Fortsatt for svak IT-sikkerhet på norske sykehus
Riksrevisjonen testet sårbarheter og fikk kontroll på en betydelig mengde pasientopplysninger i oppfølgingsundersøkelse av IT-sikkerheten på norske sykehus.
– IT-sikkerheten har blitt bedre, men det er kritikkverdig at vi fortsatt finner vesentlige svakheter. Dataangrep kan få store konsekvenser for driften av sykehusene og for pasientenes sikkerhet, sier riksrevisor Karl Eirik Schjøtt-Pedersen.
Simulerte dataangrep
I 2020 offentliggjorde Riksrevisjonen en rapport som avdekket vesentlige svakheter i IT-sikkerheten på norske sykehus. En viktig del av undersøkelsen var simulerte dataangrep som ga oss stor grad av kontroll på IT-systemene i tre av fire helseregioner, og tilgang på store mengder sensitive helseopplysninger i alle regionene.
Funnene var så alvorlige at de resulterte i Riksrevisjonens sterkeste kritikk. Nå har vi fulgt opp undersøkelsen.
Tett oppfølging
En konklusjon er at IT-sikkerheten er styrket. Helse- og omsorgsdepartementet, de regionale helseforetakene og sykehusene har fulgt opp og satt i gang mange tiltak for å utbedre svakhetene Riksrevisjonen avdekket.
– Vi ser at departementet har vært tett på og at samtlige aktører har fulgt opp de alvorlige funnene i vår forrige rapport. Likevel er det mye som gjenstår, sier Schjøtt-Pedersen.
Kunne satt systemene ut av spill
I årets oppfølgingsundersøkelse har Riksrevisjonen gjennomført nye dataangrep i to av Norges fire helseregioner.
I en av regionene kunne vi blant annet ha satt sykehusets systemer for lagring av pasientdata ut av spill i en lengre periode. Begge steder kunne vi hentet ut store mengder pasientopplysninger, endret data i pasientjournaler eller slettet databaser som medisinske systemer bygger på.
– Det er urovekkende at det nok en gang var såpass enkelt for oss å ta kontroll. Her må IT-sikkerheten skjerpes. Pasienter og innbyggere skal kunne ha tillit til at personopplysninger ikke kommer på avveier, sier Schjøtt-Pedersen.
Krevende sak
I sitt tilsvar til undersøkelsen understreker helse- og omsorgsministeren at dette har vært og er en svært krevende sak som vil kreve tett oppfølging videre. Statsråden skriver blant annet at helseregionene må
- forbedre sikker tilgangsstyring og autentisering av brukere
- sikre at systemer settes opp slik at de er minst mulig sårbare for dataangrep
- videreutvikle kontroll med hva som kan kobles til nettverk på sykehus, alt fra PC-er til medisinsk-teknisk utstyr
- videreutvikle overvåkning som kan oppdage ondsinnet aktivitet.
– Dette er viktige signaler fra statsråden, men departementet, helseregionene og de enkelte sykehusene har en vei å gå før de er i mål. Riksrevisjonen kommer derfor til å følge saken videre, sier Schjøtt-Pedersen.
Simulerte angrep
Dataangrepene Riksrevisjonen har gjennomført, er kun simuleringer. Det betyr at ingen data har vært i fare eller kommet på avveier ved gjennomføring av testene.
Gjennomføring ble avtalt med den enkelte virksomhet før vi startet. Etter angrepene hadde vi møter med de involverte aktørene for å gi dem et grunnlag til å rette opp sikkerhetshullene som vi fant.
Nøkkelord
Kontakter
Stian FjelldalPressekontakt
Tel:915 43 760sfj@riksrevisjonen.noOm oss
Riksrevisjonen er Stortingets største og eldste kontrollorgan. Gjennom revisjon av regnskap og undersøkelser sjekker vi hvordan regjeringen og statsforvaltningen gjør jobben sin.
Følg pressemeldinger fra Riksrevisjonen
Registrer deg med din e-postadresse under for å få de nyeste sakene fra Riksrevisjonen på e-post fortløpende. Du kan melde deg av når som helst.
Siste pressemeldinger fra Riksrevisjonen
Riksrevisor: Kritikkverdig håndtering av risikoen for økonomiske misligheter i bistanden3.12.2024 13:00:00 CET | Pressemelding
Det er vesentlige mangler i hvordan Utenriksdepartementet og Norad forebygger, avdekker og reagerer på økonomiske misligheter. Det viser Riksrevisjonens rapport.
Pressekonferanse i dag: Håndtering av risikoen for økonomiske misligheter i bistanden3.12.2024 08:49:30 CET | Presseinvitasjon
Støtte til utviklingsformål og humanitær bistand innebærer en risiko for økonomiske misligheter. Riksrevisjonen har undersøkt Utenriksdepartementets og Norads håndtering av risikoen i sin forvaltning av bistanden. Velkommen til pressekonferanse idag kl. 13.
Ny rapport: Håndtering av risikoen for økonomiske misligheter i bistanden29.11.2024 08:00:00 CET | Presseinvitasjon
Støtte til utviklingsformål og humanitær bistand innebærer en risiko for økonomiske misligheter. Riksrevisjonen har undersøkt Utenriksdepartementets og Norads håndtering av risikoen i sin forvaltning av bistanden. Velkommen til pressekonferanse tirsdag 3. desember kl. 13.
Riksrevisor: - Samordningskraften må styrkes28.11.2024 09:35:00 CET | Pressemelding
Mangel på samordning mellom departementer og etater, er en utfordring som går igjen i Riksrevisjonens undersøkelser. Skal vi klare å løse de store samfunnsutfordringene vi står overfor nå, må statens samordningskraft styrkes.
Spenner sektorprinsippet bein på løsningene?28.11.2024 08:00:00 CET | Pressemelding
Velkommen til Riksrevisjonens forbedringskonferanse i dag kl. 9.30! Mange av våre største samfunnsutfordringer krever løsninger på tvers. Er staten rigget for det? Vi bruker klima og kunstig intelligens som eksempler og spør – spenner statens sektorprinsipp bein på løsningene?
I vårt presserom finner du alle våre siste pressemeldinger, kontaktpersoner, bilder, dokumenter og annen relevant informasjon om oss.
Besøk vårt presserom