JavaScript is disabled in your web browser or browser is too old to support JavaScript. Today almost all web pages contain JavaScript, a scripting programming language that runs on visitor's web browser. It makes web pages functional for specific purposes and if disabled for some reason, the content or the functionality of the web page can be limited or unavailable.
RIKSREVISOR: Per-Kristian Foss, her fotografert ved en helt annen anledning.

RIKSREVISOR: Per-Kristian Foss, her fotografert ved en helt annen anledning.

Siri Hardeland

Riksrevisjonen har funnet «svært alvorlige» hull i IT-sikkerheten til helseforetakene

– Våre folk gjorde et iherdig forsøk på å bli oppdaget, men de klarte selv ikke dét, sier Per-Kristian Foss.


15.12.2020
14:38
15.12.2020 15:24

leif.kirknes@lomedia.no

Helseforetakene får sterk kritikk for IT-sikkerhet av Riksrevisjonen. Riksrevisjonens folk klarte å få høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner, samt tilgang til store antall helseopplysninger i alle regioner.

Riksrevisjonen karakteriserer funnene som «svært alvorlig» og «sterkt kritikkverdig».

Med tilgangsnivået de oppnådde i systemene, kunne de blant annet stoppet og utilgjengeliggjort systemer og utstyr kritiske for driften av sykehus. De kunne slettet eller utilgjengeliggjort opplysninger nødvendige for pasientbehandling, manipulert opplysninger om pasienter og stjålet store mengder helseopplysninger.

I den fjerde regionen oppnådde de ikke samme grad av kontroll over IKT-systemer, men fikk likevel tilgang til store mengder helseopplysninger via PC-er i regionen.

En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, de andre tre ante lite eller ingenting. Riksrevisjonen hadde gått inn for å benytte «støyende» metoder og ikke forsøke å gjemme seg.

– Våre folk gjorde et iherdig forsøk på å bli oppdaget, men de klarte selv ikke dét, sier riksrevisor Per-Kristian Foss.

Akuelt: PST: Russiske aktører sto bak datainnbruddet på Stortinget

Lite oversikt

Dersom helseopplysninger eller IKT-systemer manipuleres eller gjøres utilgjengelige, kan det forårsake pasientskader. Helseopplysninger på avveie kan få alvorlige konsekvenser, minner Riksrevisjonen om.

Årsaken til at de greide å få tilgang er blant annet mangel på oversikt over utstyr, mangel på kontroll med brukere og tilgangsrettigheter, samt hvor raskt programvare ble oppdatert.

Det er forskjell mellom regionene i hvor svakhetene ligger. Regionen som var best i klassen, hadde etablert et fagmiljø som jobber med å samle inn data for overvåking av nettverk og IKT-systemer.

Deler av rapporten Riksrevisjonen har laget er unntatt offentlighet av hensyn til nettopp IT-sikkerhet. Etter å ha gjort funnene har de også informert helseforetakene om sårbarhetene. Mange har blitt utbedret nå, men det vil i flere tilfeller ta tid å løse de underliggende problemene, ifølge Riksrevisjonen.

– Styringen av informasjonssikkerhetsområdet i helseregionen står ikke i samsvar med betydningen IKT har for sykehusdriften, sier Foss.

Les også: NVE får kritikk av Riksrevisjonen

Uklarheter

Blant annet har ikke regionene jobbet systematisk med opprydning og utfasing av eldre systemer og tilganger. Riksrevisjonens datasnokere oppnådde tilgang og fikk mange videre veier inn i helseregionens systemer via gamle brukerkontoer. Satt opp mot daglig drift og innføring av nye systemer, har det ikke blitt prioritert å rydde opp i disse.

Uklare ansvarsforhold og uklar oppgavefordeling har heller ikke gjort dette arbeidet noe lettere, tror Riksrevisjonen. Ledelsen i de regionale helseforetakene og deres underliggende foretak har mangelfull informasjon om reell sikkerhetstilstand og -risiko. De regionale helseforetakene har ikke fulgt opp IT-sikkerhetsarbeidet godt nok, fastslår Riksrevisjonen.

Samtidig har IKT- og helsepersonell svekket sikkerhet ved blant annet å sette svake passord, dele tilganger og gi tilganger til mer enn hva som er nødvendig for å utføre oppgavene, samt ved å ta snarveier. E-læringskursene, som er gjengs opplæringstiltak, er i liten grad tilpasset den enkelte brukers situasjon. Ifølge Riksrevisjonen er det stor sannsynlighet for at en angriper kunne fått ansatte til å klikke på lenker eller laste ned ondsinnet programvare.

