Sosiaali- ja terveydenhuollon sähköisten palvelujen trendit. Mitä kyberuhkia on nähtävissä ja miten niihin tulisi varautua?



Samankaltaiset tiedostot
JARI PORRASMAA

TMP Prioriteetti valmiusas 2 STM. 2 Espoo, 3 käyttöönotettav issa. 3 tuotannossa 1 STM,

Sote-tieto hyötykäyttöön -strategia Uudet kansalaispalvelut Toimeenpano

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

Vesihuolto päivät #vesihuolto2018

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Potilasturvallisuuden johtaminen ja auditointi

Taltioni kansallinen ehealth palvelujen ekosysteemi

Tieto hyvinvoinnin ja uudistuvien palveluiden tukena Hannu Hämäläinen, STM

Omatietovaranto. Sovellustoimittajat

Sote-tieto hyötykäyttöön - strategia 2020

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Käyttöjärjestelmät(CT50A2602)

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Isaacus hyvinvoinnin palveluoperaattori mitä se tarkoittaa lääkealalle? Projektijohtaja Jaana Sinipuro, Sitra

Strategian kansalaisosion toimeenpanoryhmä

Mitä Sote-tieto hyötykäyttöön -strategia tarkoittaa rationaalisen lääkehoidon tutkimuksen näkökulmasta?

SoteDigi Oy tilannekatsaus , SOTE KA -kokous Marco Halén

Suomen terveysdataympäristö

Tieto hyvinvoinnin ja uudistuvien palveluiden tukena

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Yhteiset maakunnalliset asiakas- ja potilastietojärjestelmäratkaisut

Kansallinen Omakannan Omatietovaranto, kansalaisen hyvinvointitiedon tallennuspaikka

Helsingin kaupunki Pöytäkirja 1 (6) Sosiaali- ja terveysvirasto

Hyvinvoinnin tulevaisuus on pian täällä

Tietoyhteiskuntapolitiikan painopisteet STM:n hallinnonalalla

Älykkäät tietojärjestelmät - turvalliset sensorit osana potilaan hoitoa

Sote:n digimuutoksen toteutus

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

SOSIAALIHUOLTO SOTE- TIEDONHALLINNAN KOKONAISKUVASSA. Erityisasiantuntija Mikko Huovila STM OHO DITI

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

ONION-HANKKEEN TAVOITTEET

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Isaacus näkökulma HealthHub

Tavoitteena vaikuttavat ja tasaarvoiset

Fuusio mahdollistajana sote-digitalisaation kehityksessä

Sosiaali- ja terveystietojen toissijainen käyttö

MITÄ SEURAAVAKSI? Mikko Huovila

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Vihdin kunnan tietoturvapolitiikka

SoteDigi Oy tilannekatsaus

Maakunnan tiedolla johtaminen ja tietoaltaan hyödyntäminen Jyrki Tirkkonen Liiketoimintapäällikkö, Tiedolla johtaminen ja informaation hallinta

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Kanta-palveluiden rooli uudistusten tukena. Kehittämispäällikkö Anna Kärkkäinen Terveydenhuollon ATK-päivät

Sähköinen asiointi. Pohjois-Pohjanmaan sairaanhoitopiiri vt Tietohallintojohtaja Tuomo Liejumäki

SoteDigi Oy. Tilannekatsaus , IHE Finland Marco Halén

ONION-hanke. Tiivistelmä

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Palveluoperaattori tukemassa kansallista hyvinvointitietojen hyödyntämistä

Kela, Kanta-palvelut ja tietointegraatio

Etäkäyttö ja avaamisen haasteet

Kehityshankkeet 2030-luvulla. Jukka Santala ja Kristian Meissner SYKE YMPÄRISTÖTIETO EILEN, TÄNÄÄN, HUOMENNA Helsinki

Järjestelmäarkkitehtuuri (TK081702) Lähtökohta. Integroinnin tavoitteet

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Tietoturvapolitiikka Porvoon Kaupunki

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Omien tietojen katselu. Terveydenhuollon ATK-päivät

Tietoturvapolitiikka

AJANKOHTAISTA KOKONAISARKKITEHTUURISTA

Näkemyksiä yhteistyön edistämisestä. Eija Peltonen, johtava hoitaja, TtT, PSSHP Kysteri

Kyberturvallisuus kiinteistöautomaatiossa

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Kyberturva varmistaa käytettävyyden ja tiedon eheyden teollisuusautomaatiossa. Teemu Pajala Liiketoimintayksikön johtaja Teollisuuden palvelut

Kansalaisen sähköinen omahoitopolku

Lifecare Suun terveydenhuollon kehitys

SoteDigi Oy, IT-toimittajatilaisuus. Yhteistyöllä yhteisiä yhdenvertaisia palveluita. Harri Hyvönen, Tj. ( alk.)

