Abonner
SIKKERHET

Riksrevisjonen simulerte dataangrep mot helseforetakene: Svært alvorlige mangler

Gjennom et simulert dataangrep klarte Riksrevisjonen å få høy grad av kontroll over datasystemene i tre av fire helseregioner.

Riksrevisor Per-Kristian Foss betegner manglene i datasikkerheten hos helseforetakene som svært alvorlige.
Riksrevisor Per-Kristian Foss betegner manglene i datasikkerheten hos helseforetakene som svært alvorlige. Foto: Stian Lysberg Solum / NTB
Del
Kommenter
NTB
Marius B. JørgenrudMarius B. JørgenrudJournalist
15. des. 2020 - 12:28 | Endret 15. des. 2020 - 14:14

Det simulerte dataangrepet ga Riksrevisjonen tilgang til store mengder sensitive helseopplysninger i alle regioner.

En reell angriper kunne ifølge Riksrevisjonen ha gjort stor skade. I tre av regionene ville det ha vært mulig for en slik angriper å:

  • blokkere kritiske systemer på sykehusene
  • slette eller utilgjengeliggjøre opplysninger som er nødvendige for behandling av pasienter
  • manipulere opplysninger om pasienter
  • stjele store mengder helseopplysninger

– Undersøkelsen avdekker alvorlige avvik på vesentlige områder, sier riksrevisor Per-Kristian Foss.

Svært alvorlige mangler

Foss viser til at helseopplysninger på avveie kan få alvorlige konsekvenser, og at angrep på helseforetakenes datasystemer kan forårsake pasientskader.

Ifølge ham står ikke innsatsen i samsvar til hvor viktig datasikkerhet er i helsevesenet.

– Helseregionene er på etterskudd, sier Foss.

– De har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger, og de mangler oversikt over sikkerheten i IKT-infrastrukturen.

Riksrevisjonen betegner manglene som «svært alvorlige». Det er den sterkeste formen for kritikk Riksrevisjonen kan gi.

– En stor sikkerhetsskandale

Freddy Øvstegård, som representerer SV i Stortingets kontroll- og konstitusjonskomité, reagerer kraftig.

Artikkelen fortsetter etter annonsen
annonsørinnhold
DNV Business Assurance
ISO 27001 hjelper deg å sette sikkerhet i system

– Dette er en stor sikkerhetsskandale. Regjeringen har ikke sikret sensitive helseopplysninger i tråd med loven, noen av våre viktigste IKT-systemer er sårbare for angrep. Det er dypt urovekkende, sier han.

Han mener helse- og omsorgsminister Bent Høie (H) driver med ansvarsfraskrivelse i saken.

I et svar til Riksrevisjonen viser Høie til at departementet ikke har operativt ansvar på feltet. Riksrevisjonen mener for sin del at departementet har opptrådt for passivt.

– Departementet har iallfall et ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier Foss.

– Da nytter det ikke å bare skyve ansvaret fra seg, slik vi mener departementet gjør, sier riksrevisoren.

Lover å følge opp

Overfor NTB innrømmer Høie at det ikke er gjort nok for å sikre IKT-systemene.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier han.

Ifølge Høie er arbeidet allerede gang. Han forsikrer om at han selv vil følge opp i 2021.

– Dette er en alvorlig rapport. Men det er også en veldig nyttig rapport, sier helse- og omsorgsministeren.

Riksrevisor Karl Eirik Schjøtt-Pedersen advarer om svak digital sikkerhet i offentlig sektor. Den gode nyheten er at mange virksomheter jobber aktivt for å utbedre sårbarheter og feil de har påpekt.
Les også

Hacking av forvaltningen gir lovende resultater

Les mer om:
HELSERIKSREVISJONENSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Teknisk Ukeblad Media AS
Leder salg
Digitaliseringsdirektoratet (Digdir)
Sikkerhetsressurs
Teknisk Ukeblad Media AS
Ansvarlig for data og innsikt
Sporveien
Avdelingsingeniør automasjon
En tjeneste fra