Annonce
Danmark

Slagsmål om regningen forsinker løft af cybersikkerheden i sundhedsvæsenet

For tre år siden kostede det store hackerangreb WannaCry det engelske sundhedsvæsen godt 780 millioner kroner og tusindvis af aflyste patientaftaler. Desuden måtte akutte patienter fra mindst fem skadestuer flyttes til andre skadestuer. Også herhjemme kan sundhedsvæsenet være sårbar over for it-hacking. Foto: Mads Claus Rasmussen/Ritzau Scanpix
Flere år efter den seneste cybersikkerhedsstrategi for sundhedsvæsenet så dagens lys, er der fortsat ingen plan for, hvordan flere af sikkerhedstiltagene skal finansieres. Sådan lyder kritikken fra Danske Regioner.
Annonce

IT-sikkerhed: I januar 2019 præsenterede den tidligere regering en ny cybersikkerhedsstrategi med hele 68 sikkerhedstiltag, der skulle gøre det sværere for hackere at angribe kritisk infrastruktur i Danmark. 17 af tiltagene omhandlede sundhedsvæsenet, men der var indsat en diskret stjerne foran 9 af tiltagene.

I en fodnote stod der, at tiltagene krævede aftale om særskilt finansiering. Med andre ord, regionerne og staten var ikke enige om, hvem der skulle betale regningen for tiltagene, der skulle beskytte sygehuse, hospitaler og det øvrige sundhedsvæsen fra angreb, der i værste fald kan føre til lammede systemer i akutmodtagelser, udskudte operationer og  dødsfald.

Den manglende finansiering blev tilbage i 2019 kritiseret af flere sikkerhedseksperter. Blandt andre Peter Kruse, stifter af sikkerhedsvirksomheden SCIS Security, der udtalte til Jyllands-Posten:

- Der er tale om en række omkostningstunge tiltag, som også kræver helt særlige kompetencer og specialister, og man kan ikke gennemføre strategien i sundhedssektoren, hvis der ikke kommer flere penge på bordet.


Det er en alvorlig trussel. Vi oplever til daglig forskellige phisningangreb, og vi tager det meget alvorligt.

Ulla Astman, næstformand i Danske Regioner


Jesper Lund Hedegaard, der er sikkerhedsrådgiver i rådgivnings- og konsulentvirksomheden Accenture, kaldte i samme avis strategien for ”tomme ord, som ser godt ud på papiret”.

Siden er der gået to år. Men på trods af, at der på sundhedsdatastyrelsens hjemmeside står, at initiativerne skulle igangsættes i løbet af 2019 og 2020, er der ifølge Danske Regioner ikke meget nyt at berette.

Annonce

- Vi er nogenlunde samme sted

Ifølge Ulla Astman, næstformand i Danske Regioner, er flere af de initiativer, der skulle sikre sundhedsvæsenet mod cyberkriminelle og spionage fra fremmede magter, fortsat ikke kommet ud af startboksen.

I januar 2019 offentliggjorde regeringen 68 nye sikkerhedstiltag mod cybertruslen. I strategien for sundhedssektoren var der ved 9 af 17 nye tiltag indsat en stjerne, der henviste til en fodnote om, at initiativerne krævede "særskilt aftale om finansiering". Altså manglede regeringen og regionerne at blive enige om, hvem der skulle betale for at føre dem ud i livet. Hvordan endte det med de tiltag?

- Vi er nogenlunde samme sted. Vi har ikke en plan for, hvordan de sidste 8 initiativer skal finansieres. Derfor afventer vi stadig forhandlinger om at få dem på plads. Vi er i gang med at etablere overvågning og analyse af vores it-systemer. Men før vi kan komme videre i de øvrige opgaver, er vi nødt til at have finansieringen på plads.

