Leif Martin Kirknes

leif.kirknes@lomedia.no

Helseforetakene får sterk kritikk for IT-sikkerhet av Riksrevisjonen. Riksrevisjonens folk klarte å få høy grad av kontroll over IKT-infrastrukturen i tre av fire helseregioner, samt tilgang til store antall helseopplysninger i alle regioner.

Riksrevisjonen karakteriserer funnene som «svært alvorlig» og «sterkt kritikkverdig».

Med tilgangsnivået de oppnådde i systemene, kunne de blant annet stoppet og utilgjengeliggjort systemer og utstyr kritiske for driften av sykehus. De kunne slettet eller utilgjengeliggjort opplysninger nødvendige for pasientbehandling, manipulert opplysninger om pasienter og stjålet store mengder helseopplysninger.

I den fjerde regionen oppnådde de ikke samme grad av kontroll over IKT-systemer, men fikk likevel tilgang til store mengder helseopplysninger via PC-er i regionen.

En av regionene oppdaget flere av aktivitetene i angrepssimuleringen, de andre tre ante lite eller ingenting. Riksrevisjonen hadde gått inn for å benytte «støyende» metoder og ikke forsøke å gjemme seg.

– Våre folk gjorde et iherdig forsøk på å bli oppdaget, men de klarte selv ikke dét, sier riksrevisor Per-Kristian Foss.

Akuelt: PST: Russiske aktører sto bak datainnbruddet på Stortinget

Lite oversikt

Dersom helseopplysninger eller IKT-systemer manipuleres eller gjøres utilgjengelige, kan det forårsake pasientskader. Helseopplysninger på avveie kan få alvorlige konsekvenser, minner Riksrevisjonen om.

Årsaken til at de greide å få tilgang er blant annet mangel på oversikt over utstyr, mangel på kontroll med brukere og tilgangsrettigheter, samt hvor raskt programvare ble oppdatert.

Det er forskjell mellom regionene i hvor svakhetene ligger. Regionen som var best i klassen, hadde etablert et fagmiljø som jobber med å samle inn data for overvåking av nettverk og IKT-systemer.

Deler av rapporten Riksrevisjonen har laget er unntatt offentlighet av hensyn til nettopp IT-sikkerhet. Etter å ha gjort funnene har de også informert helseforetakene om sårbarhetene. Mange har blitt utbedret nå, men det vil i flere tilfeller ta tid å løse de underliggende problemene, ifølge Riksrevisjonen.

– Styringen av informasjonssikkerhetsområdet i helseregionen står ikke i samsvar med betydningen IKT har for sykehusdriften, sier Foss.

Les også: NVE får kritikk av Riksrevisjonen

Uklarheter

Blant annet har ikke regionene jobbet systematisk med opprydning og utfasing av eldre systemer og tilganger. Riksrevisjonens datasnokere oppnådde tilgang og fikk mange videre veier inn i helseregionens systemer via gamle brukerkontoer. Satt opp mot daglig drift og innføring av nye systemer, har det ikke blitt prioritert å rydde opp i disse.

Uklare ansvarsforhold og uklar oppgavefordeling har heller ikke gjort dette arbeidet noe lettere, tror Riksrevisjonen. Ledelsen i de regionale helseforetakene og deres underliggende foretak har mangelfull informasjon om reell sikkerhetstilstand og -risiko. De regionale helseforetakene har ikke fulgt opp IT-sikkerhetsarbeidet godt nok, fastslår Riksrevisjonen.

Samtidig har IKT- og helsepersonell svekket sikkerhet ved blant annet å sette svake passord, dele tilganger og gi tilganger til mer enn hva som er nødvendig for å utføre oppgavene, samt ved å ta snarveier. E-læringskursene, som er gjengs opplæringstiltak, er i liten grad tilpasset den enkelte brukers situasjon. Ifølge Riksrevisjonen er det stor sannsynlighet for at en angriper kunne fått ansatte til å klikke på lenker eller laste ned ondsinnet programvare.

– Vi har inntrykk av at IKT-sikkerhet ikke er løftet høyt i verken styret eller ledelse, selv om IKT i dag på mange måter er avgjørende for sykehusenes drift. Helse-Norge er på etterskudd i arbeidet, sier Foss.

Les også: – Outsourcing er risikosport om man ikke har orden i eget hus

– Ansvarsfraskrivelse

Riksrevisjonen mener Helse- og omsorgsdepartementet har vært for passive i sin oppfølging av informasjonssikkerhetsarbeid i helseregionene. Blant annet ser det ut til å være lite proaktiv styring, og departementet har ikke innhentet tilstrekkelig informasjon om hvordan krav til IKT-sikkerhet er fulgt opp i de regionale helseforetakene.

«Mange av svakhetene ved IKT-sikkerheten vi avdekket i 2014 og 2015, er fortsatt til stede i helseregionene», skriver Riksrevisjonen.

Tilsvaret Riksrevisjonen fikk fra departementet på dette punktet holder ikke mål, mener Per-Kristian Foss.

– Statsråden sier i Helse- og omsorgsdepartementet ikke har operativt ansvar på området. Det vet vi, men undersøkelsene avdekket alvorlige avvik på vesentlige områder som har vært kjent lenge. Departementet har i alle fall et ansvar for å holde seg informert på området, når vi kan fastslå at lover og forskrifter er brutt. Da nytter det ikke å skyve ansvaret fra seg, slik vi mener departementet har gjort, sier Foss.

Les også: Helseminister Bent Høie vil ikke ta ansvar for dataskandalen i Helse Sør-Øst – sier sikkerhet er styrets ansvar [2017]

Oppfølging

Riksrevisjonen anbefaler blant annet at helseforetakene nøster opp i ansvarsfordeling, samt rydder systematisk i gamle systemer og sensitive opplysninger. Den anbefaler at de regionale helseforetakene tar større ansvar for samordning i egen region og sørger for nødvendig fremdrift i forbedringsarbeidet, og at departementet følger opp at de regionale helseforetakene oppnår et sikkerhetsnivå i tråd med lovkrav. Departementet kan vurdere hvilken rolle HelseCERT og Direktoratet for e-helse kan få innenfor IT-sikkerhet, mener Riksrevisjonen.

Overfor NTB innrømmer helseminister Bent Høie nå at det ikke er gjort nok for å sikre IKT-systemene. Han sier han selv vil følge det opp i 2021.

Artikkelen er oppdatert kl. 15:20, lagt til siste avsnitt med Bent Høie.