RIKSREVISOR: Per-Kristian Foss, her fotografert ved en helt annen anledning.
Siri Hardeland
Riksrevisjonen har funnet «svært alvorlige» hull i IT-sikkerheten til helseforetakene
– Våre folk gjorde et iherdig forsøk på å bli oppdaget, men de klarte selv ikke dét, sier Per-Kristian Foss.
leif.kirknes@lomedia.no
Helseforetakene får sterk kritikk for IT-sikkerhet av Riksrevisjonen. Riksrevisjonens folk klarte å få høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner, samt tilgang til store antall helseopplysninger i alle regioner.
Riksrevisjonen karakteriserer funnene som «svært alvorlig» og «sterkt kritikkverdig».
Med tilgangsnivået de oppnådde i systemene, kunne de blant annet stoppet og utilgjengeliggjort systemer og utstyr kritiske for driften av sykehus. De kunne slettet eller utilgjengeliggjort opplysninger nødvendige for pasientbehandling, manipulert opplysninger om pasienter og stjålet store mengder helseopplysninger.
I den fjerde regionen oppnådde de ikke samme grad av kontroll over IKT-systemer, men fikk likevel tilgang til store mengder helseopplysninger via PC-er i regionen.
En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, de andre tre ante lite eller ingenting. Riksrevisjonen hadde gått inn for å benytte «støyende» metoder og ikke forsøke å gjemme seg.
– Våre folk gjorde et iherdig forsøk på å bli oppdaget, men de klarte selv ikke dét, sier riksrevisor Per-Kristian Foss.
Akuelt: PST: Russiske aktører sto bak datainnbruddet på Stortinget
Lite oversikt
Dersom helseopplysninger eller IKT-systemer manipuleres eller gjøres utilgjengelige, kan det forårsake pasientskader. Helseopplysninger på avveie kan få alvorlige konsekvenser, minner Riksrevisjonen om.
Årsaken til at de greide å få tilgang er blant annet mangel på oversikt over utstyr, mangel på kontroll med brukere og tilgangsrettigheter, samt hvor raskt programvare ble oppdatert.
Det er forskjell mellom regionene i hvor svakhetene ligger. Regionen som var best i klassen, hadde etablert et fagmiljø som jobber med å samle inn data for overvåking av nettverk og IKT-systemer.
Deler av rapporten Riksrevisjonen har laget er unntatt offentlighet av hensyn til nettopp IT-sikkerhet. Etter å ha gjort funnene har de også informert helseforetakene om sårbarhetene. Mange har blitt utbedret nå, men det vil i flere tilfeller ta tid å løse de underliggende problemene, ifølge Riksrevisjonen.
– Styringen av informasjonssikkerhetsområdet i helseregionen står ikke i samsvar med betydningen IKT har for sykehusdriften, sier Foss.
Les også: NVE får kritikk av Riksrevisjonen
Uklarheter
Blant annet har ikke regionene jobbet systematisk med opprydning og utfasing av eldre systemer og tilganger. Riksrevisjonens datasnokere oppnådde tilgang og fikk mange videre veier inn i helseregionens systemer via gamle brukerkontoer. Satt opp mot daglig drift og innføring av nye systemer, har det ikke blitt prioritert å rydde opp i disse.
Uklare ansvarsforhold og uklar oppgavefordeling har heller ikke gjort dette arbeidet noe lettere, tror Riksrevisjonen. Ledelsen i de regionale helseforetakene og deres underliggende foretak har mangelfull informasjon om reell sikkerhetstilstand og -risiko. De regionale helseforetakene har ikke fulgt opp IT-sikkerhetsarbeidet godt nok, fastslår Riksrevisjonen.
Samtidig har IKT- og helsepersonell svekket sikkerhet ved blant annet å sette svake passord, dele tilganger og gi tilganger til mer enn hva som er nødvendig for å utføre oppgavene, samt ved å ta snarveier. E-læringskursene, som er gjengs opplæringstiltak, er i liten grad tilpasset den enkelte brukers situasjon. Ifølge Riksrevisjonen er det stor sannsynlighet for at en angriper kunne fått ansatte til å klikke på lenker eller laste ned ondsinnet programvare.
– Vi har inntrykk av at IKT-sikkerhet ikke er løftet høyt i verken styret eller ledelse, selv om IKT i dag på mange måter er avgjørende for sykehusenes drift. Helse-Norge er på etterskudd i arbeidet, sier Foss.
Les også: – Outsourcing er risikosport om man ikke har orden i eget hus
– Ansvarsfraskrivelse
Riksrevisjonen mener Helse- og omsorgsdepartementet har vært for passive i sin oppfølging av informasjonssikkerhetsarbeid i helseregionene. Blant annet ser det ut til å være lite proaktiv styring, og departementet har ikke innhentet tilstrekkelig informasjon om hvordan krav til IKT-sikkerhet er fulgt opp i de regionale helseforetakene.
«Mange av svakhetene ved IKT-sikkerheten vi avdekket i 2014 og 2015, er fortsatt til stede i helseregionene», skriver Riksrevisjonen.
Tilsvaret Riksrevisjonen fikk fra departementet på dette punktet holder ikke mål, mener Per-Kristian Foss.
– Statsråden sier i Helse- og omsorgsdepartementet ikke har operativt ansvar på området. Det vet vi, men undersøkelsene avdekket alvorlige avvik på vesentlige områder som har vært kjent lenge. Departementet har i alle fall et ansvar for å holde seg informert på området, når vi kan fastslå at lover og forskrifter er brutt. Da nytter det ikke å skyve ansvaret fra seg, slik vi mener departementet har gjort, sier Foss.
