Styrket innsats for informasjonssikkerhet

Rapporten fra Riksrevisjonens undersøkelse om hvordan helseforetakene forebygger dataangrep ble lagt fram 15. desember. Undersøkelsen er del av Riksrevisjonens forvaltningsrevisjon og omfatter landets helseforetak.

Rapporten konkluderer med at det i alle fire helseregioner er vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak som skal forebygge og oppdage dataangrep. Samtidig viser undersøkelsen at det simulerte angrepet for å få kontroll over IKT-infrastrukturen ikke lyktes i Helse Sør-Øst

- I 2017 stoppet vi tjenesteutsettingen av IKT-infrastruktur, og som en følge av dette ble arbeidet med informasjonssikkerhet intensivert. Mye var således igangsatt før Riksrevisjonens angrepssimulering tidlig i 2019, og mye er også utført etter dette. Vi mener gjennomførte tiltak de senere årene er en viktig årsak til at Riksrevisjonens simulerte dataangrep ikke ga kontroll over IKT-infrastrukturen i Helse Sør-Øst, sier administrerende direktør i Helse Sør-Øst RHF, Cathrine M. Lofthus.

- Riksrevisjonen har gjort et grundig arbeid, og vi vil bruke denne rapporten i det videre arbeidet med å styrke informasjonssikkerheten i regionen. God informasjonssikkerhet er en forutsetning for god pasientbehandling, sier Lofthus.

Digital informasjonsbehandling har avgjørende og økende betydning for å levere gode og effektive helsetjenester. Pasienter og pårørende forventer at opplysninger er tilgjengelig for helsepersonell og at informasjonen behandles på en trygg måte. Digitale systemer er utsatt for dataangrep, og noen ganger vil de lykkes. Helse Sør-Øst har brukt betydelige ressurser på å kunne oppdage og håndtere angrep raskt og effektivt. I Riksrevisjonens undersøkelse var Helse Sør-Øst den regionen som oppdaget flest av aktivitetene i angrepssimuleringen. 

Før de simulerte dataangrepene, fikk Riksrevisjonen intern informasjon av helseregionene slik at angrepene skulle være enklere å gjennomføre. I tillegg var det avtalt at dersom de simulerte dataangrepene ble oppdaget, så skulle de regionale helseforetakene ikke stoppe disse eller gjøre mottiltak. Det at Sykehuspartner ikke stoppet angrepet når de oppdaget det, var viktig for å kunne oppdage ytterligere sårbarheter.

- Informasjonssikkerhet er et kontinuerlig arbeid som både ledere og medarbeidere må ta del i. Vi må hele tiden ha et kritisk blikk på det vi gjør, og lære av de funn og mangler som avdekkes gjennom øvelser, revisjoner og faktiske hendelser, sier informasjonssikkerhetsleder i Helse Sør-Øst RHF, Øyvind Grinde. 

 

Tydelige ansvarsforhold og sterkt fagmiljø

Sykehuspartner er regionens leverandør av IKT-tjenester. Helse Sør-Øst RHF har lagt vekt på å gi Sykehuspartner et godt grunnlag for å arbeide med informasjonssikkerhet. Det innebærer blant annet at ansvarsforholdet mellom Sykehuspartner og helseforetakene er tydeliggjort, og at Sykehuspartner har kunnet opprette et stort og kompetent fagmiljø for overvåking og respons på IKT-angrep (CERT). Dette miljøet ivaretar alle helseforetakene i regionen.

- Sykehuspartner har de senere årene lagt ned et stort arbeid med å styrke informasjonssikkerheten, sier Lofthus.

 

Les mer:

Riksrevisjonens kontroll av forebygging av dataangrep - Sykehuspartner

Undersøkelse av helseforetakenesforebygging av angrep mot sine IKT-systemer - Rapport fra Riksrevisjonen