Riksrevisjonen: Sykepleiere og legers brukerkonto er for enkle å få tilgang til
Riksrevisjonen testet sårbarheter og fikk kontroll på en betydelig mengde pasientopplysninger i oppfølgingsundersøkelse av IT-sikkerheten på norske sykehus.
– IT-sikkerheten har blitt bedre, men det er kritikkverdig at vi fortsatt finner vesentlige svakheter. Dataangrep kan få store konsekvenser for driften av sykehusene og for pasientenes sikkerhet, sier riksrevisor Karl Eirik Schjøtt-Pedersen i en pressemelding.
Simulerte dataangrep
I 2020 offentliggjorde Riksrevisjonen en rapport som avdekket vesentlige svakheter i IT-sikkerheten på norske sykehus. En viktig del av undersøkelsen var simulerte dataangrep som ga stor grad av kontroll på IT-systemene i tre av fire helseregioner, og tilgang til store mengder sensitive helseopplysninger i alle regionene.
Funnene var så alvorlige i 2020 at de resulterte i Riksrevisjonens sterkeste kritikk.
Nå har de gjort en ny undersøkelse. Denne gangen er kritikken noe svakere, men får den midterste vurderingen, som er «kritikkverdig».
Svake passord hos sykepleierne
Et av funnene som ble gjort etter en såkalt inntrengingstest i Helse Nord og Helse Sør-Øst, angår sykepleiere og leger (fra rapporten side 9):
«I inntrengingstesten var det spesielt enkelt å få tilgang til brukerkontoer for leger og sykepleiere. Med disse brukerkontoene kunne vi lese og endre pasientopplysninger. Årsaken til at det var enkelt å få tilgang til kontoene, var at brukere hadde svake passord …»
Deler av teksten i Riksrevisjonens rapport er sensurert. Det er derfor ikke kjent hvilket helseforetak det er snakk om.
Fikk tilgang til journalsystemet
Ved de samme inntrengingstestene gjør Riksrevisjonen denne vurderingen:
« Det viste seg å være enkelt å få tilgang til mange brukernavn og passord. [sensurert] ... få tilgang til et passord som gjorde at vi kunne logge på som en bruker i journalsystemet og legge inn eller endre data om pasienter som sykepleiere eller leger. Da vi gjennomførte denne delen av inntrengingstesten ved å bevisst gå forsiktig frem, ble dette ikke oppdaget av [sensurert] …»
Riksrevisjonens tester ga dem tilgang til kritiske servere og databaser på lik linje med ansatte ved sykehuset.
De skriver at det var enkelt å gjette seg frem til hvilke passord legene og sykepleierne brukte.
– Det gjorde det mulig å hente ut, lagre, slette eller manipulere pasientopplysninger i journalsystemet, ifølge rapporten (side 34/35).
Tett oppfølging
En av konklusjonene er at IT-sikkerheten er styrket. Helse- og omsorgsdepartementet, de regionale helseforetakene og sykehusene har fulgt opp og satt i gang mange tiltak for å utbedre svakhetene Riksrevisjonen avdekket.
– Vi ser at departementet har vært tett på, og at samtlige aktører har fulgt opp de alvorlige funnene i vår forrige rapport. Likevel er det mye som gjenstår, sier Schjøtt-Pedersen.
Kunne satt systemene ut av spill
I årets oppfølgingsundersøkelse har Riksrevisjonen gjennomført nye dataangrep i to av Norges fire helseregioner.
I en av regionene kunne vi blant annet ha satt sykehusets systemer for lagring av pasientdata ut av spill i en lengre periode. Begge steder kunne vi hentet ut store mengder pasientopplysninger, endret data i pasientjournaler eller slettet databaser som medisinske systemer bygger på.
– Det er urovekkende at det nok en gang var såpass enkelt for oss å ta kontroll. Her må IT-sikkerheten skjerpes. Pasienter og innbyggere skal kunne ha tillit til at personopplysninger ikke kommer på avveier, sier Schjøtt-Pedersen.
Krevende sak
I sitt tilsvar til undersøkelsen understreker helse- og omsorgsministeren at dette har vært og er en svært krevende sak som vil kreve tett oppfølging videre.
Statsråden skriver blant annet at:
- helseregionene må forbedre sikker tilgangsstyring og autentisering av brukere
- sikre at systemer settes opp slik at de er minst mulig sårbare for dataangrep
- videreutvikle kontroll med hva som kan koples til nettverk på sykehus, alt fra PC-er til medisinsk-teknisk utstyr
- videreutvikle overvåkning som kan oppdage ondsinnet aktivitet
– Dette er viktige signaler fra statsråden, men departementet, helseregionene og de enkelte sykehusene har en vei å gå før de er i mål. Riksrevisjonen kommer derfor til å følge saken videre, sier Schjøtt-Pedersen.
Simulerte angrep
Dataangrepene Riksrevisjonen har gjennomført, er bare simuleringer. Det betyr at ingen data har vært i fare eller kommet på avveier ved gjennomføring av testene.
Relatert
Helseplattformen: Totalslakt fra Riksrevisjonen, budsjettsprekk på 2,5 milliarder
Helseplattformen får totalslakt av Riksrevisjonen i en rapport som legges fre
Riksrevisjonen: Helsedirektoratet har feilført 112 millioner kroner
112 millioner kroner er feilført hos Helsedirektoratet, og Helfos regnskap ro
Riksrevisjonen: Seks av sju kommuner mangler kompetanse på rehabilitering i helsetjenestene
Riksrevisjonen retter sterk kritikk mot Helse- og omsorgsdepartementet.
Riksrevisjonen: Betydelige svakheter i FHIs regnskap for 2022
Riksrevisor Karl Eirik Schjøtt-Pedersen sier det er betydelige svakheter og m
Mest lest
0 Kommentarer