digitalisaatio & sosiaaliala
MAHDOLLINEN YHTÄLÖ
Kyberturvallisuus on varsin arkipäiväinen asia – myös sosiaalialalla. Tietotekniikka on tunkeutunut syvälle työpäivään ja tuonut mukanaan paljon hyötyjä, mutta myös digitaalisia haavoittuvuuksia ja riskejä. Silti kyberturvallisuudesta keskustellaan alalla verrattain vähän. Tämän tekstin tarkoitus on kuvata kyberturvallisuutta sosiaalialalla ja herättää aiheesta laajempaa keskustelua. Miksi kyberturvallisuudella on väliä? Kyberturvallisuuden epäonnistumisia meillä ja muualla Esimerkkejä epäonnistuneesta kyberturvallisuuden tuottamisesta löytyy Suomestakin useita. Viimeksi joulukuussa 2022 Säkylän kunta joutui kyberhyökkäyksen kohteeksi, minkä seurauksena osa kunnan tietojärjestelmistä kaatui, mukaan lukien potilastietojärjestelmä. Tietojärjestelmiä siivottiin ja pystytettiin uudelleen parisen viikkoa, mutta vielä tammikuun alkupuolella esimerkiksi hammashoidon aikoja jouduttiin siirtämään eteenpäin. [1] Merkittävin asiakasrekistereihin kohdistunut kyberhyökkäys koettiin vuosien 2018–19 aikana ja tuli julkisuuteen lokakuussa 2020. Kyse on paljon julkisuutta saaneesta Psykoterapiakeskus Vastaamon tietomurrosta, jossa yli 30 000 henkilön tiedot varastettiin yrityksen tietojärjestelmistä ja julkaistiin ainakin osittain internetissä. Tiedot varastanut taho kiristi ensin yritystä ja sen jälkeen yksittäisiä asiakkaita maksamaan tietojen julkaisematta jättämisestä. Tietomurto johti yrityksen konkurssiin, useampaan esitutkintaan ja syyttämispäätökseen sekä monitahoisiin vaikeuksiin henkilöille, joiden tiedot tulivat julkisiksi. Kyseessä on todettu olevan Suomen rikoshistorian suurin tapaus, sillä siihen liittyviä rikosilmoituksia on tehty yli 25 000. [2] Vaikka onnistuneita kyberhyökkäyksiä on havaittu sosiaalialaa yleisemmin esimerkiksi terveydenhuollossa [3], ei sosiaalialalla voi tuudittautua ajatukseen, että kyberturvallisuus koskisi vain muita. Irlannissa tehtiin lastensuojelun asiakastietojärjestelmiin kyberhyökkäys keväällä 2021. Hyökkäyksen seurauksena työntekijät eivät voineet käyttää järjestelmää tai päässeet käsiksi asiakastietoihin. Asiakastietojärjestelmä oli vasta hiljattain digitalisoitu eikä tilanteeseen ollut varauduttu. Käytännön työn jatkuminen edellytti työntekijöiltä tiivistä yhteistyötä ja ideointia muutoinkin haastavassa COVID-19:n aiheuttamassa pandemiatilanteessa. [4] Sosiaaliala osana yhteiskuntaturvallisuutta Ensimmäinen perustelu kyberturvallisuuden merkitykselle sosiaalialalla on yhteiskuntaturvallisuus. Suomalaisessa kokonaisturvallisuuden mallissa kaikille yhteiskunnan toimijoille valtiosta yksittäisiin kansalaisiin on osoitettu vastuu koko yhteiskunnan kyberturvallisuuden ylläpitämisestä ja vahvistamisesta [5]. Hallintokieleltä kalskahtava virke tarkoittaa sitä, että yksittäisellä sosiaalialan työntekijällä on vastuu käyttää tietotekniikkaa arkipäivässään tavalla, joka ei vaaranna työnantajan, asiakkaiden, viiteryhmien tai työntekijän omia tietoja, laitteita, toimintaa tai turvallisuutta. Yleensä tässä kohtaa viitataan kyberturvallisuuden perusteisiin, joiden kouluttaminen henkilöstölle ja harjoituttaminen tulisi olla korkealla jokaisen työnantajan agendalla. Toiminnan jatkuvuus ja luotettavuus Toinen perustelu kyberturvallisuuden merkitykselle sosiaalialalla onkin työnantajan intressi turvata toiminnan luotettavuus ja jatkuvuus tilanteessa kuin tilanteessa. Niin asiakkaiden, viiteryhmien, työntekijöiden kuin yhteiskunnan laaja-alaisesti on