Fortsatt for svak IT-sikkerhet på norske sykehus
Riksrevisjonen testet sårbarheter og fikk kontroll på en betydelig mengde pasientopplysninger i oppfølgingsundersøkelse av IT-sikkerheten på norske sykehus.
– IT-sikkerheten har blitt bedre, men det er kritikkverdig at vi fortsatt finner vesentlige svakheter. Dataangrep kan få store konsekvenser for driften av sykehusene og for pasientenes sikkerhet, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Simulerte dataangrep
I 2020 offentliggjorde Riksrevisjonen en rapport som avdekket vesentlige svakheter i IT-sikkerheten på norske sykehus. En viktig del av undersøkelsen var simulerte dataangrep som ga oss stor grad av kontroll på IT-systemene i tre av fire helseregioner, og tilgang på store mengder sensitive helseopplysninger i alle regionene.
Funnene var så alvorlige at de resulterte i Riksrevisjonens sterkeste kritikk. Nå har vi fulgt opp undersøkelsen.
Tett oppfølging
En konklusjon er at IT-sikkerheten er styrket. Helse- og omsorgsdepartementet, de regionale helseforetakene og sykehusene har fulgt opp og satt i gang mange tiltak for å utbedre svakhetene Riksrevisjonen avdekket.
– Vi ser at departementet har vært tett på og at samtlige aktører har fulgt opp de alvorlige funnene i vår forrige rapport. Likevel er det mye som gjenstår, sier Schjøtt-Pedersen.
Kunne satt systemene ut av spill
I årets oppfølgingsundersøkelse har Riksrevisjonen gjennomført nye dataangrep i to av Norges fire helseregioner.
I en av regionene kunne vi blant annet ha satt sykehusets systemer for lagring av pasientdata ut av spill i en lengre periode. Begge steder kunne vi hentet ut store mengder pasientopplysninger, endret data i pasientjournaler eller slettet databaser som medisinske systemer bygger på.
– Det er urovekkende at det nok en gang var såpass enkelt for oss å ta kontroll. Her må IT-sikkerheten skjerpes. Pasienter og innbyggere skal kunne ha tillit til at personopplysninger ikke kommer på avveier, sier Schjøtt-Pedersen.
Krevende sak
I sitt tilsvar til undersøkelsen understreker helse- og omsorgsministeren at dette har vært og er en svært krevende sak som vil kreve tett oppfølging videre. Statsråden skriver blant annet at helseregionene må
- forbedre sikker tilgangsstyring og autentisering av brukere
- sikre at systemer settes opp slik at de er minst mulig sårbare for dataangrep
- videreutvikle kontroll med hva som kan kobles til nettverk på sykehus, alt fra PC-er til medisinsk-teknisk utstyr
- videreutvikle overvåkning som kan oppdage ondsinnet aktivitet.
– Dette er viktige signaler fra statsråden, men departementet, helseregionene og de enkelte sykehusene har en vei å gå før de er i mål. Riksrevisjonen kommer derfor til å følge saken videre, sier Schjøtt-Pedersen.
Simulerte angrep
Dataangrepene Riksrevisjonen har gjennomført, er kun simuleringer. Det betyr at ingen data har vært i fare eller kommet på avveier ved gjennomføring av testene.
Gjennomføring ble avtalt med den enkelte virksomhet før vi startet. Etter angrepene hadde vi møter med de involverte aktørene for å gi dem et grunnlag til å rette opp sikkerhetshullene som vi fant.
Nøkkelord
Kontakter
Stian FjelldalPressekontakt
Tel:915 43 760sfj@riksrevisjonen.noOm oss
Riksrevisjonen er Stortingets største og eldste kontrollorgan. Gjennom revisjon av regnskap og undersøkelser sjekker vi hvordan regjeringen og statsforvaltningen gjør jobben sin.
Følg pressemeldinger fra Riksrevisjonen
Registrer deg med din e-postadresse under for å få de nyeste sakene fra Riksrevisjonen på e-post fortløpende. Du kan melde deg av når som helst.
Siste pressemeldinger fra Riksrevisjonen
Statlige selskaper: For enkelt å få lederbonus27.11.2024 13:00:00 CET | Presseinvitasjon
Det er for enkelt for ledere å få bonus i noen av selskapene som staten har eierandeler i, viser Riksrevisjonens nye undersøkelse.
Pressekonferanse i dag: Bonusordninger i statlige selskaper og IT-sikkerhet på sykehus27.11.2024 07:30:00 CET | Presseinvitasjon
I Riksrevisjonens årlige kontroll av statlig eide selskaper har vi blant annet undersøkt bonusordninger i statlige selskaper og fulgt opp IT-sikkerhet ved norske sykehus og Bane NORS drift, vedlikehold og investeringer. Velkommen til pressekonferanse kl. 13 i dag.
Spenner sektorprinsippet bein på løsningene?25.11.2024 14:00:00 CET | Pressemelding
Mange av våre største samfunnsutfordringer krever løsninger på tvers. Er staten rigget for det? Riksrevisjonen bruker klima og kunstig intelligens som eksempler og spør – spenner statens sektorprinsipp bein på løsningene? Velkommen til Forbedringskonferansen torsdag 28. november.
Pressekonferanse: Riksrevisjonens kontroll av statens selskaper25.11.2024 09:58:48 CET | Presseinvitasjon
I årets kontroll har vi blant annet undersøkt bonusordninger i statlige selskaper og fulgt opp IT-sikkerhet ved norske sykehus og Bane NORS drift, vedlikehold og investeringer. Velkommen til pressekonferanse onsdag 27. november.
Riksrevisor: Sterk kritikk mot Helseplattformen24.10.2024 11:11:51 CEST | Presseinvitasjon
Innføringen av Helseplattformen har truet sikkerheten til pasienter i Midt-Norge. Helse Midt-Norges grunnlag for valg av konsept var mangelfullt og prosjektet hadde svak styring, viser Riksrevisjonens rapport.
I vårt presserom finner du alle våre siste pressemeldinger, kontaktpersoner, bilder, dokumenter og annen relevant informasjon om oss.
Besøk vårt presserom