– Kriminelle har en bedre forretnings-modell enn de som skal forsvare seg
Når helsesektoren er et mål for statlig støttet kriminell virksomhet som jobber på tvers av landegrenser, kan ikke løsningene være lokale. Nå lærer sykehus i hele Norden av hverandre gjennom et norsk fagforum.
Annonse kun for helsepersonell
– Hvis kriminelle organisasjoner lykkes med å stenge ned eller ta over de tekniske systemene som styrere helsetjenesten vår, så ødelegger det tilliten vi har til de digitale systemene, som vi er helt avhengig av i samfunnet, sier Morten Thorkildsen, prosjektleder for Nordic Cyber for Healthcare Forum.
Han forklarer:
– Det er ikke IT-sikkerhet isolert vi må se på - vi må se på det i bredere forstand. Hvordan påvirker dette risikoen til klinikkene, til helseregionene, til de sammensatte nye systemene. Vi har sammenhengende helsetjenester basert på datadeling og datautveksling. Dette er vesentlig for risikovurderingen i helsetjenesten, sier han.
Det er også bakteppet til etableringen av DNVs Nordic Cyber for Healthcare Forum– et nytt nettverk for ledelse innen risikostyring og sikkerhet i Norden. Nettverket har rekruttert medlemmer på tvers av sykehus, helseregioner og helsemyndigheter, og er blitt en arena der man kan diskutere utfordringene man har, og dele erfaringene man har gjort.
– Vi er små hver for oss, og dette er et område som krever veldig spesialisert kompetanse, så hvis vi kan dele erfaringer i større grad får vi mye større løfteevne, sier Arve Johan Kalleklev, leder for DNV Cyber.
Sårbart utstyr
Annonse kun for helsepersonell
Et 40-talls deltagere fra helsesektoren i Norden er med i nettverket, og ambisjonen er ikke å vokse, men å kunne holde møtene mest mulig praktiske og nyttige for deltagerne. Et viktig element i etableringen av nettverket har vært å få folk med ulik bakgrunn til å møtes, for sikkerhetsutfordringene helsetjenesten står i er ikke begrenset til IT.
Stadig mer utstyr i sykehusene er koblet til internett, og mye av det eldre utstyret har både dårlig sikkerhet og er sårbart.
– Dette er ikke bare en IT-risiko – cyberangrep kan påvirke kirurgi, det kan påvirke traumesentere, det kan påvirke laboratorier, det kan påvirke alle hovedfunksjonene på sykehuset – derfor har vi koblet klinikere, sikkerhetsfolk og toppledere sammen, for å se helhetlig på risikoen, forklarer Thorkildsen.
I tillegg til toppledere ved sykehusene, informasjonssikkerhetsledere på regionalt nivå, og representanter fra helsedirektoratene, er de nasjonale Cyber Security sentrene i Finland og Sverige med, sammen med representanter for Sundhedsdatastyrelsen i Danmark, The European Centre of Excellence for Countering Hybrid Threats (Hybrid CoE), ENISA, Health ISAC og EU-kommisjonen.
Massiv økning
Etter fire møter er det noen felles utfordringer som skiller seg ut:
Hvordan håndterer man hybride trusler, når de som angriper ikke lenger bare går for et cyberangrep, men det kommer cyberangrep kombinert med droner, i tillegg til at strømforsyningen blir kuttet.
– Det er en massiv økning i hybride trusler, som gjør det veldig krevende å organisere seg mot. Du kan ikke bare se på informasjonssikkerhet isolert, du må se på hele beredskapen. Det stiller helt nye krav til hvordan vi organiserer arbeidet med beredskap på sykehusene og i helsesektoren totalt sett, sier Thorkildsen.
Annonse kun for helsepersonell
Bedre forretningsmodell
I tillegg, påpeker Kalleklev, endres regelverk kontinuerlig, ny teknologi utvikles raskere enn sikkerhetssystemene og overnasjonale retningslinjer, som EUs European Health Data Space (EHDS) krever store nasjonale tilpasninger.
– Økonomi er en kontinuerlig utfordring i helsetjenesten. Hva sier medlemmene i nettverket om det?
– Det er et veldig godt poeng. De som er på den andre siden av gjerdet og driver cyberkriminalitet har en mye bedre forretningsmodell enn de som skal forsvare seg, mener Thorkildsen.
– Det er ikke lystbetont å bruke penger på cybersikkerhet - det er som å kjøpe forsikring. Det bringer ikke isolert sett helsetjenesten videre. Men vi jobber med å snu dette fra å være reaktivt til å bli proaktivt, slik at sikkerhet kan støtte innovasjon og bli en integrert del av digital helse. Men vi står opp mot en massiv utfordring, nettopp fordi forretningsmodellen på den andre siden er så mye mer attraktiv.
Søker midler
En uoversiktlig verdenssituasjon gjør behovet for samarbeid på tvers av institusjoner og landegrenser enda viktigere, mener initiativtakerne bak DNVs Nordic Cyber for Healthcare Forum.
Nå har de etablert arbeidsgrupper som kan jobbe raskere, og knytte til seg ekspertise på ulike områder fra hele verden. Og det neste naturlige steget har vært å gå sammen for å søke EU-midler for å utvikle pilotprosjekter som tar sikte på å styrke sykehusenes evne til å oppdage og håndtere ransomware-angrep, og bygge robusthet i kritisk digital infrastruktur.
– Helse Vest IKT, Helse Nord IKT, Sykehuspartner, helsedepartementet på Island, Norsk helsenett, DNV Cyber som service provider, og Region Västra i Götaland er partnere i dette. Vi har en søknad inne der som skal avgjøres nå på nyåret, men dette viser litt av hva et slikt nordisk forum kan skape av samhandling, mener Kalleklev.
– Har du inntrykk av at dette er en problemstillinger som er forankret hele veien opp i organisasjonen, der ledelsen ofte har en medisinsk erfaring, og ikke en teknisk bakgrunn?
– Dette er noe man må jobbe med hele tiden. Man kan ikke jobbe neste år på samme måte som man gjorde i fjor – vi må hele tiden utvikle oss videre. Dette drives frem både av behovet, fordi at det er integrert i virksomhetsrisikovurderingen, men også fordi nye regulatoriske krav (som NIS og NIS 2) krever at toppledere og styrene iverksetter tiltak som er proporsjonale i forhold til risikoen man kan utsettes for, sier Thorkildsen.
Annonse kun for helsepersonell
