UANSVARLIG: Å outsource it-driften i Sykehuspartner, og mener at dette setter pasientsikkerheten i fare, mener sikkerhetseksperter. Helseministeren må komme på banen, mener de. Illustrasjonsfoto: Pixabay

Forutså farene

Sikkerhetseksperter Computerworld pratet med tidligere i vår mente at det var uansvarlig å outsource it-driften av Sykehuspartner til HPE. De mente det setter pasientsikkerheten i fare.

Publisert Sist oppdatert

Ledelsen i Helse- Sør- Øst innrømmer nå at utenlandske it-arbeidere har hatt tilgang til sensitiv pasientinformasjon de siste ukene. Det melder NRK onsdag.

Da Computerworld pratet med sikkerhetseksperter tidligere i år, kunne disse forutse farene ved å outsource it-driften i Sykehuspartner.

- Dette er tullete. Hele toppledelsen burde få fyken, sa uavhenigig sikkerhetskonsulent Per Thorsheim den gang.

Sikkerhetseksperten mente at om ansatte i utenlandske land utfører administrativ drift på infrastrukturen, så vil de også ha mulighet til å få tilgang til pasientdataen.

- Ja. Ikke juridisk lovlig tilgang, ei heller teknisk tillatt, men like fullt teknisk mulig. Som administratorer vil de også kunne ha tilgang til logger, og dermed også kunne slette logger som viser eventuell ulovlig tilgang.

- Er det mulig å hindre at utenlandske aktører kan få tilgang til pasientdataen?

- Nei! Mye kan gjøres, og man kan få et akseptabelt risikonivå. Enhver påstand om at det kan gjøres "100 prosent sikkert" er og blir feil, sa Thorsheim i mars.

Protesterer

I ettertid har det skjedd mye. Kilder Computerworld har hatt kontakt med gir uttrykk for stor misnøye etter at  medarbeidere fra Asia og Øst-Europa ble gitt administrativ tilgang til systemene i Sykehuspartner rett før påske i år.

I en protokolltilførsel fra et styremøte i Sykehuspartner holdt 5. april går det frem at ansattrepresentantene ikke kan se at de har mandat til å godkjenne overdragelsen, der Hewlett Packard Enterprise (HPE) går inn som ekstern partner for å modernisere regionens ikt-infrastruktur. Dette ettersom sykehuspartners teknikere per i dag har administratortilgang til servere i Helse Sør-Øst, og at denne tilgangen gir den enkelte tekniker i utgangspunktet tilgang til all informasjon lagret på en server.  Dette gjelder uansett om den er sensitiv eller ikke.

Teknikere skal ikke ha tilgang til å logge seg på den enkelte fagapplikasjon, men kun tilgang til å logge seg på en server.  Slik som systemet er satt opp i dag vil det allikevel være mulig for en tekniker å logge seg på en slik server og  hente ut informasjon fra denne. En slik informasjon vil i mange tilfeller kunne inneholde sensitive data, slik som: Pasient navn, personnummer, undersøkelse, diagnose med mer, heter det i protokollen.

Teknikere hos Helse Sør-Østs eksterne partner vil få de samme tigangene, og dermed også de samme mulighetene til å hente ut sensitiv informasjon.

Ansattrepresentantene skriver avsluttningsvis at de er bekymret for både det sikkerhetsmessige, men også for den omdømmemessige skaden en lekkasje av sensitiv data kan medføre for Sykehuspartner og Helse Sør-Øst. Om det ikke foreligger mekanismer som skal forhindre innsyn fra datoen som ekstern partner overtar drift av Helse Sør-Øst sin infrastruktur kan ikke vi som ansattrepresentanter se at vi har mandat til å godkjenne denne overdragelsen.

Oppsiktsvekkende

Arbeiderpartiet-politiker Sverre Myrli mener det hele er oppsiktsvekkende.

- Jeg stiller meg undrende til dette, sier han. Etter å ha pratet med tillitsvalgte i både Nito og Fagforbundet, og flere med forbindelse til Helse Sør-Øst og Sykehuspartner, valgte han å sende et spørsmål til helse- og omsorgsminister Bent Høie.

Begunnelsen for å stille spørsmålet offentlig på Stortingets sider var etter å ha sett en protokollen i ettarkant av et styremøte i Sykehuspartner 5. april.

For det første er jeg skeptisk til å sette ut ikt i det hele tatt.

I styremøtet ble styremedlemmene gjort oppmerksomme på at driftspersonell fra HP, ansatt i Bulgaria, har fått tilgang til sensitiv pasientinformasjon. Myrli vil derfor gjerne vite hvordan helse- og omsorgsministeren kan forsvare at han har godkjent bortsettingen av kritisk ikt-infrastruktur i Helse Sør-Øst.

- For det første er jeg skeptisk til å sette ut ikt i det hele tatt. Det er enda verre når det kommer til helse- og pasientinfo. Fra de tillitsvalgte og i protokolltilførselen kommer det klart frem at det vil være mulig for ansatte i HPE å ha tilgang til pasientopplysninger. Dette er svært alvorlig, sier Myrli til Computerworld.

Informert

- Helseministeren sier at det ikke gjelder pasientinfo, men jeg så protokollen fra de ansatte der det hevdes at det er teknisk vanskelig å skille mellom tilgangen. Jeg er redd det ligger ideologiske tilnærminger, altså ønske om partnerskap med flere aktører, og jeg er redd han ser på dette som riktig politisk, uten at han har satt seg inn i det tekniske.

- Dette er oppsiktsvekkende greier, og noe helseministeren nødt til å gå seriøst inn i!

Dette er oppsiktsvekkende, og noe helseministeren nødt til å gå seriøst inn i!

Ap-politikeren var i slutten av april svært spent på å høre svaret til Høye. Det tok sin tid, men Høye har nå svart. I innlegget skriver han blant annet avtalen med HPE stiller krav om at alle datasentre skal stå i Norge, inkludert all lagring av helse- og personopplysninger. "Det er videre stilt spesifikke krav til blant annet informasjonssikkerhet dersom drift skal utføres fra lokalisasjon utenfor Norge. Gitt at disse kravene oppfylles og risikovurdering godkjennes, kan driftsoppgaver utføres fra utlandet. Primært vil dette si fra land i EU/EØS-området. Drift fra utlandet skal uansett godkjennes av det enkelte helseforetak i Helse Sør-Øst og Helse Sør-Øst RHF."

Videre står det at "Helse Sør-Øst RHF har informert om at risiko- og sårbarhetsanalysene som Sykehuspartner HF gjennomfører viser hvilke tiltak som må iverksettes før en virksomhetsoverdragelse kan finne sted. Alt personell som virksomhetsoverføres til HPE og øvrige aktuelle ansatte i HPE vil få endrede og begrensede tilgangsrettigheter, herunder at det ikke gis rettigheter til domeneadministrasjon.

For leveranser av driftstjenester fra utlandet gjennomføres ytterligere risiko- og sårbarhetsanalyser, som også berører forhold knyttet til det særskilte landet, inkludert forhold rundt lokal lovgivning. Med bakgrunn i dette vil det stilles krav til ytterligere tiltak for å beskytte personsensitiv informasjon. Foreløpige analyser har identifisert at det i så fall må gjennomføres tiltak som blant annet kryptering av filområder med personsensitiv informasjon, ytterligere begrensninger i tilganger til tjenester etc."