Cybersecurity management in healthcare : Policies, awareness and incident reporting

Abstract

Healthcare has been digitalized rapidly resulting in improved effectiveness, responsiveness, and accessibility of patient care. At the same time, the digitalization has exposed the sector to serious cybersecurity risks such as cyberattacks, that have impacted the operation of healthcare organizations and risked patient safety. Healthcare needs cybersecurity more than ever now. However, the research on cybersecurity management in healthcare has been lacking and a proper model for improving cybersecurity management in healthcare has been missing. This study introduces PAR model designed to improve cybersecurity management in healthcare organizations.

The PAR model consists of three phases: Policies, Awareness and Incident Reporting. The model was created by studying each phase in this interpretive research with qualitative and quantitative research methods. Policies were studied by analyzing information security policies of 21 healthcare organizations, cybersecurity awareness of users was investigated with surveys, in which more than 1,200 people working in healthcare organizations participated in. Incident reporting was investigated by analyzing 275 cybersecurity related incidents reported in healthcare.

This study enhances our understanding of cybersecurity in healthcare and the PAR model gives us new information of cybersecurity management in healthcare and explains the relationship between cybersecurity related policies, user awareness, and reporting and handling of incidents. The PAR model can be used both in future studies and in improving cybersecurity in healthcare.

Terveydenhuolto on digitalisoitunut nopeasti, minkä ansiosta tehokkuus, reagointikyky sekä potilashoidon saatavuus ovat parantuneet. Samaan aikaan digitalisaatio on altistanut terveydenhuoltosektorin vakaville kyberturvallisuusriskeille, kuten kyberhyökkäyksille, jotka ovat lamauttaneet terveydenhuollon organisaatioiden toimintaa ja vaarantaneet potilasturvallisuuden. Tänä päivänä terveydenhuolto tarvitsee kyberturvallisuutta enemmän kuin koskaan.

Kuitenkin tutkimus kyberturvallisuuden hallinnasta terveydenhuollossa on ollut puutteellista ja sopiva malli kyberturvallisuuden hallinnan parantamiseen terveydenhuollossa on puuttunut. Tämä tutkimus esittelee PAR-mallin, joka on suunniteltu kyberturvallisuuden hallinnan kehittämiseen terveydenhuollon organisaatioissa.

PAR-malli käsittää kolme vaihetta: politiikat, tietoisuus ja poikkeamaraportointi. Malli luotiin tässä interpretivistisessä tutkimuksessa tutkimalla jokaista vaihetta hyödyntäen sekä laadullisia, että määrällisiä tutkimusmenetelmiä. Politiikkoja tutkittiin analysoimalla 21:tä terveydenhuolto-organisaation tietoturvapolitiikkaa, kyberturvallisuustietoisuutta tutkittiin kyselyin, joihin osallistui yli 1200 terveydenhuollossa työskentelevää henkilöä, ja poikkeamaraportointia tutkittiin analysoimalla 275:tä kyberturvallisuuteen liittyvää poikkeamaa, jotka oli raportoitu terveydenhuollossa.

Tämä tutkimus lisää ymmärrystämme terveydenhuollon kyberturvallisuudesta. Lisäksi PAR-malli antaa meille uutta tietoa kyberturvallisuuden hallinnasta terveydenhuollossa sekä selittää yhteyden kyberturvallisuuteen liittyvien politiik-kojen, käyttäjien tietoisuuden sekä poikkeamien raportoinnin ja käsittelyn välillä. PAR-mallia voidaan hyödyntää niin tulevissa tutkimuksissa kuin kyberturvallisuuden parantamisessa terveydenhuollossa.