SIKKERHET

Riksrevisjonen simulerte dataangrep mot helseforetakene: Svært alvorlige mangler

Gjennom et simulert dataangrep klarte Riksrevisjonen å få høy grad av kontroll over datasystemene i tre av fire helseregioner.

Riksrevisor Per-Kristian Foss betegner manglene i datasikkerheten hos helseforetakene som svært alvorlige.
Riksrevisor Per-Kristian Foss betegner manglene i datasikkerheten hos helseforetakene som svært alvorlige. Foto: Stian Lysberg Solum / NTB
15. des. 2020 - 12:28 | Endret 15. des. 2020 - 14:14

Det simulerte dataangrepet ga Riksrevisjonen tilgang til store mengder sensitive helseopplysninger i alle regioner.

En reell angriper kunne ifølge Riksrevisjonen ha gjort stor skade. I tre av regionene ville det ha vært mulig for en slik angriper å:

  • blokkere kritiske systemer på sykehusene
  • slette eller utilgjengeliggjøre opplysninger som er nødvendige for behandling av pasienter
  • manipulere opplysninger om pasienter
  • stjele store mengder helseopplysninger

– Undersøkelsen avdekker alvorlige avvik på vesentlige områder, sier riksrevisor Per-Kristian Foss.

Svært alvorlige mangler

Foss viser til at helseopplysninger på avveie kan få alvorlige konsekvenser, og at angrep på helseforetakenes datasystemer kan forårsake pasientskader.

Ifølge ham står ikke innsatsen i samsvar til hvor viktig datasikkerhet er i helsevesenet.

– Helseregionene er på etterskudd, sier Foss.

– De har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger, og de mangler oversikt over sikkerheten i IKT-infrastrukturen.

Riksrevisjonen betegner manglene som «svært alvorlige». Det er den sterkeste formen for kritikk Riksrevisjonen kan gi.

– En stor sikkerhetsskandale

Freddy Øvstegård, som representerer SV i Stortingets kontroll- og konstitusjonskomité, reagerer kraftig.

– Dette er en stor sikkerhetsskandale. Regjeringen har ikke sikret sensitive helseopplysninger i tråd med loven, noen av våre viktigste IKT-systemer er sårbare for angrep. Det er dypt urovekkende, sier han.

Han mener helse- og omsorgsminister Bent Høie (H) driver med ansvarsfraskrivelse i saken.

I et svar til Riksrevisjonen viser Høie til at departementet ikke har operativt ansvar på feltet. Riksrevisjonen mener for sin del at departementet har opptrådt for passivt.

– Departementet har iallfall et ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier Foss.

– Da nytter det ikke å bare skyve ansvaret fra seg, slik vi mener departementet gjør, sier riksrevisoren.

Lover å følge opp

Overfor NTB innrømmer Høie at det ikke er gjort nok for å sikre IKT-systemene.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier han.

Ifølge Høie er arbeidet allerede gang. Han forsikrer om at han selv vil følge opp i 2021.

– Dette er en alvorlig rapport. Men det er også en veldig nyttig rapport, sier helse- og omsorgsministeren.

– Det var ingen hvileskjær for noen av oss som var involvert de to årene selve anskaffelsen pågikk, forteller Ragnhild Hauge, leder for forsvarsektoren i Capgemini Norge om det mye omtalte gigantanbudet som Forsvaret stanset i fjor. Selskapet har vunnet flere mindre kontrakter med Forsvaret siden da, og lært av prosessen, forteller hun.
Les også

Mast-avlysning: – Risiko for at det skaper slitasje

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.