Fortsatt for svak IT-sikkerhet på norske sykehus

– IT-sikkerheten har blitt bedre, men det er kritikkverdig at vi fortsatt finner vesentlige svakheter. Dataangrep kan få store konsekvenser for driften av sykehusene og for pasientenes sikkerhet, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Simulerte dataangrep

I 2020 offentliggjorde Riksrevisjonen en rapport som avdekket vesentlige svakheter i IT-sikkerheten på norske sykehus. En viktig del av undersøkelsen var simulerte dataangrep som ga oss stor grad av kontroll på IT-systemene i tre av fire helseregioner, og tilgang på store mengder sensitive helseopplysninger i alle regionene.

Funnene var så alvorlige at de resulterte i Riksrevisjonens sterkeste kritikk. Nå har vi fulgt opp undersøkelsen.

• Les oppfølgingsundersøkelsen her
• Les undersøkelsen fra 2020 her

Tett oppfølging

En konklusjon er at IT-sikkerheten er styrket. Helse- og omsorgsdepartementet, de regionale helseforetakene og sykehusene har fulgt opp og satt i gang mange tiltak for å utbedre svakhetene Riksrevisjonen avdekket.

– Vi ser at departementet har vært tett på og at samtlige aktører har fulgt opp de alvorlige funnene i vår forrige rapport. Likevel er det mye som gjenstår, sier Schjøtt-Pedersen.

Kunne satt systemene ut av spill

I årets oppfølgingsundersøkelse har Riksrevisjonen gjennomført nye dataangrep i to av Norges fire helseregioner.

I en av regionene kunne vi blant annet ha satt sykehusets systemer for lagring av pasientdata ut av spill i en lengre periode. Begge steder kunne vi hentet ut store mengder pasientopplysninger, endret data i pasientjournaler eller slettet databaser som medisinske systemer bygger på.

– Det er urovekkende at det nok en gang var såpass enkelt for oss å ta kontroll. Her må IT-sikkerheten skjerpes. Pasienter og innbyggere skal kunne ha tillit til at personopplysninger ikke kommer på avveier, sier Schjøtt-Pedersen.

Krevende sak

I sitt tilsvar til undersøkelsen understreker helse- og omsorgsministeren at dette har vært og er en svært krevende sak som vil kreve tett oppfølging videre. Statsråden skriver blant annet at helseregionene må

• forbedre sikker tilgangsstyring og autentisering av brukere
• sikre at systemer settes opp slik at de er minst mulig sårbare for dataangrep
• videreutvikle kontroll med hva som kan kobles til nettverk på sykehus, alt fra PC-er til medisinsk-teknisk utstyr
• videreutvikle overvåkning som kan oppdage ondsinnet aktivitet.

– Dette er viktige signaler fra statsråden, men departementet, helseregionene og de enkelte sykehusene har en vei å gå før de er i mål. Riksrevisjonen kommer derfor til å følge saken videre, sier Schjøtt-Pedersen.

Simulerte angrep

Dataangrepene Riksrevisjonen har gjennomført, er kun simuleringer. Det betyr at ingen data har vært i fare eller kommet på avveier ved gjennomføring av testene.  

Gjennomføring ble avtalt med den enkelte virksomhet før vi startet. Etter angrepene hadde vi møter med de involverte aktørene for å gi dem et grunnlag til å rette opp sikkerhetshullene som vi fant.