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Kanta-palvelut osana Sote- ja maakuntatoteutusta. Marina Lindgren, Kela Sosiaali- ja terveydenhuollon ATK-päivät

Tietoisku sähköisten palveluiden kehittämisestä

Viranomaisten tietoaineistojen hyödyntämisen edistäminen tutkimuskäytössä

ICT ja sähköinen asiointi valmistelu

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Asiointi ja omahoito KA nykytila

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tapaaminen asiakas- ja potilastietojärjestelmien uudistamisyhteistyön seuraavan vaiheen organisointiin liittyen

SOTE-MAKU arkkitehtuuri Jari Porrasmaa, STM/OHO/DITI

Maakuntien ja kuntien kansallinen ja alueellinen yhteistyö. Maakuntien Sote ICT muutos isokuva. Selvityshenkilö Pekka Kantola 24.5.

Jukka Lähesmaa. Erityisasiantuntija

Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous

Sote-tieto hyötykäyttöön strategia 2020 Tieto hyvinvoinnin ja uudistuvien palveluiden tukena

Uusia tuulia Soneran verkkoratkaisuissa

Virtuaaliklinikkaa 1.0. Madis Tiik

Sote-tieto hyötykäyttöön - strategia 2020

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät

Kansallinen ASPAtietojärjestelmä

Kansallinen organisoituminen - ohjausmalli. Anne Kallio

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Sähköiset palvelut ja tietojärjestelmät: työvälineitä hyvinvointiin, tukeen ja johtamiseen

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Lupaviranomaisen palvelut ja lisäpalvelut

Älykäs sairaala kokonaisuus palveluna

Sote- ja maakuntauudistuksen. kansallissen toimeenpanon tilanne ja muutostuki

Omahoitotietojen hyödyntäminen terveydenhuollossa: Kanta PHR. Future Care 2017 Jari Suhonen, THL

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Transkriptio:

TEKNOLOGIAN TUTKIMUSKESKUS VTT OY Sosiaali- ja terveydenhuollon sähköisten palvelujen trendit. Mitä kyberuhkia on nähtävissä ja miten niihin tulisi varautua? Sairaanhoitopiirien kyberturvallisuusseminaari 14.4.2016, Finlandia-talo Jaakko Lähteenmäki, johtava tutkija Pasi Ahonen, johtava tutkija

Kolme sosiaali- ja terveydenhuollon tietoturvallisuuteen vaikuttavaa trendiä Langaton sairaala / lääkintälaitteiden verkottuminen Omahoitoa tukevien laitteiden ja sovellusten kytkeytyminen potilastietojärjestelmiin ja hoitoprosesseihin Terveys- ja hyvinvointitietojen toissijainen käyttö tutkimuksessa, tiedolla johtamisessa ja tuotekehityksessä 11/04/16 2

Omahoitoa tukevat palvelut ja sovellukset - ylätason arkkitehtuuri kansalaiset Kansalaisen asiointipalvelut Potilastietojärjestelmät Hyvinvointipalvelut ja -sovellukset Potilastiedon arkisto (Kanta) Kansallinen PHR* kehitteillä: STM & KELA Terveydenhuollon Avoin sovellus- 11/04/16 tietojärjestelmäympäristö ja palveluympäristö *Personal Health Record 3

Etämonitorointilaitteet - esimerkkejä Verenpainemittari Pulssioksimetri Spirometri Sydämentahdistin source: ihealth Labs source: Wikipedia source: Vitalograph source: Cambridge Consultants Glukometri EKG Turvaranneke Aktiivisuusranneke Lääkeannostelija source: Blausen gallery source: Aviva source: Vivago source: FitBit source: Evondos 11/04/16 4

