JavaScript is disabled in your web browser or browser is too old to support JavaScript. Today almost all web pages contain JavaScript, a scripting programming language that runs on visitor's web browser. It makes web pages functional for specific purposes and if disabled for some reason, the content or the functionality of the web page can be limited or unavailable.
RIKSREVISOR: Per-Kristian Foss, her fotografert ved en helt annen anledning.

RIKSREVISOR: Per-Kristian Foss, her fotografert ved en helt annen anledning.

Siri Hardeland

Riksrevisjonen har funnet «svært alvorlige» hull i IT-sikkerheten til helseforetakene

– Våre folk gjorde et iherdig forsøk på å bli oppdaget, men de klarte selv ikke dét, sier Per-Kristian Foss.



15.12.2020
14:38
15.12.2020 15:24

leif.kirknes@lomedia.no

Helseforetakene får sterk kritikk for IT-sikkerhet av Riksrevisjonen. Riksrevisjonens folk klarte å få høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner, samt tilgang til store antall helseopplysninger i alle regioner.

Riksrevisjonen karakteriserer funnene som «svært alvorlig» og «sterkt kritikkverdig».

Med tilgangsnivået de oppnådde i systemene, kunne de blant annet stoppet og utilgjengeliggjort systemer og utstyr kritiske for driften av sykehus. De kunne slettet eller utilgjengeliggjort opplysninger nødvendige for pasientbehandling, manipulert opplysninger om pasienter og stjålet store mengder helseopplysninger.

I den fjerde regionen oppnådde de ikke samme grad av kontroll over IKT-systemer, men fikk likevel tilgang til store mengder helseopplysninger via PC-er i regionen.

En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, de andre tre ante lite eller ingenting. Riksrevisjonen hadde gått inn for å benytte «støyende» metoder og ikke forsøke å gjemme seg.

– Våre folk gjorde et iherdig forsøk på å bli oppdaget, men de klarte selv ikke dét, sier riksrevisor Per-Kristian Foss.

Akuelt: PST: Russiske aktører sto bak datainnbruddet på Stortinget

Lite oversikt

Dersom helseopplysninger eller IKT-systemer manipuleres eller gjøres utilgjengelige, kan det forårsake pasientskader. Helseopplysninger på avveie kan få alvorlige konsekvenser, minner Riksrevisjonen om.

Årsaken til at de greide å få tilgang er blant annet mangel på oversikt over utstyr, mangel på kontroll med brukere og tilgangsrettigheter, samt hvor raskt programvare ble oppdatert.

Det er forskjell mellom regionene i hvor svakhetene ligger. Regionen som var best i klassen, hadde etablert et fagmiljø som jobber med å samle inn data for overvåking av nettverk og IKT-systemer.

Deler av rapporten Riksrevisjonen har laget er unntatt offentlighet av hensyn til nettopp IT-sikkerhet. Etter å ha gjort funnene har de også informert helseforetakene om sårbarhetene. Mange har blitt utbedret nå, men det vil i flere tilfeller ta tid å løse de underliggende problemene, ifølge Riksrevisjonen.

– Styringen av informasjonssikkerhetsområdet i helseregionen står ikke i samsvar med betydningen IKT har for sykehusdriften, sier Foss.

Les også: NVE får kritikk av Riksrevisjonen

Uklarheter

Blant annet har ikke regionene jobbet systematisk med opprydning og utfasing av eldre systemer og tilganger. Riksrevisjonens datasnokere oppnådde tilgang og fikk mange videre veier inn i helseregionens systemer via gamle brukerkontoer. Satt opp mot daglig drift og innføring av nye systemer, har det ikke blitt prioritert å rydde opp i disse.

Uklare ansvarsforhold og uklar oppgavefordeling har heller ikke gjort dette arbeidet noe lettere, tror Riksrevisjonen. Ledelsen i de regionale helseforetakene og deres underliggende foretak har mangelfull informasjon om reell sikkerhetstilstand og -risiko. De regionale helseforetakene har ikke fulgt opp IT-sikkerhetsarbeidet godt nok, fastslår Riksrevisjonen.

Samtidig har IKT- og helsepersonell svekket sikkerhet ved blant annet å sette svake passord, dele tilganger og gi tilganger til mer enn hva som er nødvendig for å utføre oppgavene, samt ved å ta snarveier. E-læringskursene, som er gjengs opplæringstiltak, er i liten grad tilpasset den enkelte brukers situasjon. Ifølge Riksrevisjonen er det stor sannsynlighet for at en angriper kunne fått ansatte til å klikke på lenker eller laste ned ondsinnet programvare.

