Del av Dokument 3:2 (2020–2021) / Offentliggjort Undersøkelse av helseforetakenes forebygging av angrep mot sine IKT-systemer
Våre simulerte dataangrep ga høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner. Vi fikk også tilgang til store mengder sensitive helseopplysninger i alle regionene.
-
(PDF, 1,39 MB)
Last ned fullversjon
Kort fortalt
- Dersom helseopplysninger eller IKT-systemer manipuleres eller gjøres utilgjengelige, kan det forårsake pasientskader. Helseopplysninger på avveie kan få alvorlige konsekvenser.
- I denne undersøkelsen har vi blant annet simulert dataangrep mot sykehus og testet helseregionens evne til å oppdage pågående angrep gjennom sikkerhetsovervåkning.
- Umiddelbart etter simuleringen og kontrollen av de tekniske sikkerhetstiltakene informerte vi helseregionene om svakhetene vi hadde oppdaget. Helseregionene har utbedret mange av de konkrete svakhetene i etterkant av dette. Flere av svakhetene er imidlertid av en slik karakter at det vil ta tid for helseregionene å utbedre dem.
Kritikknivå:
Svært alvorlig
Et dataangrep kan få store konsekvenser for pasientbehandlingen og dermed true pasientsikkerheten. Det er svært alvorlig at helseregionenes arbeid med å forebygge og oppdage dataangrep ikke er i henhold til krav i lov og forskrift.
Kritikknivå:
Sterkt kritikkverdig
IKT har høy betydning for sykehusdriften. Det er derfor sterkt kritikkverdig at undersøkelsen viser vesentlige svakheter i styringen av informasjonssikkerhet.
Funn
Helseregionenes IKT-systemer er ikke godt nok beskyttet mot dataangrep.
Med tilgangene vi oppnådde i tre av helseregionenes kunne en reell angriper blant annet ha:
- stoppet og utilgjengeliggjort systemer og utstyr som er kritisk for driften av sykehusene
- slettet eller utilgjengeliggjort opplysninger som er nødvendige for pasientbehandlingen
- manipulert opplysninger om pasientene
- stjålet store mengder helseopplysninger.
I den fjerde regionen oppnådde vi ikke like høy grad av kontroll, men også her fikk vi tilgang til store mengder helseopplysninger. I alle regioner var slike opplysninger tilgjengelige for mange ansatte uten tjenstlig behov
En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, de andre tre oppdaget mindre eller ingenting.
- Svakhetene i de grunnleggende tekniske sikkerhetstiltakene er årsaken til at vi greide å få kontroll over sentral IKT-infrastruktur og få tilgang til store mengder helseopplysninger.
- Svakhetene omfatter grunnleggende tiltak som oversikt over utstyr, kontroll med brukere og tilgangsrettigheter, og rask oppdatering av programvare. Det er ulikheter mellom regionene når det gjelder på hvilke områder svakhetene ligger.
- Regionen som oppdaget flest av aktivitetene i angrepssimuleringen hadde etablert et fagmiljø som jobber med å samle inn og analysere data for overvåking av nettverk og IKT-systemer.
- Umiddelbart etter simuleringen og kontrollen av de grunnleggende tekniske sikkerhetstiltakene, informerte vi helseregionene om svakhetene vi hadde oppdaget. Mange svakheter har blitt utbedret i etterkant, men det vil i flere tilfeller ta tid å løse de underliggende problemene.
IKT-sikkerhet har fått høyere oppmerksomhet i helseregionene senere år, og de har iverksatt eller planlagt flere forbedringstiltak som vil kunne øke IKT-sikkerheten på sikt.
Helseregionene har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger. Dette er en sentral underliggende årsak til våre tekniske funn.
- Manglende opprydding i bl.a. gamle brukerkontoer og tilganger ga oss mange veier videre inn i helseregionenes systemer.
- Oppryddingsarbeidet nedprioriteres ofte når det kommer i konflikt med den daglige driften og innføring av nye systemer.
- Arbeidet er vanskelig blant annet på grunn av det store omfanget av IKT-systemer og -utstyr og programvare, og i noen grad begrensinger i eldre tekniske løsninger.
Uklare ansvarsforhold og uklar oppgavefordeling i helseregionene gjør forbedringsarbeidet vanskeligere. Undersøkelsen har avdekket:
- uklarheter om hvem som skal gjøre nødvendig opprydding og forbedringstiltak
- uklarheter om ansvaret for ivaretakelse av sikkerheten i medisinsk-teknisk utstyr.
Ledelsen i de regionale helseforetakene og deres underliggende helseforetak har mangelfull informasjon om reell sikkerhetstilstand og sikkerhetsrisiko.
De regionale helseforetakene har ikke fulgt opp informasjonssikkerhetsarbeidet godt nok.
- De ansattes sikkerhetsatferd er en viktig årsak til at det har vært mulig å bryte seg inn i IKT-infrastrukturen.