kyettävä luottamaan siihen, että sosiaalialalla tiedot ovat oikeellisia ja turvassa, tarpeen mukaan käytettävissä, ja että niitä käsitellään asianmukaisesti. Kyberturvallisen työympäristön ja toimivan kyberturvallisuuskulttuurin luomiseksi työnantajalla on käytössä joukko teknisiä, hallinnollisia ja johtamisen turvatoimia, mutta yhtä keskeinen on kyberturvallisuutta osaava henkilöstö, joka kykenee tunnistamaan esimerkiksi tietojen kalastelun, huijaussivustot, toimitusjohtajahuijaukset ja informaatiovaikuttamisyritykset. Tällöin työntekijä on organisaatiossa aktiivinen kyberturvallisuuden tuottaja, ei kyberturvallisuuden heikoin lenkki. [6] Kyberturvallisuuden perusteet Kyberturvallisuuden perusteista on olemassa lyhyempiä ja pidempiä listauksia. Suuri osa ohjeista liittyy tietojen käsittelyyn, välittämiseen ja tuhoamiseen. Esimerkiksi kirjauksia ei sovi tehdä tilassa, jossa joku ulkopuolinen pääsee ne lukemaan. Etäyhteydellä toimittaessa on vältettävä kaikille avoimia tai huonosti salasanasuojattuja verkkoja ja muistettava VPN-yhteys. Luottamuksellisia tietoja ei pidä välittää salaamattomalla sähköpostilla ja salaisia tietoja ei netin yli lainkaan. Tiedot, joita ei enää tarvita on syytä hävittää turvallisesti, mikä koskee myös digitaalisia tietoja ja ympäristöjä. [7] Laitteisiin liittyvät turvallisuusohjeet muun muassa kehottavat lukitsemaan laitteen tai kirjautumaan siltä ulos aina silloin, kun et ole laitteen ääressä; olemaan liittämättä tuntemattomien muistitikkuja tai muita lisälaitteita omiin laitteisiin; pitämään laitteet ja ohjelmat päivitettyinä; sekä säilyttämään laitteet turvallisessa tilassa ja olemaan antamatta niitä ulkopuolisten käyttöön. [7] Lisäksi kyberturvallisuuden perusohjeistus puuttuu yksilön käyttäytymiseen digitaalisessa ympäristössä. Nykyisin suurin osa tietojen urkinnasta tai kyberhyökkäyksistä pyrkii tavalla tai toisella hyödyntämään yksilöiden varomattomuutta. Siksi kyberturvallisuusohjeistus muistuttaa vahvoista eli riittävän pitkistä ja ei-selkokielisistä salasanoista, joita ei myöskään tulisi käyttää useammassa palvelussa. Samoin se muistuttaa, ettei sähköpostiviestien sisältämiä liitetiedostoja ja linkkejä ole syytä avata ilman varmaa tietoa siitä, keneltä ne ovat tulleet ja liittyvätkö ne työn alla olevaan asiaan. Työnantajasta, työyhteisöstä tai asiakkaista ei sovi keskustella sosiaalisen median palveluissa eikä työasioita pidä hoitaa pikaviestipalveluilla kuten whatsapp. [7] Sosiaalialalle sovitettu kyberturvallisuuskoulutus ja -harjoitukset Tutkimus kuitenkin osoittaa, etteivät ohjeistukset itsessään tai kyberturvatietoisuuden nousu, joka ohjeistuksilla voidaan saavuttaa vielä riitä toimivan kyberturvallisuuskulttuurin luomiseen organisaatiossa [8]. Kyberturvallisuuden perusteiden hallinta johtaa käyttäytymisen muutokseen vasta, kun ne on sisäistetty ja mielletty osaksi arkipäivän toimintatapoja. Kolmas perustelu kyberturvallisuuden merkitykselle sosiaalialalla onkin: Kyberturvallisuuskoulutusta ja -harjoituksia tulee olla rakentamassa henkilöitä ja tahoja, jotka tuntevat sosiaalialan arkipäivän ja ne tilanteet, joissa kyberturvallisuus voi vaarantua. Siten koulutuksesta ja harjoittelusta saadaan sosiaalialan työntekijöille kohdistettu ja arkipäivän haasteisiin vastaamisessa auttava kokonaisuus. Moralisoivat ja tekniset perusohjeistukset alkavat kääntyä sosiaalialan kielelle, jolloin myös kyberturvallisuus voi muodostua osaksi toimivia käytäntöjä. Vastuu asiakkaita, viiteryhmiä, kollegoita