Del av Dokument 3:2 (2020–2021) / Offentliggjort Undersøkelse av helseforetakenes forebygging av angrep mot sine IKT-systemer

Våre simulerte dataangrep ga høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner. Vi fikk også tilgang til store mengder sensitive helseopplysninger i alle regionene.

Kort fortalt

  • Dersom helseopplysninger eller IKT-systemer manipuleres eller gjøres utilgjengelige, kan det forårsake pasientskader. Helseopplysninger på avveie kan få alvorlige konsekvenser.
  • I denne undersøkelsen har vi blant annet simulert dataangrep mot sykehus og testet helseregionens evne til å oppdage pågående angrep gjennom sikkerhetsovervåkning.
  • Umiddelbart etter simuleringen og kontrollen av de tekniske sikkerhetstiltakene informerte vi helseregionene om svakhetene vi hadde oppdaget. Helseregionene har utbedret mange av de konkrete svakhetene i etterkant av dette. Flere av svakhetene er imidlertid av en slik karakter at det vil ta tid for helseregionene å utbedre dem.

Funn

Kritikknivå:

Svært alvorlig

Et dataangrep kan få store konsekvenser for pasientbehandlingen og dermed true pasientsikkerheten. Det er svært alvorlig at helseregionenes arbeid med å forebygge og oppdage dataangrep ikke er i henhold til krav i lov og forskrift.

Kritikknivå:

Sterkt kritikkverdig

IKT har høy betydning for sykehusdriften. Det er derfor sterkt kritikkverdig at undersøkelsen viser vesentlige svakheter i styringen av informasjonssikkerhet. 

Anbefalinger

Bakgrunn for undersøkelsen

Digitale løsninger som tas i bruk i helsetjenesten, skal tilfredsstille krav til informasjonssikkerhet. Dagens moderne sykehus digitaliseres i økende grad, og IKT blir en stadig viktigere del av kjernevirksomheten. Dette gir grunnlag for økt kvalitet i pasientbehandlingen. Samtidig øker sårbarheten for digitale angrep og datainnbrudd i helseforetakene, og de potensielle negative konsekvensene av sikkerhetsbrudd blir større.

I denne undersøkelsen har vi simulert dataangrep mot sykehus og testet helseregionens evne til å oppdage pågående angrep gjennom sikkerhetsovervåkning. Vi har også undersøkt om regionene har fått på plass grunnleggende tekniske sikkerhetstiltak som anbefales av Norsk sikkerhetsmyndighet og hvordan IKT-sikkerheten påvirkes av helseregionenes sikkerhetsorganisering og -styring, samt av atferden til helse- og IKT-personell.

Målet med undersøkelsen har vært å vurdere hvordan helseforetakenes IKT-systemer sikres mot dataangrep, hvordan de regionale helseforetakene understøtter dette arbeidet, og hvordan Helse- og omsorgsdepartementet følger opp dette arbeidet.

Ansvaret for IKT-sikkerheten

Ansvaret for IKT-sikkerheten er delt mellom flere aktører og nivåer i spesialisthelsetjenesten. Helse- og omsorgsdepartementet har det overordnede ansvaret, og de regionale helseforetakene har ansvaret for informasjonssikkerheten i helseregionene. Informasjonssikkerheten i helseregionene ivaretas hovedsakelig av helseforetak og regionale IKT-leverandører (Sykehuspartner HF, Helse Nord IKT HF, Helse Vest IKT AS, og Hemit). De regionale IKT-leverandørene har ansvar for den tekniske sikringen av helseregionenes felles IKT-infrastruktur, av regionale IKT-systemer, samt av mange av helseforetakenes lokale systemer og utstyr. Helseforetakene har ansvar for at systemer og utstyr brukes på en sikker måte. Der helseforetakene selv har ansvar for drift av systemer og utstyr vil de imidlertid ofte selv stå for teknisk sikring.

Kategorier: Helse Digitalisering og ikt Statlig eierskap

Spørsmål?

Bilde av Annette Gohn-Hellum

Annette Gohn-Hellum

Ekspedisjonssjef

22 24 12 99 Annette.Gohn-Hellum@riksrevisjonen.no
Bilde av Sissel Elisabet Helminsen

Sissel Elisabet Helminsen

Kommunikasjonsrådgiver

977 27 237 sissel.helminsen@riksrevisjonen.no