Den neste helsekrisen kan være et dataangrep

– Den neste helsekrisen trenger ikke være en pandemi. Det kan også være et dataangrep.

Det sier avdelingsdirektør i Direktoratet for e-helse, Jan Gunnar Broch.

– Har vært heldige

– Hva gjør helsesektoren hvis teknologien svikter, strømmen blir borte eller nettet er nede på ubestemt tid? Vil vi klare oss?

– Når det gjelder for eksempel strømbrudd og brudd i vanntilførsel, er dette noe sykehusene lenge har hatt med i sine beredskapsplaner. Så om det skjer, vil nok sykehusene være godt forberedt. Vi er mer sårbare for hva som skjer om det settes inn et angrep på de teknologiske løsningene, eller om nettet faller og er nede over lang tid, sier han.

Hvordan beredskapen er ute i kommunehelsetjenesten, er han usikker på.

– Kommunal sektor er opptatt av at informasjonssikkerhet, digital beredskap og personvern er en forutsetning for gode innbyggertjenester. Det pågår mange initiativ i kommunal sektor, og mange kommuner samarbeider for å håndtere utfordringene, sier han.

Dataangrep på Toten

– Vi har hatt noen dataangrep. Blant annet i Helse Sør-Øst i 2018 og i Østre Toten kommune i 2021. Sistnevnte ble utsatt for pengekrav for at kommunen skulle få tilbake kontrollen over datasystemene sine, sier han.

Kommunen var en måned uten datasystemer. Det medførte masse merarbeid for de ansatte og store ekstrakostnader. Angrepet rammet også helse- og omsorgssektoren i kommunen.

– Internasjonalt har vi sett eksempler på at digital utpressing mot helsevirksomheter har fått fatale konsekvenser, så dette er potensielle trusselsituasjoner som helse- og omsorgssektoren og vi som myndighet, må være forberedt på, sier Broch.

Riksrevisjonen har simulert dataangrep på sykehus

– Dersom noen ville stenge ned et sykehus med et dataangrep, vil det være vanskelig å få til?

– For en gruppe eller en person med begrensede eller normale ressurser er svaret ja, sier han og legger til:

– Riksrevisjonen simulerte i 2020 et dataangrep mot sykehusene. Helseforetakene fikk sterk kritikk, men har siden jobbet systematisk for å sikre systemene. I tett samarbeid med Norsk Helsenett har informasjonssikkerheten på sykehusene fått et stort løft de siste årene, sier han.

Broch forteller videre at helsevesenet er komplisert, og det gjør at sikringen av blant annet datasystemer er utfordrende.

– Vi er avhengig av digital samhandling. Da er det er mange komponenter, løsninger og teknologiske verktøy som skal virke sammen på en effektiv og sikker måte. Vi kan enkelt si at jo mer komplisert ting er, jo større er sårbarheten.

Her kan du kan lese mer om Riksrevisjonens simulerte angrep.

Trusselbildet endrer seg hele tiden

– Kan sykehuset fungere om datasystemene er nede over lang tid?

– Selv om helsepersonell er trent for å yte helsehjelp i krevende situasjoner, så øker avhengigheten til teknologi. Sikkerhetsarbeid er noe det må jobbes med kontinuerlig fordi trusselbilde endrer seg hele tiden sammen med den teknologiske utviklingen. Det er viktig at vi ligger i forkant så godt det lar seg gjøre, sier han.

Han mener jevnlige øvelser hvor sykehusene simulerer datasvikt, er viktig.

– Da må i verste fall penn og papir tilbake. De ansatte må være sikre på hva de skal gjøre, og hvordan de skal jobbe mens teknologene jobber for å få systemet opp og stå igjen. 

Ikke inviter ondsinnet programvare inn

Det er noen enkle ting som er viktig for datasikkerheten, og som alle kan bidra til.

– Ikke klikk på lenker du er usikker på eller last ned innhold du ikke vet hva er. Det er fort gjort i en hektisk hverdag, men med øvelse og bevisstgjøring reduseres risikoen for at virus eller ondsinnet programvare slipper inn i systemene, sier han.

At sykehusene har en robust infrastruktur på de systemene de har innført, er også viktig.

– Vi er avhengig av digitale løsninger. Det gjør oss sårbare på en annen måte enn tidligere, men å gå tilbake til analoge løsninger tror jeg de aller fleste er enige om at er uaktuelt. Gevinsten ved å bruke teknologien er for stor.

Teoretisk mulig å «hacke» pasienter

Stadig flere pasientgrupper kan også få teknologi eller livsnødvendige hjelpemidler implementert i egen kropp.

– Betyr det at pasienter kan hackes?

– Det er en skremmende tanke, men sikkerhetsforskere har demonstrert i laboratorietester at det kan gjøres. Heldigvis har det så vidt jeg kjenner til aldri vært noen reelle hendelser. Igjen er det viktig at informasjonssikkerhet ivaretas, også når det gjelder medisinsk utstyr. Også på dette området har det skjedd et stort løft de siste årene, og pasientene skal være trygge på at dette er noe vår sektor jobber systematisk med, sier Broch.