ja itseä kohtaan Neljäs perustelu kyberturvallisuuden merkitykselle sosiaalialalla on vastuu asiakkaita ja viiteryhmiä kohtaan. Käytettävissä olevia laitteita ja ohjelmia, yhteyksiä, tietoturvallisuusratkaisuja ja organisaation johtamistapaa yksittäinen työntekijä ei pääse valitsemaan, mutta omaan tapaansa toimia asiakasta ja viiteryhmiä kohtaan hän voi vaikuttaa. Kyberturvallisuus tulee ymmärtää osaksi luottamusta herättävää tapaa toimia sosiaalialalla, eli osaksi organisaation toimintakulttuuria ja työntekijän hyvää tapaa tehdä työnsä. Tähän yhteyteen liittyy kyberturvallisuuden merkityksen viides perustelu: Kyberturvallinen toimintatapa suojaa myös niin yksittäistä sosiaalialan työntekijää kuin sosiaalialan työntekijöitä yhteisönä muun muassa oikeudellisia riskejä ja häirintää vastaan. Tietojärjestelmissä ei säilytetä, käsitellä ja siirrellä vain asiakkaiden, viiteryhmien ja työnantajan tietoja vaan myös tietoja työntekijöistä. Siten myös oman turvallisuuden ja yksityisyyden vuoksi on parempi ennakoida ja opetella kyberturvallisuuden perusteet kuin katua hyväuskoisuutta tai hölmöilyä jälkikäteen. Kirjoittaja: Mirva Salminen, YTT Assistant Professor in Societal Security The Arctic University of Norway Lähteet:
Olen saanut syksyn aikana osallistua työtehtävissäni digipalveluiden nykytilan kuvaukseen sekä kypsyystason arviointiin Pohjois-Pohjanmaalla. Digipalveluiden nykytilan kuvaus ja kypsyystason arviointi ovat olleet osa Suomen kestävän kasvun ohjelman ensimmäistä hankevaihetta. Digipalveluiden kehittämisessä on edelleen paljon työtä Digipalveluita on kehitetty haastavassa maastossa. Hyvinvointialuetta on valmisteltu ja organisaatiorakenne on vasta muotoutumassa. Kehittämistyötä on leimannut kiire ja epävarmuus tulevasta. Digipalveluiden nykytilan kuvaus loi selkeää kuvaa siitä, että yhdenvertaisten ja saavutettavien digipalveluiden kehittämisessä on edelleen paljon työtä. Pohjois-Pohjanmaalla sosiaalihuollossa ollaan noin kolmanneksen takamatkalla digipalveluiden määrässä verrattuna terveydenhuoltoon. Sosiaalihuollossa digipalvelut myös kohdentuvat prosessin vaiheeseen ennen palveluihin pääsyä, kun taas terveydenhuollossa digipalveluita hyödynnetään selkeämmin palveluiden toteuttamisessa. Sosiaalihuollon ydinprosessi on pääosin digitalisoimatta. Digipalveluiden kehittämisestä puuttuu käytännön työn ja käyttäjien näkökulma Kypsyystason arvioinnin perusteella digitalisaatio näyttää Pohjois-Pohjanmaalla olevan pidemmällä strategiatasolla kuin käytännön toimintatavoissa, toiminnoissa ja prosesseissa. Tutun määritelmän mukaan digitalisaatiossa on kuitenkin kyse juuri toimintojen kehittämisestä, eikä vain teknologian käyttöönotosta [1]. Digipalveluiden käytössä ei juurikaan mitata asiakaskokemusta, eikä digipalveluiden käynti- ja käyttäjämääriä seurata kaikissa digipalveluissa. Jatkossa digitalisaation hyödyt on otettava paremmin irti, kerättävä systemaattisemmin tietoa digipalveluiden käytöstä, ja luotava pysyvät rakenteet asiakkaiden osallistamiselle palveluiden kehittämiseen. Kypsyystason arvioinnissa nousi esille tarve vahvistaa osaamista digipalveluiden kehittämisessä ja johtamisessa. Samoin esille tuli, ettei digipalveluiden asiakkuussegmentointia ole Pohjois-Pohjanmaalla tehty sosiaalihuollossa. Tämä vaikeuttaa sen arviointia, mihin digipalveluiden kehittäminen kannattaa kustannusvaikuttavuuden näkökulmasta kohdentaa. Asiantuntijatuessa menestyksekkäitä esimerkkejä kehittämishankkeistaKehittäminen