– Vi har inntrykk av at IKT-sikkerhet ikke er løftet høyt i verken styret eller ledelse, selv om IKT i dag på mange måter er avgjørende for sykehusenes drift. Helse-Norge er på etterskudd i arbeidet, sier Foss.

Les også: – Outsourcing er risikosport om man ikke har orden i eget hus

– Ansvarsfraskrivelse

Riksrevisjonen mener Helse- og omsorgsdepartementet har vært for passive i sin oppfølging av informasjonssikkerhetsarbeid i helseregionene. Blant annet ser det ut til å være lite proaktiv styring, og departementet har ikke innhentet tilstrekkelig informasjon om hvordan krav til IKT-sikkerhet er fulgt opp i de regionale helseforetakene.

«Mange av svakhetene ved IKT-sikkerheten vi avdekket i 2014 og 2015, er fortsatt til stede i helseregionene», skriver Riksrevisjonen.

Tilsvaret Riksrevisjonen fikk fra departementet på dette punktet holder ikke mål, mener Per-Kristian Foss.

– Statsråden sier i Helse- og omsorgsdepartementet ikke har operativt ansvar på området. Det vet vi, men undersøkelsene avdekket alvorlige avvik på vesentlige områder som har vært kjent lenge. Departementet har i alle fall et ansvar for å holde seg informert på området, når vi kan fastslå at lover og forskrifter er brutt. Da nytter det ikke å skyve ansvaret fra seg, slik vi mener departementet har gjort, sier Foss.

Les også: Helseminister Bent Høie vil ikke ta ansvar for dataskandalen i Helse Sør-Øst – sier sikkerhet er styrets ansvar [2017]

Oppfølging

Riksrevisjonen anbefaler blant annet at helseforetakene nøster opp i ansvarsfordeling, samt rydder systematisk i gamle systemer og sensitive opplysninger. Den anbefaler at de regionale helseforetakene tar større ansvar for samordning i egen region og sørger for nødvendig fremdrift i forbedringsarbeidet, og at departementet følger opp at de regionale helseforetakene oppnår et sikkerhetsnivå i tråd med lovkrav. Departementet kan vurdere hvilken rolle HelseCERT og Direktoratet for e-helse kan få innenfor IT-sikkerhet, mener Riksrevisjonen.

Overfor NTB innrømmer helseminister Bent Høie nå at det ikke er gjort nok for å sikre IKT-systemene. Han sier han selv vil følge det opp i 2021.

Artikkelen er oppdatert kl. 15:20, lagt til siste avsnitt med Bent Høie.

15.12.2020
14:38
15.12.2020 15:24



Mest lest

BITTERT: Per Olav Truberg har jobba mange år i matindustrien. Takken var oppsigelse da han havna i operasjonskø med et trøble kne.

BITTERT: Per Olav Truberg har jobba mange år i matindustrien. Takken var oppsigelse da han havna i operasjonskø med et trøble kne.

Erlend Angelo

Per Olav mistet jobben i operasjonskø: – Det er veldig sårt

BELASTENDE YRKE: Frisør og tillitsvalgt Kaja Aga Gaarder tar smertestillende for å klare arbeidsdagen. Etter en bilulykke har hun daglige smerter. Men hun tok smertestillende på jobb også før ulykken. Her fikser hun håret til Victoria Gjone.

BELASTENDE YRKE: Frisør og tillitsvalgt Kaja Aga Gaarder tar smertestillende for å klare arbeidsdagen. Etter en bilulykke har hun daglige smerter. Men hun tok smertestillende på jobb også før ulykken. Her fikser hun håret til Victoria Gjone.

Jan-Erik Østlie

Bruken av smertestillende øker: Kaja starter alltid arbeidsdagen med en Paracet

Unni tar gjerne på seg ekstra vakter. Hun elsker å gjøre en forskjell.

Unni tar gjerne på seg ekstra vakter. Hun elsker å gjøre en forskjell.

Eirik Dahl Viggen

Unni (65) var lei av livet som pensjonist. Da gjorde hun et uvanlig valg

Roy Ervin Solstad

Han er blant dem som har kommet med fete lønnskrav

OPPGJØR: Årets lønnsoppgjør står for døren og elektrikerne starter sine forhandlinger 22. april. Her er en Bravida-montør i sving med akkordarbeid på Drammen sykehus tidligere i år.

OPPGJØR: Årets lønnsoppgjør står for døren og elektrikerne starter sine forhandlinger 22. april. Her er en Bravida-montør i sving med akkordarbeid på Drammen sykehus tidligere i år.

Leif Martin Kirknes

Når får du ny lønn? Disse datoene må du merke deg

Håndverkere oppgir en høyere bruk av narkotika enn gjennomsnittet. Elektrobransjen frykter det kan føre til flere farlige situasjoner og ulykker på arbeidsplassene.

