Bristande IT-säkerhet potentiellt hot mot integritet och patientsäkerhet

Gång på gång riktas kritik mot bristande IT-säkerhet inom sjukvården i Sverige. Att man saknar tillräcklig kunskap kring IT-säkerhet inom offentlig förvaltning kommer knappast som någon överraskning för oss som arbetat med frågan i över 15 år.

Vår erfarenhet bekräftar att säkerhetsmedvetenheten och beredskapen hos svenska offentliga organisationer och företag är låg, särskilt om man jämför med privat sektor eller aktörer i den anglosaxiska världen. Man saknar tillräcklig kunskap för att upptäcka säkerhetsincidenter och lever därför i tron att man sitter säkert, när det i själva verket ständigt pågår IT-attacker.

En grundläggande orsak är att det saknas relevant förståelse för IT-säkerhet hos både ledningsgrupper och politiker. Det leder bland annat till att man inte budgeterar för att kunna bedriva sin verksamhet på ett säkert sätt. Vår erfarenhet är att vård- och omsorgsorganisationer har en bråkdel av de resurser för IT-säkerhet som privata organisationer av motsvarande storlek avsätter. Varför värderar inte politiker och ledningsgrupper i offentlig sektor säkerhet för hälsa och liv lika högt som den privata sektorn värderar säkerhet för finansiella tillgångar?

Den politiska oförståelsen för problemet visar sig tydligt t ex när oppositionspolitiker i samband med de misstänkta säkerhetsincidenterna på Karolinska universitetsjukhuset i höstas direkt gick ut och krävde att journalsystemet TakeCare skulle bytas ut. Vad hjälper det att försöka bota symtomen när orsaken till dem kvarstår? Genom att byta ett system mot ett annat har man inte löst några säkerhetsproblem, utan man har snarare lyckats göra av med många hundratals miljoner skattekronor. En bråkdel av dessa hade i stället kunnat användas för att lösa grundproblemet – avsaknaden av tydliga krav på IT-säkerheten hos offentliga verksamheter och uppföljning av efterlevnaden av dessa krav.

Att det är ett utbrett problem kan man tydligt se på ‹cert.se›, som tillhandahåller en tjänst som visar datorer som är infekterade av trojaner. En trojan är ett program som ger en angripare möjlighet att fjärrstyra en dator inne i ett nätverk och hämta valfri information från denna. Listan på är inte komplett men kan i alla fall ge en fingervisning om dagsläget. Onsdagen den 22 januari 2014 listades 17 träffar på landsting. Minst 17 datorer på landstingens nätverk skulle därmed kunna kontrolleras utifrån av någon som har begått en kriminell handling för att placera trojanen på datorn.

Det går inte att skylla på att det saknas krav i lagar och föreskrifter. Enligt en rapport av Nationell informationsstruktur (Socialstyrelsen) från april 2010 finns det fler än 200 krav på hantering av information i 27 olika lagar och föreskrifter. Det finns även en internationell och en svensk standard för IT-säkerhet i sjukvårdsorganisationer. Kontrolleras efterlevnaden av dessa lagar och förordningar kontinuerligt, och vilka sanktioner finns tillgängliga om brister i efterlevnaden upptäcks?

På andra håll i världen har man förstått hur utsatta offentliga organisationer är. I till exempel USA har man sedan 1996 tydliga statliga krav på informationssäkerhet i vård och omsorg genom »Health insurance portability and accountability act« (HIPAA). Denna ställer bland annat krav på tekniska, fysiska och administrativa säkerhetsåtgärder.

Vi kan även jämföra med den privata sektorn, och då blir det tydligt att det offentliga har mycket att lära. Ett exempel på hur känslig information hanteras i privat sektor är de krav som finns kring hanteringen av kreditkortsuppgifter. År 2006 tog kreditkortsföretagen fram en datasäkerhetsstandard med över 200 konkreta krav på säkerhet inom tolv områden. Aktörerna kontrolleras löpande, och alla som vill hantera kreditkort måste följa dessa krav – som följs upp hårdare ju fler korttransaktioner man hanterar. Kraven spänner från tydliga tekniska krav på IT-system till krav på säkerhetstestning, loggning, policyer samt rapportering. Om ett företag hade hanterat kreditkortsuppgifter på samma sätt som landsting och kommuner hanterat personliga uppgifter hade det tvingats sluta ta emot kortbetalningar samt betala skadestånd.

Hotbilden när det gäller den information som hanteras av sjukvårdsföretag är skrämmande. Uppgifter som riskerar att läckas från landsting är inte bara kränkande ur ett integritetsperspektiv – detaljerad personlig information är också hårdvaluta i kriminella kretsar för att kunna begå bedrägerier. Men det kanske allvarligaste hotet av alla gäller patientsäkerheten. Vad händer om en inkräktare med tillgång till patientdatasystem ändrar blodgrupp på personer som ska opereras eller raderar information om allergier mot läkemedel? Hoten är uppenbara och konsekvenserna kan vara förödande.

Så, vad bör man göra för att lösa problemet?

• Ställ krav på att all offentligt finansierad verksamhet som hanterar känslig information måste ha särskilda informationssäkerhetsansvariga på ledningsnivå.
• Lägg resurser på att etablera organisationer som kontinuerligt utför riskanalyser och säkerhetstest av förändringar och nya system.
• Ställ krav på att befintliga ledningssystem för informationssäkerhet införs.
• Inför regelbundna granskningar av hur kraven efterlevs.
• Inför sanktioner för organisationer som inte lever upp till kraven.
• Ställ krav på att incidenter som involverar personuppgifter alltid rapporteras.