on pahimmillaan vain hankehallinnointia, jossa tyydytään rahoittajan minimitavoitteisiin. Parhaimmillaan kehittäminen on luovaa yhteistoimintaa, jolla luodaan konkreettista muutosta ja kehittämisen tuloksia voidaan hyödyntää laajasti. Esimerkkejä menestyksekkäistä kehittämishankkeista saatiin Digi- ja väestötietoviraston koordinoimasta digipalveluiden kehittämisen asiantuntijatuesta vuonna 2022. Asiantuntijatuki järjestettiin osana valtiovarainministeriön digiohjelmaa, ja siinä sovellettiin palvelumuotoilun menetelmiä. Asiantuntijatuessa korostui ihmiskeskeinen digipalveluiden kehittäminen, jossa olennaista on asiakasymmärrys ja asiakkaiden tarpeiden tunnistaminen [2]. Kehittämishankkeissa käyttäjät osallistettiin kehittämishaasteiden määrittelyyn, ratkaisuvaihtoehtojen ideointiin ja niiden testaukseen. Avoimella keskustelulla ja viestinnällä - myös keskeneräisistä asioista - varmistettiin riittävä tiedon saanti sekä tulosten hyödynnettävyys. Eriytyykö kehittäminen edelleen käytännön työstä hyvinvointialueilla?Hyvinvointialueiden toiminnan käynnistyessä on riskinä, ettei kehittämisessä edelleenkään päästä käytännön toimintojen ja prosessien kehittämiseen, sillä isoissa hyvinvointialue-organisaatioissa erilliset kehittämisyksiköt etääntyvät entisestään käytännön työstä. Nähtävillä on myös strateginen linjaus, että digipalveluita kehitetään erillään hyvinvointialueen peruspalveluista. Tätä on erittelevä puhe digipalveluista ja ns. kivijalkapalveluista. Sosiaalityön tutkimuksessa taas digipalveluiden ja kasvokkain tehtävän työn nähdään sulautuvan yhdeksi kokonaisuudeksi [3]. Kehittämisen ja johtamisen tehtäviin ei välttämättä ole rekrytoitu riittävästi sosiaalihuollon ammattiosaajia, jotta sosiaalihuollon digitarpeet tulisivat organisaatioissa esille esimerkiksi digistrategioita tai hankesuunnitelmia laadittaessa. Sosiaalialan ammattihenkilöiden osaamista ei ehkä tunnisteta riittävästi, eikä sitä sen vuoksi osata hyödyntää. Sosiaalialan ammattiosaamisen vahvuuksia digipalveluiden kehittämisessä ovat juuri asiakasymmärrys ja ammattietiikka, yhteiskunnallinen osaaminen sekä mm. palvelujärjestelmän ja lainsäädännön tuntemus. [4] Niukkojen henkilöstöresurssien vuoksi ammattilaisten osallistuminen kehittämiseen oman työn ohella on haastavaa. Olen törmännyt sosiaalialalla myös toimintakulttuuriin, jossa ammattilaisia ei kannusteta hakeutumaan kehittämistehtäviin, eikä virkavapaata myönnetä määräaikaisiin kehittämistehtäviin siirryttäessä. Pohjois-Pohjanmaalla otetaan digiloikka sosiaalihuollon sähköisessä asioinnissa Suomen kestävän kasvun ohjelman hankerahoitus näyttää Pohjois-Pohjanmaalla jäävän sosiaalihuollon digipalveluiden kehittämisessä vähäiseksi. Rahoitusta on myönnetty sähköisen ajanvarauksen ja digituen kehittämiseen. Saavutettaville digipalveluille olisi juuri sosiaalihuollossa tarvetta myös laajemmin. Odotukset kohdistuvatkin uuden asiakastietojärjestelmän käyttöönottoon sekä sen mahdollistamaan sähköiseen asiointiin. Tämä tarkoittaa merkittävää digiloikkaa sosiaalihuollossa. Myös tämä muutos tarvitsee osaavat tekijänsä. Kirjoittaja: Elisa Savolainen, YTM Laillistettu sosiaalityöntekijä Lähteet:
|
Blogin tarkoitusBlogissa julkaistaan tieteellisiä kirjoituksia sosiaalialan digitalisaatiosta eri näkökulmista. Blogi toimii sosiaalialan digitalisaation ajan kuvaajana ja tallentajana, sekä tietolähteenä ja keskustelun virittäjänä kaikille aiheesta kiinnostuneille. Arkisto
January 2024
Kategoriat
All
|