systemaattisesti. Aineisto koostui THL:n määräyksen 5/2024 tietoturvavaatimuksista. Tutkimuksessa toteutettiin kaksi erillistä sisällönanalyysiä: 1) korkeimmalle järjestelmäluokalle ja 2) tyypillisimmälle järjestelmäluokalle. Saatuja tuloksia verrattiin toisiinsa.
Vertailu osoitti, että korkeammalle järjestelmätyypille asetetut vaatimukset muodostivat laajan ja perusteellisen kokonaisuuden tietoturvan tasolle, kun taas tyypillisen järjestelmätyypille asetetut vaatimukset olivat huomattavasti suppeammat. Puutteita havaittiin erityisesti hallintayhteyksien ja järjestelmien välisen tunnistamisen, luvattomien muutosten havaitsemisen sekä lokien luotettavan jäljitettävyyden osalta.
Tulevaisuudessa on arvioitava, tulisiko vähimmäisvaatimuksia tiukentaa esimerkiksi lisäämällä pakollisia vaatimuksia sekä tuomalla uusia vaatimuksien, jotka liittyvät riskienhallintaa, vastuunjakoon ja integraatioiden tietoturvaan. Tulevaisuudessa tulisi tarkemmin tutkia, saavuttavatko SOTE-vaatimukset kyberturvallisuuslain vaatimustason sekä miten uudet teknologiat kuten tekoäly, automaatio ja IoT-ratkaisut muokkaavat tietoturvatarpeita sosiaali- ja terveydenhuollon alalla.