ISAACUS-Palveluoperaattori: Hyvinvointi- ja terveystietojen toissijainen käyttö Ministeriöt jne Suomen SOTE järjestelmä Sopimusvalmistajat Diagnostiikka Laitevalmistajat Pääomasijoittajat Tuotekehitysyhteistyö Kansainvälinen terveydenhuolto Lääkeyhtiöt Tutkimusyhteistyö Tilastokeskus Biopankit THL Tutkimuslaitokset Metadata Yliopistosairaalat ISAACUS-PALVELUOPERAATTORI Tuotteet, laitteet Yliopistot Julkaisut Kustantajat Kansainväliset ICT yhtiöt ICT ratkaisut Saatavuus Luvat Poiminta Yhdistely Jakelu Data Room XYZ Anonymisointi Suostumus 5 Lähde: Sitra / Jaana Sinipuro, 17.2.2016 http://www.sitra.fi/hyvinvointi/hyvinvointidata

SOTE-trendeihin liittyviä tietoturvauhkia Trendi Haavoittuvuus Uhka / kohdentuminen Langaton sairaala Lääkintälaitteet kytkeytyvät toisiinsa ja terveydenhuollon tietojärjestelmiin Ohjelmistojen haavoittuvuudet ja virheet Potilasturvallisuus Tietojärjestelmien saatavuus Tiedon luottamuksellisuus Terveydenhuollon ammattilaisella on käytössään yhä useampia kirjautumista edellyttäviä ohjelmistoja Tietoturvakäytäntöjen noudattamattomuus (mm. yhteisten kirjautumistunnusten käyttö) ja inhimilliset virheet. Tiedon luottamuksellisuus Jäljitettävyys Omahoidon tuki Käytössä laaja kirjo eri toimittajien ratkaisuja, joilla liittymiä terveydenhuollon järjestelmiin Ohjelmistojen haavoittuvuudet ja virheet Tiedon luottamuksellisuus Potilasturvallisuus Asiakas saa käyttöönsä laajasti omia terveystietoja ja voi vapaasti jakaa niitä. Sovellusten ja suostumuskäytäntöjen monimutkaisuus johtaa inhimillisiin virheisiin Tiedon luottamuksellisuus Hyvinvointi- ja terveystietojen toissijainen käyttö Anonymisoitujen terveystietojen hyödyntäminen (mm. avoin data) Puutteellinen anonymisointi ja/tai tietojen yhdistäminen mahdollistaa henkilön tunnistamisen Tiedon luottamuksellisuus Hyödynnetään eri lähteistä peräisin olevia henkilökohtaisia tietoja à tarve tunnisteellisten terveystietojen käsittelyyn lisääntyy Inhimilliset virheet tietojen käsittelyssä ja asiaton tietojen käyttö. Tiedon luottamuksellisuus 11/04/16 6

Omahoidossa käytettävien laitteiden ja ohjelmistojen tietoturvallisuus Laitteet ja ohjelmistot vain osittain lääkintälaitesertifioinnin piirissä FDA / MDD sertifiointi tähtää erityisesti potilasturvallisuuteen à tietoturvallisuutta ei ole painotettu FDA julkaissut hiljattain kyberturvallisuusohjeen: Postmarket Management of Cybersecurity in Medical Devices Tarve myös sertifiointia kevyemmälle sovellusten arviointi- ja suositusmenettelylle (vrt. NHS Health Apps Library) 11/04/16 7

Tietoturvan hallinta Muuttuvassa tuotantoympäristössä ICT-järjestelmän ja -verkon tietoturvan ylläpidon tärkeimpiä aktiviteetteja ovat: Mm. käytön, ylläpidon ja kehittämisen Vastuiden määrittely Tietoturva- ja Yksityisyydensuojapolitiikan ja turvallisen teknisen arkkitehtuurin ylläpito Tietoturvaa parantavien Käytäntöjen kuvaus, Koulutus, käyttöönotto ja valvonta Toimintojen Auditointi ja järjestelmien Tietoturvatestaaminen Verkkoyhteyksien rajoittaminen, valvonta ja sääntökannan turvallinen hallinta Tietoturvapoikkeamien tunnistaminen, kyvykkyys vastatoimiin, riskien arviointi ja ennakkovarautuminen Verkon toiminnan Jatkuvuuden turvaaminen poikkeavissa tilanteissa käyttäen sovittuja toimintatapoja ja tuttuja työkaluja 11/04/16 8

