Riksrevisjonen med sterk kritikk av sykehusenes datasikkerhet
Riksrevisjonens tester viser at en angriper med stor sannsynlighet ville fått ansatte til å trykke på lenker eller laste ned ondsinnet programvare. – Svært alvorlig, konluderer de i ny rapport.
Denne artikkelen er mer enn tre år gammel.
– IKT har høy betydning for sykehusdriften. Det er derfor sterkt kritikkverdig at undersøkelsen viser vesentlige svakheter i styringen av informasjonssikkerhet.
Slik konkluderer Riksrevisjonen, som tirsdag legger frem sine undersøkelser om helseforetakenes forebygging av angrep mot sine IKT-systemer
De konkluderer med at helseregionenes IKT-systemer ikke er godt nok beskyttet mot dataangrep.
Riksrevisjonen har simulert dataangrep mot sykehusene. De finner at med den tilgangen de oppnådde i tre av helseregionene, så kunne en reell angriper blant annet ha:
- stoppet og utilgjengeliggjort systemer og utstyr som er kritisk for driften av sykehusene
- slettet eller utilgjengeliggjort opplysninger som er nødvendige for pasientbehandlingen
- manipulert opplysninger om pasientene
- stjålet store mengder helseopplysninger.
– I den fjerde regionen oppnådde vi ikke like høy grad av kontroll, men også her fikk vi tilgang til store mengder helseopplysninger. I alle regioner var slike opplysninger tilgjengelige for mange ansatte uten tjenstlig behov, heter det i rapporten.
En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, de andre tre oppdaget mindre eller ingenting.
I alle de fire helseregionene er det vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak som skal forebygge og oppdage dataangrep.
Ifølge rapportene er det de ansattes sikkerhetsatferd som er en viktig årsak til at det har vært mulig å bryte seg inn i IKT-infrastrukturen.
– IKT- og helsepersonell svekker sikkerheten ved for eksempel å sette svake passord, dele tilganger, gi tilgang til mer enn det som er nødvendig for å utføre oppgaver, og ved å ta snarveier.
– Opplæring om IKT-sikkerhet skjer i hovedsak gjennom e-læringskurs. Opplæringen er i liten grad tilpasset den enkeltes arbeidshverdag og utfordringer. Våre tester viser at en angriper med stor sannsynlighet ville fått ansatte til å trykke på lenker eller laste ned ondsinnet programvare. Det meldes få informasjonssikkerhetsavvik i helseregionene.
Riksrevisjonen anser dette som svært alvorlig:
– Et dataangrep kan få store konsekvenser for pasientbehandlingen og dermed true pasientsikkerheten. Det er svært alvorlig at helseregionenes arbeid med å forebygge og oppdage dataangrep ikke er i henhold til krav i lov og forskrift.