Denne artikkelen er produsert og finansiert av Nasjonalt senter for e-helseforskning - les mer.

Mer og mer data om vår helse blir samlet inn digitalt. Nå anbefaler forskere at sikkerhetssystemene skjerpes.

– Det er skummelt å tenke på hvor sårbar helsetjenesten vår er i den pågående cyberkrigen

Dataangrep blir utført mot helseinstitusjoner verden over, også i Norge. Samtidig blir stadig mer av våre helsedata samlet inn digitalt. Hvordan kan pasientjournalen bli sikret?

Hasse Berntsen
Kommunikasjonsrådgiver
Nasjonalt senter for e-helseforskning

Elektroniske pasientjournaler og nye kilder til helseinformasjon har ført til innsamling av store mengder helserelaterte data. Dermed blir det også store utfordringer rundt sikkerhet og personvern for helsedata.

Helsevesenet blir mer digitalisert, og derfor må sikkerhetssystemene kunne takle å bli utsatt for datainnbrudd.

Flere forskere, inkludert fire fra Nasjonalt senter for e-helseforskning, har skrevet et kapittel om dette i boka «Roadmap to succesful Digital Health Ecosystem».

Helsevesenet bør ha en risikobasert cybersikkerhetsstrategi, mener Kassaye Yitbarek Yigzaw.

Et veikart for helsemyndighetene

Forskerne tar opp sikkerhetsutfordringene som skjer ved lagring og bruk av digitale helsedata.

Boken er ment som et veikart til et vellykket digitalt økosystem i helsevesenet.

– Hovedbudskapet i kapittelet er at cybersikkerhetshendelser kan skje helseinstitusjoner av alle typer og størrelser. Konsekvensene inkluderer sosialt og økonomisk tap samt reduksjon i kvaliteten på pasientbehandling som kan være livstruende, sier forsker Kassaye Yitbarek Yigzaw i Nasjonalt senter for e-helseforskning.

Økende problem

Helsevesenet kan være interessante mål for både datakriminalitet, industrispionasje og statlig etterretning, med den hensikt å stjele, endre, hindre eller påvirke data eller funksjoner. Sensitive helsedata finnes både i registre og journaler.

Stjålne helseopplysninger kan brukes som pressmiddel for å oppnå et mål. De kan også være verdifulle til forskning og utvikling.

Slike datainnbrudd vil få konsekvenser for sykehusdriften selv om sykehusene har beredskapsrutiner og gjennomfører beredskapsøvelser hvor bortfall av IKT er et av scenariene.

I januar 2018 ble Helse Sør-Øst utsatt for dataangrep som kunne ha blitt brukt til å stjele eller kompromittere pasientopplysninger. I august 2020 ble Sykehuset Innlandet utsatt for et lignende dataangrep.

Det er også mange eksempler fra utlandet:

  • «Wannacry-angrepet» i 2017. Datasystemer ved omtrent 40 britiske sykehus og private klinikker ble infisert av et løsepengevirus.
  • I 2020 ble 400 sykehus/helseinstitusjoner i USA med 90.000 ansatte rammet av et dataangrep som førte til at alt IKT-utstyr måtte slås av i en periode.
  • I 2020 ble Düsseldorf Universitetssykehus i Tyskland rammet av et løsepengeangrep. Det tok i overkant av en måned før dette sykehuset var tilbake i normal drift. En kvinne døde som følge av angrepet.
– Det er skummelt å tenke på hvor sårbar helsetjenesten vår er som følge av skybaserte IT-systemer, sier Johan Gustav Bellika.

Sårbare helseinstitusjoner

Norge har mange helseinstitusjoner med samme IT-leverandør. Dersom en leverandør blir angrepet, vil mange institusjoner stå mer eller mindre uten IT-støtte.

– For meg er det skummelt å tenke på hvor sårbar helsetjenesten vår er som følge av den store samlingen av helseinstitusjoner som har gått over til å bruke skybaserte IT-systemer, og som nå er sårbare i den pågående cyberkrigen, sier professor Johan Gustav Bellika ved Norsk senter for e-helseforskning.

Enkelte helseinstitusjoner vil få problemer med å yte helsetjenester etter kun to timer uten IT-støtte.

– Tenk deg effekten hvis mange institusjoner rammes samtidig. Vi vil da trolig oppleve samme situasjon som oppstod i 2021 hvor 80 prosent av alle sykehus i Irland mistet IT-støtten etter en serie koordinerte dataangrep, sier han.

Risikostrategi

Det er en nasjonal målsetting at helsedata skal være tilgjengelige for kvalitetsforbedring, helseovervåking, styring og forskning. Dataene skal disponeres på en måte som ivaretar personvern og tillit fra pasienter og helsearbeidere.

Forskerne mener at helseinstitusjoner bør få på plass strategier for å styre risiko. Såkalt risikostyring skal identifisere, vurdere og reagere på risiko.

– Risikobasert cybersikkerhetsstrategi er en systematisk tilnærming for å prioritere nettrisiko, sier Yigzaw.

Et fem-trinns veikart for cybersikkerhet

I boken tar helseforskerne opp de vanligste utfordringene for sikkerhet og personvern for helsedata.

De gir dermed en oversikt over hvilke bekymringer og typer sikkerhetstrusler som helsevesenet i Norge står overfor.

Forskerne er også opptatt av lover og retningslinjer som skal beskytte helsedata. Både når det gjelder pasientens tilgang på egne helsedata og data som brukes til sekundære formål som statistikk og forskning.

Hovedpoenget til forskerne er at helsevesenet må beskytte pasientene og deres digitale helsedata.

Forskernes råd til helsevesenet:

  1. Lage veikart for cybersikkerhet for å forstå institusjonens nåværende sikkerhetsposisjon og indikere hvilke sikkerhetsresultater som må oppnås.
  2. Gjennomføre risikovurdering for å fastslå sannsynligheten for sikkerhetsbrudd og hvilken innvirkning hendelsen kan ha på institusjonen.
  3. Opprette målprofil som beskriver institusjonens ønskede resultater for cybersikkerhet. I tillegg til brukerbevissthet og opplæring, kan institusjoner bruke ny kunnskap innen tilgangskontroll, kryptografi, avidentifikasjon og personvernbevarende distribuert datautvinning, for å utvikle en profil som passer for institusjonens risikovilje.
  4. Helseinstitusjoner må analysere gapet mellom gjeldende status og målprofiler for cybersikkerhet. Dette for å lage en prioritert handlingsplan for cybersikkerhet for å tette sikkerhetshull basert på virksomheten og juridiske krav, risikotoleranse og tilgjengelige ressurser.
  5. Implementering av handlingsplan. Det er viktig med forsvarlig overvåkning for å avdekke unormal atferd og aktivitet som kan være forsøk på sikkerhetsbrudd. Når et angrep oppdages, er det avgjørende å iverksette passende handlinger til bruddet og gjenopprette normal drift i tide for å redusere virkningen av en slik hendelse.

Referanse:

Evelyn Hovenga og Heather Grain: Roadmap to Successful Digital Health Ecosystems, A Global Perspective. Elsevier, 2022. (Sammendrag) Doi.org/10.1016/C2020-0-00424-X

Les også disse artiklene fra Nasjonalt senter for e-helseforskning:

forskning.no vil gjerne høre fra deg!
Har du en tilbakemelding, spørsmål, ros eller kritikk?
TA KONTAKT HER

data helse informasjonsteknologi sikkerhet nasjonalt senter for e-helse forskning teknologi partner

Fra forsiden

Ledige stillinger

Vis alle stillinger

Powered by Labrador CMS