Oppfølging
Riksrevisjonen anbefaler blant annet at helseforetakene nøster opp i ansvarsfordeling, samt rydder systematisk i gamle systemer og sensitive opplysninger. Den anbefaler at de regionale helseforetakene tar større ansvar for samordning i egen region og sørger for nødvendig fremdrift i forbedringsarbeidet, og at departementet følger opp at de regionale helseforetakene oppnår et sikkerhetsnivå i tråd med lovkrav. Departementet kan vurdere hvilken rolle HelseCERT og Direktoratet for e-helse kan få innenfor IT-sikkerhet, mener Riksrevisjonen.
Overfor NTB innrømmer helseminister Bent Høie nå at det ikke er gjort nok for å sikre IKT-systemene. Han sier han selv vil følge det opp i 2021.
Artikkelen er oppdatert kl. 15:20, lagt til siste avsnitt med Bent Høie.
Mest lest
Alf Jørgen Schnell og Ninthu Paramlingam i kollektivet Reduser Husleia mener mange lever i uverdige boforhold på leiemarkedet. Bildet innfelt er hentet fra annonsen det et kott med skyvedører tilbys for 6.200 kroner måneden.
Ida Bing og husleie.no
Dette «klesskapet» ble leid ut for 6.200 kroner i måneden: – Leiemarkedet blir bare verre og verre
SYKEMELDT: Da kollegaene ble permittert stoppet også bedriften å betale sin del av sykelønna til Frank Robert Neerland.
Aina Fladset
Frank Robert ble fratatt sykelønn da bedriften permitterte ansatte: – Overraskende
SAKSØKER: Hege Berit Østgård er blant de 231 Industri Energi-medlemmene som går til gruppesøksmål mot Aker BP.
Jan Inge Haga
Hege Berit fikk hakeslepp da bedriften ville fjerne sluttpakken: – Respektløst overfor oss ansatte
TOK KAMPEN: Ann–Helen Pettersen (til venstre) og Randi Stenersen Rasmussen gikk til sak mot arbeidsgiveren da de ble sagt opp som flyplassvektere på Flesland. Nå gir Securitas dem nye jobber i konsernet.
Paul S Amundsen
Vekterne Ann-Helen og Randi gikk til sak mot arbeidsgiver og reddet både jobben og AFP
Ole Palmstrøm
Permitterte får dagpenger til 1. oktober. Men det blir ikke feriepenger på dagpenger
– Nå skal vi ta oss råd til å besøke den chilenske familien til mannen min så fort det blir forsvarlig å reise, sier Elisabeth Bøckman.
Per Flakstad
Vant i retten: Nå får Elisabeth høyere pensjon og råd til å besøke mannens familie
Erik Knudsen er fortvilet over beskjeden han fikk fra kommunen rett før jul.
Amanda Iversen Orlich/Dagsavisen
Erik mister 9.000 kroner i støtte og kan havne på gata
Håvard Sæbø
Arbeidstilsynet sladder lønna på underbetalte arbeidere. Nå må Røe Isaksen svare på hvorfor
Kjersti Stenseng
Jan-Erik Østlie
Arbeiderpartiet har mistet over 5.000 medlemmer
(Illustrasjonsfoto)
pressefoto, WizzAir.com
Wizz Air-ansatte i Norge er beskyttet av arbeidsmiljøloven, fastslår Luftfartstilsynet
Forbundsleder i Fellesforbundet, Jørn Eggum.
Jan-Erik Østlie
Regjeringens nye veiselskap kan bli lagt ned. Fire LO-forbund mener det holder med Statens vegvesen
Afaransis Yassin (28) har ingen mulighet til å få økonomisk støtte fra familiemedlemmer. Da blir det nesten umulig å komme inn på boligmarkedet, mener hun.
Ida Bing
Afaransis (28) får ikke økonomisk hjelp hjemmefra: – Jeg er sjanseløs på boligmarkedet
Meieriansatte får 50 øre i generelt tillegg fra 1. mai i år. Enigheten i lønnsoppgjøret omfatter rundt 2.500 NNN-medlemmer.
Jan-Erik Østlie
Meieriansatte får ny lønn: Her er resultatet
Tormod Ytrehus
Klubbleder Adrian fikk sparken. Nå får han penger fra LO for å ha noe å leve av fram til rettssaken starter
Debatt
LO og forbundene våkne opp av dvalen og svinge pisken slik at tillitsvalgte og medlemmer våkner opp?, spør Arne Eide.
Jan-Erik Østlie
«Har LO vendt Arbeiderpartiet ryggen?»
Colourbox.com
Lærere har ikke fått overtidsbetalt under pandemien. Over halvparten har vurdert ny jobb
Sp-leder Trygve Slagsvold Vedum
Jan-Erik Østlie
Sp lover norsk vaksineproduksjon
Bent Høie
Leif Martin Kirknes
Skjenkereglene endres: – For tidlig, mener Bent Høie
HOVEDTILLITSVALGT: Lærer Christian Holstad Lilleng ble fratatt 6.000 i lønn ved tap av funksjonstillegg etter kommunesammenslåing mellom kommunene Haram og Ålesund. Han nekter å godta kuttet.
Privat
Lønnskutt for lærere: Viktig møte avgjør
Bjørn Inge Bergestuen/Frp