Vielä kymmenen vuotta sitten lääkinnällisten laitteiden yhteydessä puhuttiiin harvoin verkkoyhteyksistä. Laitteiden oli oltava turvallisia – ja turvassa. Niinpä niitä yleensä käytettiin täysin erillään tietoverkoista, minkä vuoksi esimerkiksi huoltohenkilökunnan oli matkustettava pitkiä matkoja selvittääkseen jossakin yksikössä ilmennyttä vikaa paikan päällä. Kuluttajien kiinnostus erilaisia terveys- ja hyvinvointilaitteita kohtaan on kuitenkin kasvussa. Laitteiden tuottamaa tietoa halutaan yhä useammin tarkastella ja analysoida pilvipalvelujen avulla, ja tämä megatrendi on vähitellen saanut myös lääkinnällisten laitteiden valmistajat reagoimaan muutokseen. Viimeksi kuluneiden viiden vuoden aikana alan laitteista on enenevässä määrin tehty verkkoon kytkettäviä. Monesti tiedonsiirtoa tehdään myös langattomasti. Markkinoilta löytyy useita täysin web- ja mobiilisovelluspohjaltakin toimivia lääkinnällisiä laitteita.
Viranomaiset ovat suhteellisen hitaasti heränneet päivittämään lääkinnällisiä laitteita säätelevää erityislainsäädäntöä vastaamaan nykypäivän tarpeita. Samaan aikaan EU on laatinut omia maanosakohtaisia säädöksiä ja julkaissut eri tuotannonaloille päteviä direktiivejä. Vuonna 2017 lääkintälaitedirektiivin (MDD) tilalle tuli nykyisin voimassa oleva EU:n asetus lääkinnällisistä laitteista (MDR). Sen mukaan myös ohjelmistot ovat lääkinnällisiä laitteita, jos niitä käytetään diagnostisiin tarkoituksiin. Uudessa asetuksessa digitaalisen turvallisuuden käsite myös mainitaan ensimmäisen kerran tärkeänä lääkinnällisten laitteiden valmistajia sitovana vaatimuksena. Tästä huolimatta vaatimuksen toteuttamiselle ei ole annettu täysin selkeää virallista ohjeistusta, joten laitevalmistajat joutuvat muodostamaan asiasta omat tulkintansa ja ohjeensa voidakseen edistää tutkimustyötään ja tuotekehistystään ja jatkaa tuotteidensa myyntiä.
Digitaalista ja toiminnallista turvallisuutta käsitellään usein toisistaan erillisinä. Usein tämä kuitenkin johtaa kaksinkertaiseen työmäärään – tai pahimmassa tapauksessa siihen, että tietoturva-asioihin kiinnitetään ensimmäisen kerran huomiota vasta siinä vaiheessa, kun suunnittelu- ja kehitystyö on jo pitkällä. Vastaavanlaiset ongelmatilanteet voidaan kuitenkin välttää, kun digitaalista ja toiminnallista turvallisuutta tarkastellaan samanaikaisesti molempien alojen tietotaitoa yhdistämällä. Tätä kutsutaan kyberfyysiseksi turvallisuudeksi. Lähtökohtana on tarkastella sekä digitaalisen että toiminnallisen turvallisuuden yhteisiä osa-alueita ja soveltaa niitä samanaikaisesti, jolloin vältytään päällekkäiseltä työltä.
Lääkinnällisille laitteille ei vielä ole laadittu tarkkoja tietoturvasäädöksiä. Tämä tarkoittaa, että valmistajien on tuotteidensa digitaalisen turvallisuuden varmistaakseen sovellettava yleisesti tunnettuja digiturvallisuuden standardeja (esim. SFS-ISO/IEC 27001, Turvallisuustekniikat. Tietoturvallisuuden hallintajärjestelmät) ja yhdistettävä siihen valikoidusti osia lääketieteellisiä laitteita yleisesti säätelevistä standardeista (esim. SFS-EN ISO 14971, Riskinhallinnan soveltaminen lääkinnällisiin laitteisiin).
Teknisesti tarkasteltuna lääkinnällinen laitehan ei digitaalisen turvallisuuden ja sen riskien suhteen eroa mitenkään muista siihen liitetyistä laitteista. On kuitenkin tärkeää huomata alan erityisvaatimukset, jotta potilaiden ja laitteiden käyttäjien turvallisuus voidaan taata. Toisin sanoen jokaista tietoturvariskien pienentämiseksi tehtyä toimenpidettä tulee tarkastella myös fyysisen turvallisuuden näkökulmasta. Jos laite on elämää ylläpitävä, sitä ei voida suoraan kytkeä pois päältä vaikka se hakkeroitaisiin. Käytönhallintajärjestelmät eivät myöskään saa estää sairaalan henkilökuntaa käyttämästä laitetta hätätilanteessa. Siksi onkin tärkeää ymmärtää lääketieteen alan laitteiden erityisvaatimukset myös digitaalisen ja toiminnallisen turvallisuuden suhteen, jotta lääkinnällisistä laitteista voidaan tehdä digitaalisesti turvallisia niiden fyysisestä turvallisuudesta ja käytettävyydestä tinkimättä.
Teksti:Laura Nummila