Det simulerte dataangrepet ga Riksrevisjonen tilgang til store mengder sensitive helseopplysninger i alle regioner.
En reell angriper kunne ifølge Riksrevisjonen ha gjort stor skade. I tre av regionene ville det ha vært mulig for en slik angriper å:
- blokkere kritiske systemer på sykehusene
- slette eller utilgjengeliggjøre opplysninger som er nødvendige for behandling av pasienter
- manipulere opplysninger om pasienter
- stjele store mengder helseopplysninger
– Undersøkelsen avdekker alvorlige avvik på vesentlige områder, sier riksrevisor Per-Kristian Foss.
Svært alvorlige mangler
Foss viser til at helseopplysninger på avveie kan få alvorlige konsekvenser, og at angrep på helseforetakenes datasystemer kan forårsake pasientskader.
Ifølge ham står ikke innsatsen i samsvar til hvor viktig datasikkerhet er i helsevesenet.
– Helseregionene er på etterskudd, sier Foss.
– De har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger, og de mangler oversikt over sikkerheten i IKT-infrastrukturen.
Riksrevisjonen betegner manglene som «svært alvorlige». Det er den sterkeste formen for kritikk Riksrevisjonen kan gi.
– En stor sikkerhetsskandale
Freddy Øvstegård, som representerer SV i Stortingets kontroll- og konstitusjonskomité, reagerer kraftig.
– Dette er en stor sikkerhetsskandale. Regjeringen har ikke sikret sensitive helseopplysninger i tråd med loven, noen av våre viktigste IKT-systemer er sårbare for angrep. Det er dypt urovekkende, sier han.
Han mener helse- og omsorgsminister Bent Høie (H) driver med ansvarsfraskrivelse i saken.
I et svar til Riksrevisjonen viser Høie til at departementet ikke har operativt ansvar på feltet. Riksrevisjonen mener for sin del at departementet har opptrådt for passivt.
– Departementet har iallfall et ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier Foss.
– Da nytter det ikke å bare skyve ansvaret fra seg, slik vi mener departementet gjør, sier riksrevisoren.
Lover å følge opp
Overfor NTB innrømmer Høie at det ikke er gjort nok for å sikre IKT-systemene.
– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier han.
Ifølge Høie er arbeidet allerede gang. Han forsikrer om at han selv vil følge opp i 2021.
– Dette er en alvorlig rapport. Men det er også en veldig nyttig rapport, sier helse- og omsorgsministeren.
Klar for Stortinget: Forslaget til ny ekom-lov endret etter høringsinnspill