Uvettig lagring av pasientinfo på mobil

Mobile enheter gir bedre pasientbehandling. Men det slurves med IT-sikkerheten.

I samarbeid med British Journal of Healthcare Computing & Information Management har Pointsec gjennomført en undersøkelse om hvordan man i britiske helseinstitusjoner omgås følsomme opplysninger med mobilt utstyr. Pointsec er opptatt av dette, siden selskapet utvikler og leverer løsninger for å verne informasjon lagret på bærbare enheter som USB-minnepinner, mobiltelefoner, PDA-er og bærbare PC-er.

Undersøkelsen heter Mobile device usage in the healthcare sector, og ble publisert før helgen.

Undersøkelsen viser at 20 prosent av enhetene som brukes til lagring av data ikke har beskyttelse i det hele tatt, mens 40 prosent bare har adgangsbeskyttelse i form av passord.

Bare en av fire respondenter i undersøkelsen kombinerer passord med andre sikkerhetstiltak som kryptering, biometri, smartkort og tofaktorautentisering. Respondentene var blant annet informasjonsansvarlige, IT-ansvarlige og medisinsk personell. To tredjedeler av 117 som svarte på undersøkelsen var tilknyttet den offentlige helsesektoren NHS, mens en tredjedel var leverandører til helsesektoren.

De mest brukte mobile enhetene for å lagre data var USB-minnepinner og lignende (76 prosent), bærbare PC-er (69 prosent), PDA-er og Blackberry-enheter (51 prosent), smarttelefoner (9 prosent) og mobiltelefoner (2 prosent).

Totalt eide 42 prosent av de spurte minst en av de enhetene de brukte på jobb selv, mens halvparten av respondentene innen NHS brukte sine egne enheter til daglig. De typer data som var mest lagret på disse enhetene var personlige kontaktopplysninger (80 prosent), mens tre fjerdedeler lagret arbeidsrelaterte kontaktopplysninger. Nesten to tredjedeler lagret organisasjonsdata og så mye som en femtedel av helsepersonellet lagret sikkerhetsopplysninger som blant annet passord, PIN-koder og bankkontoopplysninger, på enhetene.

Omtrent halvparten av helsepersonellet i undersøkelsen bar med seg pasientopplysninger på en mobil enhet.

Flertallet av disse brukte kun passord som sikkerhetsfunksjon. En lege svarte at denne sikkerhetsfunksjonen var OK fordi vedkommende brukte «initialene til en av pasientene som sitt passord».

To femtedeler brukte et høyere sikkerhetsnivå, mens noen få ikke hadde noen sikkerhetsfunksjon i det hele tatt.

Noen av kommentarene fra de spurte inneholdt en påstand om at det var minimal sjanse for tap eller tyveri og misbruk av dataene. En skrev «mine pasienter har neppe råd til å betale for eventuell utpressing og ville sannsynligvis ikke bry seg om at andre viste noe» (om deres journaler). Et par respondenter mente at sikkerhetsrisikoen ikke var verre enn om informasjonen var lagret på papir.

Over halvparten uttrykte bekymring over at pasientopplysninger ble oppbevart på mobile enheter.

Den største bekymringen var at en enhet som ble mistet eller stjålet kunne skade pasientkonfidensialiteten (57 prosent) og at informasjonen «kunne komme i uønskedes hender og bli misbrukt» (50 prosent). Dette betyr imidlertid at et større antall ikke uttrykte noen bekymring og mente at sikkerheten var tilfredsstillende.

Antallet enheter som var mistet, var ifølge Pointsec overraskende høy. En fjerdedel av respondentene hadde selv mistet en enhet, og et likende antall kjente til en kollega som hadde mistet en. Omtrent halvparten av de som hadde mistet en enhet hadde funnet den igjen senere og sa at hendelsen ikke fikk konsekvenser. Et mindre antall kolleger opplevde imidlertid disiplinære tiltak, og en som hadde mistet en PDA tilhørende en sentral lokal myndighetsperson hadde mistet jobben.

Undersøkelsen viser at et stort antall mennesker bruker sine egne enheter til å ta med seg data om jobbkontakter, organisasjonen og til og med medisinske journaler.

To tredjedeler har ingen eller mangelfull beskyttelse og det later til å være manglende bevissthet rundt sikkerhetsrisikoen blant et stort antall brukere. Ca 80 prosent svarte at det fantes en sikkerhets-policy i deres organisasjon, men undersøkelsen viser klart at det er en utbredt og alvorlig svakhet i hvordan disse håndterer risikoen ved bruk av mobile enheter, og hvordan de utøves i praksis.

Frank Horntvedt i Pointsec Norge mener det er liten grunn til å tro at norsk helsepersonell har en sikrere omgang med mobile enheter enn sine britiske kolleger.

– Teknologiske fremskritt har gitt mulighet for lagring av flere gigabyte med informasjon, ikke bare i slike enheter, men også i MP3-spillere, digitalkameraer, diktafoner osv, sier Horntvedt. – Den raskt økende bruken av små enheter med stor lagringskapasitet gjør det svært enkelt å ta med seg store mengder sensitive data om institusjoner, ansatte og pasienter, uten at noen har kontroll over det.

Horntvedt understreker at bare passord gir for lite vern. Passord må suppleres av andre sikkerhetstiltak.

– Med enkel programvare tilgjengelig på Internett, bruker hackere få sekunder på å omgå et enkelt passord.

Horntvedt peker på hvordan IT er i ferd med å revolusjonere helsesektoren, blant annet gjennom digitalisering av pasientinformasjon og bilder og økt bruk av mobile arbeids-, lagrings- og kommunikasjonsenheter i institusjonene.

– Hovedformålet er mer effektiv og skånsom pasientbehandling, og dermed bedre utnyttelse av helseresursene. Det handler om å gjøre informasjon lettere tilgjengelig – uavhengig av tid og sted, ved bruk av ny teknologi. Helseinstitusjonene bruker derfor stadig flere mobile dataenheter, og må se sitt ansvar for å beskytte all sensitiv informasjon mot uvedkommende.

Til toppen