GIR STERK KRITIKK: - Mange av svakhetene ved IKT-sikkerheten vi avdekket i 2014 og 2015, er fortsatt til stede i helseregionene, konkluderer Riksrevisjonen og leder Per-Kristian Foss. Undersøkelsen viser også at departementets oppfølging på dette området har vært for passiv. Arkivfoto.

 

Foto:

Riksrevisjonen med sterk kritikk av sykehusenes datasikkerhet

Riksrevisjonens tester viser at en angriper med stor sannsynlighet ville fått ansatte til å trykke på lenker eller laste ned ondsinnet programvare. –  Svært alvorlig, konluderer de i ny rapport.

Publisert

Denne artikkelen er mer enn tre år gammel.

– IKT har høy betydning for sykehusdriften. Det er derfor sterkt kritikkverdig at undersøkelsen viser vesentlige svakheter i styringen av informasjonssikkerhet. 

Slik konkluderer Riksrevisjonen, som tirsdag legger frem sine undersøkelser om helseforetakenes forebygging av angrep mot sine IKT-systemer

De konkluderer med at helseregionenes IKT-systemer ikke er godt nok beskyttet mot dataangrep.

Riksrevisjonen har simulert dataangrep mot sykehusene. De finner at med den tilgangen de oppnådde i tre av helseregionene, så kunne en reell angriper blant annet ha:

  • stoppet og utilgjengeliggjort systemer og utstyr som er kritisk for driften av sykehusene
  • slettet eller utilgjengeliggjort opplysninger som er nødvendige for pasientbehandlingen
  • manipulert opplysninger om pasientene
  • stjålet store mengder helseopplysninger.

–  I den fjerde regionen oppnådde vi ikke like høy grad av kontroll, men også her fikk vi tilgang til store mengder helseopplysninger. I alle regioner var slike opplysninger tilgjengelige for mange ansatte uten tjenstlig behov, heter det i rapporten.

En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, de andre tre oppdaget mindre eller ingenting.

 I alle de fire helseregionene er det vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak som skal forebygge og oppdage dataangrep.

Ifølge rapportene er det de ansattes sikkerhetsatferd som er en viktig årsak til at det har vært mulig å bryte seg inn i IKT-infrastrukturen.

–  IKT- og helsepersonell svekker sikkerheten ved for eksempel å sette svake passord, dele tilganger, gi tilgang til mer enn det som er nødvendig for å utføre oppgaver, og ved å ta snarveier.

–  Opplæring om IKT-sikkerhet skjer i hovedsak gjennom e-læringskurs. Opplæringen er i liten grad tilpasset den enkeltes arbeidshverdag og utfordringer. Våre tester viser at en angriper med stor sannsynlighet ville fått ansatte til å trykke på lenker eller laste ned ondsinnet programvare. Det meldes få informasjonssikkerhetsavvik i helseregionene.

Riksrevisjonen anser dette som svært alvorlig:

–  Et dataangrep kan få store konsekvenser for pasientbehandlingen og dermed true pasientsikkerheten. Det er svært alvorlig at helseregionenes arbeid med å forebygge og oppdage dataangrep ikke er i henhold til krav i lov og forskrift.

Les hele rapporten her

ikt nyheter
Powered by Labrador CMS