Riksrevisjonen testet sårbarheter og fikk kontroll på en betydelig mengde pasientopplysninger i oppfølgingsundersøkelse av IT-sikkerheten på norske sykehus.
– IT-sikkerheten har blitt bedre, men det er kritikkverdig at vi fortsatt finner vesentlige svakheter. Dataangrep kan få store konsekvenser for driften av sykehusene og for pasientenes sikkerhet, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Simulerte dataangrep
I 2020 offentliggjorde Riksrevisjonen en rapport som avdekket vesentlige svakheter i IT-sikkerheten på norske sykehus. En viktig del av undersøkelsen var simulerte dataangrep som ga de som utførte undersøkelsene stor grad av kontroll på IT-systemene i tre av fire helseregioner, og tilgang på store mengder sensitive helseopplysninger i alle regionene.
Funnene var så alvorlige at de resulterte i Riksrevisjonens sterkeste kritikk. Nå har Riksrevisjonen fulgt opp undersøkelsen.
Les oppfølgingsundersøkelsen her
Les undersøkelsen fra 2020 her
Kunne satt systemene ut av spill
En konklusjon er at IT-sikkerheten er styrket. Helse- og omsorgsdepartementet, de regionale helseforetakene og sykehusene har fulgt opp og satt i gang mange tiltak for å utbedre svakhetene Riksrevisjonen avdekket.
– Vi ser at departementet har vært tett på og at samtlige aktører har fulgt opp de alvorlige funnene i vår forrige rapport. Likevel er det mye som gjenstår, sier Schjøtt-Pedersen.
I årets oppfølgingsundersøkelse har Riksrevisjonen gjennomført nye dataangrep i to av Norges fire helseregioner.
I en av regionene kunne man blant annet ha satt sykehusets systemer for lagring av pasientdata ut av spill i en lengre periode. Begge steder kunne man hentet ut store mengder pasientopplysninger, endret data i pasientjournaler eller slettet databaser som medisinske systemer bygger på.
– Det er urovekkende at det nok en gang var såpass enkelt for oss å ta kontroll. Her må IT-sikkerheten skjerpes. Pasienter og innbyggere skal kunne ha tillit til at personopplysninger ikke kommer på avveier, sier Schjøtt-Pedersen.
Krevende sak
I sitt tilsvar til undersøkelsen understreker helse- og omsorgsministeren at dette har vært og er en svært krevende sak som vil kreve tett oppfølging videre. Statsråden skriver blant annet at helseregionene må
- forbedre sikker tilgangsstyring og autentisering av brukere
- sikre at systemer settes opp slik at de er minst mulig sårbare for dataangrep
- videreutvikle kontroll med hva som kan kobles til nettverk på sykehus, alt fra PC-er til medisinsk-teknisk utstyr
- videreutvikle overvåkning som kan oppdage ondsinnet aktivitet.
– Dette er viktige signaler fra statsråden, men departementet, helseregionene og de enkelte sykehusene har en vei å gå før de er i mål. Rikforbedre sikker tilgangsstyring og autentisering av brukere
Dataangrepene Riksrevisjonen har gjennomført, er kun simuleringer. Det betyr at ingen data har vært i fare eller kommet på avveier ved gjennomføring av testene.
Gjennomføring ble avtalt med den enkelte virksomhet før vi startet. Etter angrepene hadde Riksrevisjonen møter med de involverte aktørene for å gi dem et grunnlag til å rette opp sikkerhetshullene som de fant.