Håndverkere oppgir en høyere bruk av narkotika enn gjennomsnittet. Elektrobransjen frykter det kan føre til flere farlige situasjoner og ulykker på arbeidsplassene.

Leif Martin Kirknes

Økt kokainbruk blant unge elektrikere

Martine Lie satser på at et par måneder med permittering går greit.

Martine Lie satser på at et par måneder med permittering går greit.

Erlend Angelo

Potetmangel gir permitteringer i Bama

FLEST KVINNER: I rapporten kommer det fram at det ofte er unge kvinnelige ansatte, både med norsk og utenlandsk opprinnelse, som er skadelidende.

FLEST KVINNER: I rapporten kommer det fram at det ofte er unge kvinnelige ansatte, både med norsk og utenlandsk opprinnelse, som er skadelidende.

Colourbox.com

Renholdere trues med at de mister jobben om de er syke

Sissel M. Rasmussen

Har du fysisk tungt arbeid? Da bør du kanskje ikke trene etter jobben

HENTER I BARNEHAGEN: Fengselsbetjent Jørgen Myrvold samler overtid for å ha et hjem til barna. Han er helt avhengig av et godt lønnsoppgjør for å fortsette i fengsel.

HENTER I BARNEHAGEN: Fengselsbetjent Jørgen Myrvold samler overtid for å ha et hjem til barna. Han er helt avhengig av et godt lønnsoppgjør for å fortsette i fengsel.

Eirik Dahl Viggen

Jørgen (29) overlever på overtidstimer

Høyres Henrik Asheim er glad for å ha fått pensjonsforliket gjennom - og håper endringen er på plass allerede neste år.

Høyres Henrik Asheim er glad for å ha fått pensjonsforliket gjennom - og håper endringen er på plass allerede neste år.

Jonas Fagereng Jacobsen

Høyre vil ha superrask behandling av nye pensjonsregler

BLITT BEDRE: Etter at de fikk tariffavtale, syns tillitsvalgt Benjamin Jacobsen at samarbeidet med ledelsen har blitt bedre.

BLITT BEDRE: Etter at de fikk tariffavtale, syns tillitsvalgt Benjamin Jacobsen at samarbeidet med ledelsen har blitt bedre.

Herman Bjørnson Hagen

Sjefen mente de ansatte sluntra unna. Da begynte ballen å rulle

KAMPKLARE: Pål Fredriksen og Lars Johansen går til sak mot arbeidsgiver.

KAMPKLARE: Pål Fredriksen og Lars Johansen går til sak mot arbeidsgiver.

Eirik Dahl Viggen

Sparetiltak i fengselet gjør at Pål og Lars taper 60.000 kroner i året

MÅLRETTA: Butikkansatt Ali Rahimi forteller arbeidsminister Tonje Brenna hvor hardt han har jobba for å lære seg norsk og få et normalt liv etter flukten fra Afghanistan.

MÅLRETTA: Butikkansatt Ali Rahimi forteller arbeidsminister Tonje Brenna hvor hardt han har jobba for å lære seg norsk og få et normalt liv etter flukten fra Afghanistan.

Brian Cliff Olguin

Ali kom fra Afghanistan som 17-åring. Han lærte seg norsk gjennom butikkjobben

Knut Viggen

Tidligere LO-leder blir korrupsjonsjeger

Etter en tøff runde med sensorer som skjelte henne ut under fagprøven, har Anny-Elise både skaffet seg fagbrev og fast jobb i forpleininga på sokkelen. Her fra hennes nyligste tur ut på Heidrun-plattformen.

Etter en tøff runde med sensorer som skjelte henne ut under fagprøven, har Anny-Elise både skaffet seg fagbrev og fast jobb i forpleininga på sokkelen. Her fra hennes nyligste tur ut på Heidrun-plattformen.

Privat

Anny-Elise ble skjelt ut av sensor. Nå har hun fått drømmejobben

Brian Cliff Olguin

Et orakel og en slags urmoder. Slik beskrives Berit (67) av kollegene

LANGE STREKK: Etter to års dragkamp, er Bergen fengsel omsider i mål med en avtale om 12-timersvakter i helgene.

LANGE STREKK: Etter to års dragkamp, er Bergen fengsel omsider i mål med en avtale om 12-timersvakter i helgene.

Eirik Dahl Viggen

Ansatte i Bergen fengsel får 12-timersvakter i helgene

Håvard Sæbø

Høyesteretts ankeutvalg: Sak om innleie må behandles på nytt

Per Backer

Fikk stoppet søndagsåpen butikk i Vinje


Flere saker