IT-direktør: Regeringen glemmer cybersikkerhed i sundhedssektoren

DEBAT: Der afsættes 1,4 milliarder kroner til øget cybersikkerhed i forsvarsforliget, mens sikkerheden for patienternes data negligeres, skriver direktør Leif Jensen. Men lander de personfølsomme patientdata i forkerte hænder, kan de bruges til alt fra afpresning til identitetstyveri.

Af Leif Jensen
Administrerende direktør for Kaspersky Lab i Norden

Presset på sundhedssektoren stiger. På den ene side skal sundhedsvæsenets systemer være langt mere effektive for færre penge.

På den anden side ønsker patienterne større adgang til services, individualiserede forløb, gennemsigtighed og tilgængelighed. De vil have mulighed for at gå nemt fra et institut til et andet og være sikre på, at deres informationer følger med, uden at de selv skal gentage dem eller sørge for det.

For at imødekomme de høje krav til omkostningseffektivitet og servicering af patienterne digitaliserer og forbinder man systemer og udstyr. For når alle data ligger online, er de nemmere at tilgå, hvilket også sparer tid og ressourcer.

Men man glemmer sikkerheden. For i stedet for at passe på de yderst vigtige patientdata ved kun at bruge lukkede systemer, åbner man med onlinesystemer op for, at hackere kan inficere hospitalernes udstyr og systemer med alverdens malware – blandt andet ransomware, som er en virus, hvor hackere låser systemet og først (måske) låser det op, når man betaler løsesum.

Sundhedsvæsenet ligger inde med oplysninger, der er livskritiske, og man kan derfor blive nødt til at betale løsesummen for at få oplysningerne tilbage. Dét er ikke særlig omkostningseffektivt.

Og lander de personfølsomme patientdata i forkerte hænder, kan de bruges til alt fra afpresning til identitetstyveri.

Flere penge til sikkerhed – bare ikke i sundhedsvæsenet
2017 bød på flere teknologiske sårbarheder i sundhedsvæsenet. Kaspersky Lab har på globalt plan opdaget åben adgang til medicinsk udstyr og software i sundhedssektoren, hvilket desværre gav hackere adgang til fortrolige oplysninger og vigtige patientdata.

Både i England og USA er hospitaler blevet udsat for ransomware-angreb. Kommer det samme til at ske i Danmark? Højst sandsynsligt, hvis sundhedsvæsenet ikke bliver bedre til at sikre udstyr og processer.

Sikkerhed er generelt kommet højere på agendaen i Danmark. I den kommende finanslov bliver der afsat 600 millioner kroner til fængselssektoren, så de kan ansætte flere fængselsfunktionærer og øge sikkerheden – hvilket giver god mening. Samtidig bliver der afsat 1,4 milliarder kroner til øget cybersikkerhed i forsvarsforliget – hvilket i den digitale virkelighed ligeledes giver god mening.

Selvom det er et stort skridt i den rigtige retning, at der nu investeres en god sum penge i landets cybersikkerhed, så undrer det mig stadig, at et så udsat område som sundhedssektoren bliver glemt eller negligeret rent sikkerhedsmæssigt. Her er der ikke øremærket penge i finansloven eller forsvarsforliget til øget sikkerhed, selvom behovet er enormt.

Ny digital strategi er et (lille) skridt på vejen
Regeringen, Danske Regioner og KL har i januar offentliggjort en ny strategi for digital sundhed. Det er et initiativ, man kun kan byde velkommen med åbne arme. For nu sker der noget – og vel også på sikkerhedsfronten. Eller gør der?

Der er afsat 77 millioner kroner til udrulningen af digitalisering i sundhedssektoren. Pengene skal blandt andet gå til at skabe bedre sammenhæng og informationsdeling på tværs af de forskellige instanser, man som patient kan være i kontakt med, hvilket vil gøre det væsentligt lettere at være patient i fremtiden. Og det kan vi nok alle værdsætte.

Min bekymring opstår for det første, når jeg tænker over beløbet: 77 millioner kroner. Sammenligner man med de 600 millioner, fængelssektoren får, så er beløbet forsvindende lille.

Og her opstår min anden bekymring så: Pengene skal fordeles på hele 27 initiativer og skal blandt andet også bruges på at udvikle helt nye løsninger. Pengene er altså slet ikke øremærkede til sikkerhed.

Sundhedsminister Ellen Trane Nørby (V) kommenterede for nyligt i Mandag Morgen:

”Sikkerheden skal bare være i orden. Hvis ikke borgerne stoler på, at sikkerheden er i orden, kommer vi til at opleve modstand mod det her, som ellers er en stor forbedring for alle.”

Det kan jeg kun give hende ret i. Men desværre bliver sikkerhed opfattet som fyldestgørende, hvis man opretter en log-in-funktion, der logger oplysninger om alle, der har kigget på patientens data. Og det er langtfra nok. For en hacker logger ikke nødvendigvis ind. Og selv hvis hackeren gjorde med et stjålet password, så ville man først vide det, når det var for sent.

Der skal lægges en strategi for, hvordan systemer og processer i sundhedssektoren sikres ordentligt, og sikkerheden skal bygges ind i de nye løsninger fra starten af. Det koster.

Så i takt med at vi opruster sikkerheden på flere forskellige områder i den forestående finanslov, skulle vi måske også overveje at øremærke et par millioner specifikt til cybersikkerheden i sundhedssektoren – som uden tvivl bliver et mål for hackerangreb i fremtiden.

Forrige artikel IT-Branchen: Borgeren udgør den måske største digitale sikkerhedsrisiko IT-Branchen: Borgeren udgør den måske største digitale sikkerhedsrisiko Næste artikel Bosse: Gammeldags suverænitet betyder ingen indflydelse Bosse: Gammeldags suverænitet betyder ingen indflydelse
  • Anmeld

    Anne-Marie Krogsbøll · ufrivillig datamalkeko for dataherremænd og regeringens aktiejere.

    Tak for et godt og yderst aktuelt indlæg..

    Netop nu skal vi høre vore myndigheder insistere på gradvist at tvangshente noget så uhyre følsomt som vore genomer til det nye genomcenter - for det ønsker medicinalindustrien (og vore ministre har mange af dem aktier i medicinalindustrien).

    Uanset hvad, så er det nærmest en krænkelse af fundamentale menneskerettigheder. Men derudover er det altså utroligt, at man alligevel - på trods af alle løfter - ikke for alvor tager datasikkerheden alvorligt, sådan som det beskrives i indlægget.

    Sammenligningen med ressourcerne til fængselsvæsnet viser jo tydeligt, hvor grotesk uanstændig myndighedernes respekt for vores privatliv er.

    Den manglende fokus på datasikkerheden illustreres også af, at man i forbindelse med driften af Sundhedsplatformen sender vore personfølsomme sundhedsdata til Sundhedsplatformens ejer i USA, hvor det er meget svært at passe på dem.

    Vi kan ganske enkelt ikke stole på vore myndigheder på det punkt - de ønsker ganske enkelt at afskaffe retten til privatliv - ganske som totalitære stater gør.

Kampflyvalg: Boeing smider håndklædet i ringen

Kampflyvalg: Boeing smider håndklædet i ringen

AFSLUTNING: I mere end tre år har flyproducenten Boeing forsøgt at få adgang til beslutningsgrundlaget bag Danmarks valg af konkurrentens kampfly. Nu opgiver Boeing sagen, som de danske myndigheder har brugt mindst 2.000 timer på.