– Vi har inntrykk av at IKT-sikkerhet ikke er løftet høyt i verken styret eller ledelse, selv om IKT i dag på mange måter er avgjørende for sykehusenes drift. Helse-Norge er på etterskudd i arbeidet, sier Foss.

Les også: – Outsourcing er risikosport om man ikke har orden i eget hus

– Ansvarsfraskrivelse

Riksrevisjonen mener Helse- og omsorgsdepartementet har vært for passive i sin oppfølging av informasjonssikkerhetsarbeid i helseregionene. Blant annet ser det ut til å være lite proaktiv styring, og departementet har ikke innhentet tilstrekkelig informasjon om hvordan krav til IKT-sikkerhet er fulgt opp i de regionale helseforetakene.

«Mange av svakhetene ved IKT-sikkerheten vi avdekket i 2014 og 2015, er fortsatt til stede i helseregionene», skriver Riksrevisjonen.

Tilsvaret Riksrevisjonen fikk fra departementet på dette punktet holder ikke mål, mener Per-Kristian Foss.

– Statsråden sier i Helse- og omsorgsdepartementet ikke har operativt ansvar på området. Det vet vi, men undersøkelsene avdekket alvorlige avvik på vesentlige områder som har vært kjent lenge. Departementet har i alle fall et ansvar for å holde seg informert på området, når vi kan fastslå at lover og forskrifter er brutt. Da nytter det ikke å skyve ansvaret fra seg, slik vi mener departementet har gjort, sier Foss.

Les også: Helseminister Bent Høie vil ikke ta ansvar for dataskandalen i Helse Sør-Øst – sier sikkerhet er styrets ansvar [2017]

Oppfølging

Riksrevisjonen anbefaler blant annet at helseforetakene nøster opp i ansvarsfordeling, samt rydder systematisk i gamle systemer og sensitive opplysninger. Den anbefaler at de regionale helseforetakene tar større ansvar for samordning i egen region og sørger for nødvendig fremdrift i forbedringsarbeidet, og at departementet følger opp at de regionale helseforetakene oppnår et sikkerhetsnivå i tråd med lovkrav. Departementet kan vurdere hvilken rolle HelseCERT og Direktoratet for e-helse kan få innenfor IT-sikkerhet, mener Riksrevisjonen.

Overfor NTB innrømmer helseminister Bent Høie nå at det ikke er gjort nok for å sikre IKT-systemene. Han sier han selv vil følge det opp i 2021.

Artikkelen er oppdatert kl. 15:20, lagt til siste avsnitt med Bent Høie.

Var dette interessant? Vil du dele den med noen andre?
15.12.2020
14:38
15.12.2020 15:24



Mest lest

Alf Jørgen Schnell og Ninthu Paramlingam i kollektivet Reduser Husleia mener mange lever i uverdige boforhold på leiemarkedet. Bildet innfelt er hentet fra annonsen det et kott med skyvedører tilbys for 6.200 kroner måneden.

Alf Jørgen Schnell og Ninthu Paramlingam i kollektivet Reduser Husleia mener mange lever i uverdige boforhold på leiemarkedet. Bildet innfelt er hentet fra annonsen det et kott med skyvedører tilbys for 6.200 kroner måneden.

Ida Bing og husleie.no

Dette «klesskapet» ble leid ut for 6.200 kroner i måneden: – Leiemarkedet blir bare verre og verre

SYKEMELDT: Da kollegaene ble permittert stoppet også bedriften å betale sin del av sykelønna til Frank Robert Neerland.

SYKEMELDT: Da kollegaene ble permittert stoppet også bedriften å betale sin del av sykelønna til Frank Robert Neerland.

Aina Fladset

Frank Robert ble fratatt sykelønn da bedriften permitterte ansatte: – Overraskende

SAKSØKER: Hege Berit Østgård er blant de 231 Industri Energi-medlemmene som går til gruppesøksmål mot Aker BP.

SAKSØKER: Hege Berit Østgård er blant de 231 Industri Energi-medlemmene som går til gruppesøksmål mot Aker BP.

Jan Inge Haga

Hege Berit fikk hakeslepp da bedriften ville fjerne sluttpakken: – Respektløst overfor oss ansatte

TOK KAMPEN: Ann–Helen Pettersen (til venstre) og Randi Stenersen Rasmussen gikk til sak mot arbeidsgiveren da de ble sagt opp som flyplassvektere på Flesland. Nå gir Securitas dem nye jobber i konsernet.

