Nyheter

Riksrevisjonen simulerte dataangrep mot helseforetakene: Svært alvorlige mangler

Gjennom et simulert dataangrep klarte Riksrevisjonen å få høy grad av kontroll over datasystemene i tre av fire helseregioner.

Oslo  20190513.
Riksrevisor Per Kristian Foss under høringen i Stortingets kontroll- og konstitusjonskomité om Riksrevisjonens kritikk av Petroleumstilsynets manglende oppfølging av helse, miljø og sikkerhet i sektoren.
Foto: Stian Lysberg Solum / NTB scanpix

Av Johan Falnes

Det simulerte dataangrepet ga Riksrevisjonen tilgang til store mengder sensitive helseopplysninger i alle regioner.

– Vi fikk tilgang til store mengder helseopplysninger i alle regioner, sier riksrevisor Per-Kristian Foss.

En reell angriper kunne ifølge Riksrevisjonen ha gjort stor skade. I tre av regionene ville det ha vært mulig for en slik angriper å:

* blokkere kritiske systemer på sykehusene

* slette eller utilgjengeliggjøre opplysninger som er nødvendige for behandling av pasienter

* manipulere opplysninger om pasienter

* stjele store mengder helseopplysninger

– Undersøkelsen avdekker alvorlige avvik på vesentlige områder, sier Foss.

Svært alvorlige mangler

Foss viser til at helseopplysninger på avveie kan få alvorlige konsekvenser, og at angrep på helseforetakenes datasystemer kan forårsake pasientskader.

Ifølge ham står ikke innsatsen i samsvar til hvor viktig datasikkerhet er i helsevesenet.

– Helseregionene er på etterskudd, sier Foss.

– De har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger, og de mangler oversikt over sikkerheten i IKT-infrastrukturen.

Riksrevisjonen betegner manglene som «svært alvorlige». Det er den sterkeste formen for kritikk Riksrevisjonen kan gi.

– En stor sikkerhetsskandale

Freddy Øvstegård, som representerer SV i Stortingets kontroll- og konstitusjonskomité, reagerer kraftig.

– Dette er en stor sikkerhetsskandale. Regjeringen har ikke sikret sensitive helseopplysninger i tråd med loven, noen av våre viktigste IKT-systemer er sårbare for angrep. Det er dypt urovekkende, sier han.

Han mener helse- og omsorgsminister Bent Høie (H) driver med ansvarsfraskrivelse i saken.

I et svar til Riksrevisjonen viser Høie til at departementet ikke har operativt ansvar på feltet. Riksrevisjonen mener for sin del at departementet har opptrådt for passivt.

– Departementet har iallfall et ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier Foss.

– Da nytter det ikke å bare skyve ansvaret fra seg, slik vi mener departementet gjør, sier riksrevisoren.

Lover å følge opp

Overfor NTB innrømmer Høie at det ikke er gjort nok for å sikre IKT-systemene.

– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier han.

Ifølge Høie er arbeidet allerede gang. Han forsikrer om at han selv vil følge opp i 2021.

– Dette er en alvorlig rapport. Men det er også en veldig nyttig rapport, sier helse- og omsorgsministeren.

PS! Du leser nå en åpen artikkel. For å få tilgang til alt innhold fra Dagsavisen, se våre abonnementstilbud her.