Betrar IKT-tryggleiken i sjukehusa

Riksrevisjonen har publisert rapporten om kontroll med forvaltninga av statlege selskap for 2019 og i rapporten vurderer ein korleis IKT-systema i helseføretaka er sikra mot dataangrep. Konklusjonen er at informasjonstryggleiken må bli betre.

PC og resepsjon. Foto.
Arkivfoto: Eivind Senneset

Styrking av det førebyggjande arbeidet mot dataangrep, og tiltak når eit dataangrep skjer, har høg prioritet i helseføretaka.

I rapporten peikar Riksrevisjonen på alvorlege funn og sårbarheit i IKT-systema i helseføretaka.

– Rapporten frå Riksrevisjonen er grundig og viktig. Vi tek funna på største alvor. God informasjonstryggleik er ein føresetnad for god pasientbehandling. Arbeidet med informasjonstryggleik vil ha høg merksemd og prioritet i Helse Vest også framover. Pasientar og medarbeidarar skal vere trygge på dette, seier administrerande direktør i Helse Vest RHF, Inger Cathrine Bryne.

– Eit felles ansvar

Ho seier arbeidet med kunnskap om, og kultur for, informasjonstryggleik må styrkjast, i takt med utviklinga av digitale løysingar. Dette arbeidet må både leirarar og medarbeidarar ta del i: – Vi kan ikkje kvile på det gode arbeidet. Informasjonstryggleik er eit felles ansvar og eit kontinuerleg arbeid.

Auka bruk av digitale løysingar i helsesektoren styrkjer pasientbehandlinga og pasienttryggleiken. På same tida er trusselbildet i stadig endring. Helseføretaka har i aukande grad blitt interessante mål for trusselaktørar, og det er større risiko for dataangrep.

Dataangrep mot helseføretaka skjer dagleg og målet er at desse blir handterte utan at det går ut over pasientbehandlinga. Når føretaka blir ramma av eit datatangrep er det ikkje det same som at datatryggleiken er dårlig. Metoden til Riksrevisjonen var slik at dei fekk informasjon frå helseføretaka før dei simulerte dataangrep. Det var òg avtalt at helseføretaka ikkje skulle stoppe angrepa eller gjere mottiltak om angrepa blei oppdaga.

Helseføretaka gjer grundige risikovurderingar og set i verk tiltak der ein finn det er mest sårbart. Riksrevisjonen stadfestar at helseregionane har gjort tiltak for forbetring og at dette har styrkt informasjonstryggleiken dei siste åra.

IKT-tryggleiken er testa

Helse Vest følgjer grundig opp hovudfunn, merknadar og tilrådingar i rapporten frå Riksrevisjonen.

– Revisjonen har gitt oss viktig innsikt for det vidare arbeidet med informasjonstryggleiken. Testing er ein viktig del av kontroll og forbetring. Simulering av angrep utført av Riksrevisjonen er ein av fleire slike. Mellom anna har Norsk Helsenett ved HelseCERT gjennomført liknande simulerte dataangrep mot Helse Vest etter Riksrevisjonen sin test, og tilbakemeldinga viser at dei ser tydelege resultat av dei tiltaka som gjennomførte, seier administrerande direktør i Helse Vest IKT, Erik M. Hansen.

– Ein stor del av dei funna som er gjorde av Riksrevisjonen er allereie lukka. Helse Vest IKT starta arbeidet med å lukke dei identifiserte sårbarheitene straks etter at Riksrevisjonen hadde gjennomført det simulerte dataangrepet i januar og februar 2020.

Dette lærer vi av.