Oppfølging i Dokument 3:2 (2024–2025) / Offentliggjort Oppfølgingsundersøkelse: Helseforetakenes forebygging av angrep mot sine IKT-systemer
Riksrevisjonen testet sårbarheter og fikk kontroll på en betydelig mengde pasientopplysninger i oppfølgingsundersøkelse av IT-sikkerheten på norske sykehus.
-
(PDF, 0,85 MB)
Last ned rapporten
Kort bakgrunn
- I 2020 offentliggjorde Riksrevisjonen en rapport som avdekket vesentlige svakheter i IT-sikkerheten på norske sykehus.
- En viktig del av undersøkelsen var simulerte dataangrep som ga oss stor grad av kontroll på IT-systemene i tre av fire helseregioner, og tilgang på store mengder sensitive helseopplysninger i alle regionene.
- Funnene var så alvorlige at de resulterte i Riksrevisjonens sterkeste kritikk. Nå har vi fulgt opp undersøkelsen.
- I oppfølgingsundersøkelse har vi gjennomført nye dataangrep ved to av Norges fire helseregioner.
Deler av rapporten er sladdet etter offentleglova § 24 tredje ledd.
-
Ikke tilfredsstillende
-
Kritikkverdig
-
Sterkt kritikkverdig
Dataangrep kan få store konsekvenser for spesialisthelsetjenestens evne til å utføre sine primæroppgaver, og kan også ha konsekvenser for pasientsikkerheten. Etter Riksrevisjonens vurdering er det kritikkverdig at det fortsatt er vesentlige svakheter i informasjonssikkerheten.
Konklusjon
Vi konstaterer at det er satt i gang mange tiltak, både av departementet, de regionale helseforetakene og helseforetakene. Dette har bidratt til og vil bidra til å styrke informasjonssikkerheten i spesialisthelsetjenesten.
Undersøkelsen viser imidlertid at det fortsatt er svakheter i informasjonssikkerheten og utfordringer med å få etablert en god sikkerhetskultur.
Inntrengingstester ga, som i forrige undersøkelse, Riksrevisjonen høy grad av kontroll over viktige IKT-systemer og betydelig mengder pasientopplysninger.
Vi publiserte en oppdatert versjon av dokumentet 23. juni 2025. På grunn av endret sikkerhetssituasjon er deler av innholdet gjort BEGRENSET etter sikkerhetsloven. Endringen er gjort i samråd med Helse- og omsorgsdepartementet.
Videre oppfølging
Riksrevisjonen vil følge med på forbedringsarbeidet og følge opp saken på ny innen tre år.
Spørsmål?