TOK KAMPEN: Ann–Helen Pettersen (til venstre) og Randi Stenersen Rasmussen gikk til sak mot arbeidsgiveren da de ble sagt opp som flyplassvektere på Flesland. Nå gir Securitas dem nye jobber i konsernet.

Paul S Amundsen

Vekterne Ann-Helen og Randi gikk til sak mot arbeidsgiver og reddet både jobben og AFP

Ole Palmstrøm

Permitterte får dagpenger til 1. oktober. Men det blir ikke feriepenger på dagpenger

– Nå skal vi ta oss råd til å besøke den chilenske familien til mannen min så fort det blir forsvarlig å reise, sier Elisabeth Bøckman.

– Nå skal vi ta oss råd til å besøke den chilenske familien til mannen min så fort det blir forsvarlig å reise, sier Elisabeth Bøckman.

Per Flakstad

Vant i retten: Nå får Elisabeth høyere pensjon og råd til å besøke mannens familie

Erik Knudsen er fortvilet over beskjeden han fikk fra kommunen rett før jul.

Erik Knudsen er fortvilet over beskjeden han fikk fra kommunen rett før jul.

Amanda Iversen Orlich/Dagsavisen

Erik mister 9.000 kroner i støtte og kan havne på gata

Håvard Sæbø

Arbeidstilsynet sladder lønna på underbetalte arbeidere. Nå må Røe Isaksen svare på hvorfor

Kjersti Stenseng

Kjersti Stenseng

Jan-Erik Østlie

Arbeiderpartiet har mistet over 5.000 medlemmer

(Illustrasjonsfoto)

(Illustrasjonsfoto)

pressefoto, WizzAir.com

Wizz Air-ansatte i Norge er beskyttet av arbeidsmiljøloven, fastslår Luftfartstilsynet

Forbundsleder i Fellesforbundet, Jørn Eggum.

Forbundsleder i Fellesforbundet, Jørn Eggum.

Jan-Erik Østlie

Regjeringens nye veiselskap kan bli lagt ned. Fire LO-forbund mener det holder med Statens vegvesen

Afaransis Yassin (28) har ingen mulighet til å få økonomisk støtte fra familiemedlemmer. Da blir det nesten umulig å komme inn på boligmarkedet, mener hun.

Afaransis Yassin (28) har ingen mulighet til å få økonomisk støtte fra familiemedlemmer. Da blir det nesten umulig å komme inn på boligmarkedet, mener hun.

Ida Bing

Afaransis (28) får ikke økonomisk hjelp hjemmefra: – Jeg er sjanseløs på boligmarkedet

Meieriansatte får 50 øre i generelt tillegg fra 1. mai i år. Enigheten i lønnsoppgjøret omfatter rundt 2.500 NNN-medlemmer.

Meieriansatte får 50 øre i generelt tillegg fra 1. mai i år. Enigheten i lønnsoppgjøret omfatter rundt 2.500 NNN-medlemmer.

Jan-Erik Østlie

Meieriansatte får ny lønn: Her er resultatet

Tormod Ytrehus

Klubbleder Adrian fikk sparken. Nå får han penger fra LO for å ha noe å leve av fram til rettssaken starter

Debatt

LO og forbundene våkne opp av dvalen og svinge pisken slik at tillitsvalgte og medlemmer våkner opp?, spør Arne Eide.

LO og forbundene våkne opp av dvalen og svinge pisken slik at tillitsvalgte og medlemmer våkner opp?, spør Arne Eide.

Jan-Erik Østlie

«Har LO vendt Arbeiderpartiet ryggen?»

Colourbox.com

Lærere har ikke fått overtidsbetalt under pandemien. Over halvparten har vurdert ny jobb

 Sp-leder Trygve Slagsvold Vedum

Sp-leder Trygve Slagsvold Vedum

Jan-Erik Østlie

Sp lover norsk vaksineproduksjon

Bent Høie

Bent Høie

Leif Martin Kirknes

Skjenkereglene endres: – For tidlig, mener Bent Høie

HOVEDTILLITSVALGT: Lærer Christian Holstad Lilleng ble fratatt 6.000 i lønn ved tap av funksjonstillegg etter kommunesammenslåing mellom kommunene Haram og Ålesund. Han nekter å godta kuttet.

HOVEDTILLITSVALGT: Lærer Christian Holstad Lilleng ble fratatt 6.000 i lønn ved tap av funksjonstillegg etter kommunesammenslåing mellom kommunene Haram og Ålesund. Han nekter å godta kuttet.

Privat

Lønnskutt for lærere: Viktig møte avgjør

Bjørn Inge Bergestuen/Frp

Frp skeptisk til feriepenger for dagpenge-mottakere


Flere saker