- IKT- og helsepersonell svekker sikkerheten ved for eksempel å sette svake passord, dele tilganger, gi tilgang til mer enn det som er nødvendig for å utføre oppgaver, og ved å ta snarveier.
- Opplæring om IKT-sikkerhet skjer i hovedsak gjennom e-læringskurs. Opplæringen er i liten grad tilpasset den enkeltes arbeidshverdag og utfordringer.
- Våre tester viser at en angriper med stor sannsynlighet ville fått ansatte til å trykke på lenker eller laste ned ondsinnet programvare.
- Det meldes få informasjonssikkerhetsavvik i helseregionene.
- Styringen av området synes i stor grad å være hendelsesbasert og for lite proaktiv.
- Departementets oppmerksomhet om informasjonssikkerhet har vært økende i 2017-2019, og de har stilt relevante krav på området i denne perioden.
- Departementet har ikke innhentet tilstrekkelig informasjon om hvordan krav om IKT-sikkerhet til de regionale helseforetakene er ivaretatt og fulgt opp.
- Mange av svakhetene ved IKT-sikkerheten vi avdekket i 2014 og 2015, er fortsatt til stede i helseregionene.
- Det er et potensial for å utnytte virkemiddelapparatet i Direktoratet for e-helse og Norsk Helsenett bedre for å styrke informasjonssikkerheten.
- Undersøkelsen viser at departementets oppfølging på dette området har vært for passiv.
Anbefalinger
Helseforetakene og de regionale helseforetakene må sørge for å ha tilstrekkelig kunnskap om sikkerhetstilstanden - blant annet gjennom risikoanalyser på virksomhetsnivå, revisjoner, og analyser av sikkerhetsavvik - for å kunne prioritere nødvendige tiltak.
Helseforetakene og de regionale helseforetakene må iverksette tiltak som sikrer at:
- ansvars- og oppgavefordeling blir avklart
- nødvendige tekniske sikkerhetstiltak blir gjennomført
- det blir systematisk ryddet i gamle løsninger og sensitive helse- og personopplysninger
- sikkerhetsatferd hos helse- og IKT-personell blir bedre.
- De regionale helseforetakene må sikre at krav som er stilt til helseforetakene på informasjonssikkerhetsområdet blir fulgt opp, slik at det oppnås nødvendig framdrift i forbedringsarbeidet.
- De må sikre at det iverksettes nødvendige tekniske sikkerhetstiltak med utgangspunkt i anerkjente sikkerhetsprinsipper som sørger for et akseptabelt sikkerhetsnivå i tråd med lovkrav.
- De må ta et større ansvar for å samordne informasjonssikkerhetsarbeidet i egen region, og blant annet gjøre nødvendige avklaringer om ansvar, roller og oppgaver.
- De bør vurdere egnede tiltak for økt samarbeid på tvers mellom helseregionene for å styrke informasjonssikkerheten i sektoren.
Departementet må sikre at krav som er stilt til de regionale helseforetakene på informasjonssikkerhetsområdet blir fulgt opp.
Departementet bør vurdere hvordan de best kan legge til rette for robuste sikkerhetsmiljøer i spesialisthelsetjenesten, blant annet
- hva slags rolle Norsk Helsenett (HelseCert) kan ha i sikkerhetsovervåking av regionale nettverk,
- hvorvidt Direktoratet for e-helse bør ha en tydeligere rolle når det gjelder informasjonssikkerhet.
Departementet må følge opp at de regionale helseforetakene oppnår et sikkerhetsnivå i tråd med lovkrav.
Bakgrunn for undersøkelsen
Digitale løsninger som tas i bruk i helsetjenesten, skal tilfredsstille krav til informasjonssikkerhet. Dagens moderne sykehus digitaliseres i økende grad, og IKT blir en stadig viktigere del av kjernevirksomheten. Dette gir grunnlag for økt kvalitet i pasientbehandlingen. Samtidig øker sårbarheten for digitale angrep og datainnbrudd i helseforetakene, og de potensielle negative konsekvensene av sikkerhetsbrudd blir større.
I denne undersøkelsen har vi simulert dataangrep mot sykehus og testet helseregionens evne til å oppdage pågående angrep gjennom sikkerhetsovervåkning. Vi har også undersøkt om regionene har fått på plass grunnleggende tekniske sikkerhetstiltak som anbefales av Norsk sikkerhetsmyndighet og hvordan IKT-sikkerheten påvirkes av helseregionenes sikkerhetsorganisering og -styring, samt av atferden til helse- og IKT-personell.
Målet med undersøkelsen har vært å vurdere hvordan helseforetakenes IKT-systemer sikres mot dataangrep, hvordan de regionale helseforetakene understøtter dette arbeidet, og hvordan Helse- og omsorgsdepartementet følger opp dette arbeidet.
Ansvaret for IKT-sikkerheten
Spørsmål?
