Abonner
SIKKERHET

Riksrevisjonen simulerte dataangrep mot helseforetakene: Svært alvorlige mangler

Gjennom et simulert dataangrep klarte Riksrevisjonen å få høy grad av kontroll over datasystemene i tre av fire helseregioner.

Riksrevisor Per-Kristian Foss betegner manglene i datasikkerheten hos helseforetakene som svært alvorlige.
Riksrevisor Per-Kristian Foss betegner manglene i datasikkerheten hos helseforetakene som svært alvorlige. Foto: Stian Lysberg Solum / NTB
Del
Kommenter
NTB
Marius B. JørgenrudMarius B. JørgenrudJournalist
15. des. 2020 - 12:28 | Endret 15. des. 2020 - 14:14

Det simulerte dataangrepet ga Riksrevisjonen tilgang til store mengder sensitive helseopplysninger i alle regioner.

En reell angriper kunne ifølge Riksrevisjonen ha gjort stor skade. I tre av regionene ville det ha vært mulig for en slik angriper å:

  • blokkere kritiske systemer på sykehusene
  • slette eller utilgjengeliggjøre opplysninger som er nødvendige for behandling av pasienter
  • manipulere opplysninger om pasienter
  • stjele store mengder helseopplysninger
Artikkelen fortsetter etter annonsen
annonsørinnhold
Computas
30.000 strømmet til Las Vegas for Google Cloud Next. Dette var høydepunktene

– Undersøkelsen avdekker alvorlige avvik på vesentlige områder, sier riksrevisor Per-Kristian Foss.

Svært alvorlige mangler

Foss viser til at helseopplysninger på avveie kan få alvorlige konsekvenser, og at angrep på helseforetakenes datasystemer kan forårsake pasientskader.

Ifølge ham står ikke innsatsen i samsvar til hvor viktig datasikkerhet er i helsevesenet.

– Helseregionene er på etterskudd, sier Foss.

– De har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger, og de mangler oversikt over sikkerheten i IKT-infrastrukturen.

Riksrevisjonen betegner manglene som «svært alvorlige». Det er den sterkeste formen for kritikk Riksrevisjonen kan gi.

– En stor sikkerhetsskandale

Freddy Øvstegård, som representerer SV i Stortingets kontroll- og konstitusjonskomité, reagerer kraftig.

– Dette er en stor sikkerhetsskandale. Regjeringen har ikke sikret sensitive helseopplysninger i tråd med loven, noen av våre viktigste IKT-systemer er sårbare for angrep. Det er dypt urovekkende, sier han.

Han mener helse- og omsorgsminister Bent Høie (H) driver med ansvarsfraskrivelse i saken.

I et svar til Riksrevisjonen viser Høie til at departementet ikke har operativt ansvar på feltet. Riksrevisjonen mener for sin del at departementet har opptrådt for passivt.

– Departementet har iallfall et ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier Foss.

– Da nytter det ikke å bare skyve ansvaret fra seg, slik vi mener departementet gjør, sier riksrevisoren.

Lover å følge opp

Overfor NTB innrømmer Høie at det ikke er gjort nok for å sikre IKT-systemene.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Skal knekke Silicon Valley-koden: – En «fast track» for global skalering
Skal knekke Silicon Valley-koden: – En «fast track» for global skalering

– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier han.

Ifølge Høie er arbeidet allerede gang. Han forsikrer om at han selv vil følge opp i 2021.

– Dette er en alvorlig rapport. Men det er også en veldig nyttig rapport, sier helse- og omsorgsministeren.

Foran fra venstre: Ragnhild Hauge (Capgemini) og Cathrine Devold (Forsvarsmateriell). Bak fra venstre: Kjølv Eikeland Fossum (kontraktsavd. IKT-kapasiteter/Forsvarsmateriell), Øystein Refsnes (VP/Head of Public Capgemini), Jannicke Westgaard (Senior Advisor Capgemini), Caroline Paludan Johansen (leveransekoordinator Mime/Forsvarsmateriell) og Sukhdev Singh (leveransekoordinator Mime/Forsvarsmateriell).
Les også

Mime/Mast: Sikret avtale for Forsvarets gigantprogrammer

Les mer om:
HELSERIKSREVISJONENSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvilken ansettelsesform har du takket ja til?
Les mer
Hvilken ansettelsesform har du takket ja til?
    En tjeneste fra