Elendig datasikkerhet i helse-Norge

Elendig datasikkerhet i helse-Norge

Helse- og sosialsektoren er relativt uinteressert i sikkerhetsrutiner for å forebygge datakriminalitet, viser den nye mørketallsundersøkelsen.
I undersøkelsen går det fram at virksomheter i helse- og sosialsektoren har lagret store mengder personopplysninger, men halvparten av dem vet ikke om de har vært utsatt for datainnbrudd eller -tyveri.

Datatilsynet bekrefter funnene i undersøkelsen. Helsesektoren bruker også sikringsmekanismer som kryptering i langt mindre grad (13 prosent) enn andre sektorer. Til sammenligning bruker 40 prosent av virksomheter innen bank- og finansnæringen kryptering.

Virksomhetene i helse- og sosialsektoren har dessuten gjennomgående mindre kunnskap om de uønskede hendelsene de har vært utsatt for, enn virksomheter i andre bransjer, til tross for at sektoren håndterer store mengder sensitive opplysninger.

Alarmerende

-- Vi har plukket ut både private og offentlige aktører i helse- og sosialsektoren, og utvalget er gjort representativt gjennom MMIs databaser, sier Britt Amundsen Hoel i Næringslivets sikkerhetsråd, som presenterte undersøkelsen i forrige uke.

Hoel jobber til daglig i sikkerhetsavdelingen i Norges Bank. Sykehus, private legekontor og sosialavdelinger i kommunene er med i undersøkelsen.

-- Har dere sjekket om de helse- og sosialorganisasjoner/virksomheter dere har spurt, faktisk er koblet opp mot internett og dermed faktisk er eksponert for den type problemer det her er snakk om?

-- Det har vi ikke. Og det er riktig at endel i denne sektoren faktisk ikke er direkte koblet mot internett, men opererer i delte eller lukkede nett. Jeg synes likevel det er alarmerende at undersøkelsen avdekker at sikkerhetsspørsmål er så dårlig fremme i deres daglige arbeid, særlig med tanke på at denne sektoren kanskje har ansvar for de mest sensitive opplysningene overhodet, svarer Hoel.

Dårlige rutiner

Datatilsynet vil ikke fastlå om helsesektoren er verre enn andre, men bekrefter at det skorter på gode rutiner.

-- Det er vanskelig for oss å slå fast om de er bedre eller dårligere enn andre. Våre kontroller viser at der det er relevant har denne sektoren installert nødvendig teknisk utstyr, sier tilsynsdirektør Leif T. Aanensen, i Datatilsynet.

Men Datatilsynets kontroller funnene i Datakrimutvalgets mørketallsundersøkelse om at at helse- og sosialsektoren har et mangelfullt sikkerhetsarbeid.

-- Vi finner manglende sikkerhetsrutinger og en mangelfull sikkerhetskultur i denne sektoren. Vi ser at de i liten grad har oversikt over eventuelle hendelser i egne systemer, og mangelfull gjennomgang av egne sikkerhetslogger.

Raskt og enkelt

Aanensen peker på at bank og -finansesektoren, som gjerne brukes som referanse i slike spørsmål, har lenger erfaring med slik bruk av it-løsninger.

I helse- og sosialsektoren har det vært et enormt politisk press for å ta i bruk moderne teknologi. For å skape motivasjonen må løsningene være enkle å ta i bruk, og faktisk medføre forenkling i de ansattes hverdag. Ofte er det en motsetning mellom enkelthet og sikkerhet, og det kan gå på sikkerheten løs når systemene skal innføres og investeringene forsvares, mener Aanensen.

Personopplysningsloven pålegger innrapportering av sikkerhetsbrudd eller problemer av denne typen. Datatilsynet har så langt knapt mottatt en eneste slik melding fra helse- og sosialsektoren.

-- Vi har en mistanke om at dette skyldes at organisasjonene på den ene siden faktisk ikke følger opp egne sikkerhetslogger, og derfor slik mørketallsundersøkelsen påpeker, faktisk ikke har den nødvendige oversikt. På den andre siden tror vi det skyldes at man er meget redd for de negative konsekvensene slik innrapportering kan få.

Aanensen mener denne sektoren er veldig avhengig av tillit i offentligheten. Karakteren på opplysningene denne sektoren forvalter, gjør den ekstra sårbar med tanke på omfanget av en eventuell skandale eller avsløring av dårlig sikkerhet.

Tilgang må vurderes

-- Det finnes mange små legekontor i dette landet uten egen it-kompetanse, det er vanskelig for disse å sørge for egen sikkerhetskontroll. Vi ser at de ofte legger saken i leverandørens hender, og ikke tar en egen rolle i oppfølging av egne systemer. Dette utgjør en betydelig utfordring for helse- og sosialsektoren, mener Datatilsynets tilsynsdirektør.

Datatilsynet har også en rekke ganger vært opptatt av det de kaller tjenestelige behov.

-- Hvit frakk legitimerer ikke nødvendigvis tilgang til alt, både internt og eksternt. Vi ser altfor sjelden at tilgang til ulike typer opplysninger og journaler blir vurdert ut fra faktisk behov. Det er mange ansatte i helsesektoren, og manglende vurderinger rundt tilgang for hver enkelt, gjør sektoren ekstra sårbar, mener Aanensen.