Teollisuusautomaatiossa on kehitetty malliratkaisuja! 2008-2013 2014 (KYBER-TEO) 2015 (KYBER-TEO) Automaation kehitystyökalut OPC UA SDK:n tietoturvaominaisuudet Lähdekoodianalysaattorit & -kääntäjät Kehitystyökalujen turvalliset käyttötavat (esim. todennus) Automaation tietoturvatestaus (VTT WAR ROOM): Verkkoskannerit Fuzzerit, esim. Defensics TCF Penetraatiotestauksen työkalut, esim. Metasploit Testiautomaation kehitys Automaation palomuuri Automaatioverkkoon kytkettäväksi suunniteltu palomuuri / VPN palvelu / VLAN kytkin / portaali Automaatiotiedonsiirron yhdyskäytävä: Automaation DMZ verkon laitteet, OPC UA - yhdyskäytävä MQTT / CoAP / XMPP / AMQP / proxy: teoll.internet AUTOMAATIOVERKON MONITOROINTI: Automaation järjestelmälokien analyysi ja raportointi Signatuurien tunnistus (Verkko-IDS) Verkkoliikenteen tietovuoseuranta ja poikkeavuuksien tunnistus Hälytysten raportointi valvomoon. Hallinnollisen tietoturvan keinoja: Tuotannon yhtenäinen tietoturvapolitiikka Ohjeet tietoturvan ylläpitämiseen ja tietoturvallisen suunnittelun ohjeet Mallien kiinnittäminen, kuten automaatiossa sallitut etäyhteyskäytännöt, tekniikat, yhteyspisteet KYBERTURVALLISUUDEN VAATIMUSKANTA: hankintojen tietoturvavaatimukset todentamisja testauskäytäntöineen Automaatio- ja verkkojärjestelmien KARTOITUS ja kyberturvallisuustarkastukset Työlupien myöntäminen ennen työn aloittamista Muutosten hallinta automaatiojärjestelmien, verkkojen, asetusten ja kokoonpanon osalta. Esim. Uusi automaatio -sovellus 11/04/16 9

Kyberturvallisuuden kehittäminen: ICT-kehityshankkeiden kautta! 11/04/16 10

MITEN KEHITTYÄ? Tarvitaan harjoitteluympäristö! Integroidut järjestelmät kohteeksi Kokeillaan ja opitaan yhdessä! Selvitetään mitä on realistista vaatia Kuvassa VTT:n sisäistä harjoittelua 11/04/16 11

Esimerkki Kohdistettu koulutus 3.1.Kohdistetun koulutuksen kohderyhmä, tarkoitus ja tavoite 3.2.Normit ja referenssit tietoturvallisille muutoksille 3.3.Sairaalan tietoturvavaatimukset 3.4.Esimerkkejä muutostyön alaisista järjestelmistä ja tavallisista muutostöistä 3.5.Muutostyön tietoturvalliset käytännöt 3.6.Muutostyön yrityskohtaiset ohjeet 3.7.Yhteenveto ja kysymykset 3.8.Yhdessä pohdittavia asioita ryhmätyöt 3.1 Tavoite 3.2 Normit 3.3 Sairaalan vaatimukset 3.4 Muutostyö Kyberuhkat: Tietoturvauhkia, jotka toteutuessaan vaarantavat tietojärjestelmän oikeanlaisen tai tarkoitetun toiminnan. 3.5 Käytännöt 3.6 Ohjeet 11/04/16 12

Yhteenveto Terveys- ja hyvinvointitietoja siirretään ja käytetään heterogeenisessä sovellusympäristössä hyödynnetään aikaisempaa laajemmin ja tehokkaammin à tietoturvariskit kasvavat Tietoturvan hyvä hallinta edellyttää selkeää vastuiden ja mallien määrittelyä eri tehtäville tietoturvapolitiikan ja -arkkitehtuurin määrittelyä ja ylläpitoa koulutusta, jalkautusta, valvontaa, katselmointeja, sekä tilannekuvan seurantaa sekä jatkuvuuden ja varautumisen harjoituksia 11/04/16 13

TEKNOLOGIASTA TULOSTA

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute