Riksrevisjonens kontroll av forebygging av dataangrep

Riksrevisjonens forvaltningsrevisjon av helseforetakenes forebygging av angrep mot sine IKT-systemer ble offentliggjort 15. desember. Undersøkelsen er del av Riksrevisjonens forvaltningsrevisjon og omfatter landets helseforetak. 

Rapporten konkluderer med at det i alle fire helseregioner er vesentlige svakheter i grunnleggende tekniske sikkerhetstiltak som skal forebygge og oppdage dataangrep. Samtidig går det fram at Helse Sør-Øst skiller seg ut som regionen hvor det ble oppnådd lavest grad av kontroll over systemene i det simulerte dataangrepet. 

Administrerende direktør i Sykehuspartner HF, Gro Jære, anerkjenner en god og aktuell rapport fra Riksrevisjonen, og mener rapporten belyser nødvendige problemstillinger og identifiserer svakheter som må utbedres.

– Vi tar Riksrevisjonens rapport på største alvor. Vi har de siste årene jobbet systematisk med å forbedre informasjonssikkerheten i regionen. Det var blant annet dette arbeidet som bidro til at Riksrevisjonen ikke klarte å få kontroll over IKT-infrastrukturen i Helse Sør-Øst, og at vi oppdaget Riksrevisjonens angrepssimulering. Samtidig avdekket undersøkelsen andre svakheter der iverksettelse av ytterligere tiltak var nødvendig, sier Jære.

Sykehuspartner har over de siste årene etablert et stort og kompetent fagmiljø innenfor informasjonssikkerhet på strategisk og operativt nivå. Det er også etablert et eget fagmiljø for overvåking og respons på IKT-angrep (CERT). Dette fagmiljøet ivaretar alle helseforetakene i regionen.

I 2017 ble arbeidet med tjenesteutsetting av IKT-infrastrukturen i regionen stanset. I etterkant av dette har Sykehuspartner igangsatt en rekke tiltak for å øke informasjonssikkerheten i regionen. Dette arbeidet pågikk da Riksrevisjonens angrepssimulering ble utført.

– Arbeidet med informasjonssikkerhet er kontinuerlig. Vi opererer i en virkelighet med stadig endret trusselbilde og må hele tiden forbedre oss, avslutter Jære. 


Før de simulerte dataangrepene, fikk Riksrevisjonen intern informasjon fra Sykehuspartner slik at angrepene skulle være enklere å gjennomføre. I tillegg var det avtalt at dersom de simulerte dataangrepene ble oppdaget, så skulle Sykehuspartner ikke stoppe disse eller gjøre mottiltak. Det at Sykehuspartner ikke stoppet angrepet når de oppdaget det, var viktig for at Riksrevisjonen kunne oppdage ytterligere sårbarheter.


Les også:

Styrket innsats for informasjonssikkerhet (Helse Sør-Øst)