De ufinansierede sikkerhedstiltag

I cybersikkerhedsstrategien fra 2019 var der 17 sikkerhedstiltag for sundhedssektoren. 9 af dem var markeret med en stjerne, hvilket betød, at der ikke var aftalt finansiering. Det var delene:

  • Effektiv koordination af varsler
  • Sikkerhed starter hos medarbejderne
  • Styrket teknisk it-sikkerhed i sektorens systemer og it-infrastruktur
  • Håndtering af sikkerheden i legacy-systemer og -udstyr
  • Udbygning af sektorens sikkerhedsarkitektur
  • Løbende test af sikkerheden i sundhedssektorens systemer og udstyr
  • Hændelseshåndtering
  • Etablering af tværgående it- og cyberberedskab
  • Etablering af funktioner til overvågning og analyse af aktivitet på sundhedssektorens it-systemer og -infrastruktur
  • Det sidste punkt er ifølge Danske Regioner, det eneste, der efterfølgende er aftalt finansiering for, og derfor også det eneste, der er igangsat.

Det er to år siden strategien blev lagt frem. Hvorfor er finansieringen stadig ikke på plads?

- I økonomiaftalen for 2021, blev vi enige om, at det vigtigste initiativ var overvågning og analyse af vores it-systemer. Vi vil stadig gerne gennemføre cyberstrategien, og vi har efterspurgt en plan for, hvornår vi kan tale finansiering, men vi har ikke hørt noget endnu. Det er en alvorlig og vigtig dagsorden, men det er ikke en, vi mener, vi kan løfte alene med de midler, der er på sundhedsområdet. I så fald ville vi skulle bruge de midler, der bruges til behandling af patienter. Det synes vi ikke er en rimelig måde at betale regningen på.

Annonce

- En alvorlig trussel

Når finansieringen fortsat ikke er på plads, skyldes det ifølge Ulla Astman langt fra, at cybertruslen er blevet mindre alvorlig i løbet af de seneste år. Det understøttes af den seneste trusselsvurdering på sundhedsområdet fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste. Her lyder det fortsat, at truslen fra cyberspionage og cyberkriminalitet rettet mod det danske sundhedsvæsen er ”meget høj”.

Samtidig har it-sikkerhedseksperter i gårsdagens Avisen Danmark advaret mod, at den offentlige sektor og særligt sundhedsvæsenet er dårligt beskyttet mod hackerangreb herhjemme. Ulla Astman, næstformand i Danske Regioner erkender, at sundhedsvæsenet er bagud, når det handler om at beskytte sig mod hackerangreb fra cyberkriminelle og fremmede magter.

- Det er en alvorlig trussel. Vi oplever til daglig forskellige phisningangreb, og vi tager det meget alvorligt. Vi har set, hvordan et hackerangreb kunne lægge det engelske sundhedsvæsen ned i en måneds tid. Nogle gange må vi desværre bare erkende, at vi er et skridt bagud. Cybertruslen udvikler sig hurtigere, end vi kan nå at følge med, siger hun.

Ulla Astman mener, at Danske Regioner længe har efterspurgt flere penge til at forbedre it-sikkerheden i sundshedsvæsenet.

- Vi har også overfor skiftende regeringer flere gange rejst udfordringen med, at vi ikke kan blive ved med finansiere vores del af opgaven med de midler, der går til det samlede sundhedsvæsen. Der er brug for flere penge fra staten til at klare cybersikkerhedsarbejdet, siger hun.

Annonce

Sunhedsministeriet: Det er regionernes ansvar

Avisen Danmark har spurgt sundhedsminister Magnus Heunicke (S), hvorfor der fortsat ikke er fundet en løsning på finansieringen af de otte it-sikkerhedstiltag i sundhedsvæsenet, og om området vil blive opprioriteret i fremtiden. Fredag eftermiddag sender Sundhedsministeriet en skriftlig kommentar som svar. Der står blandt andet:

- Sundhedsministeriet oplyser, at cyber- og informationssikkerhed er et vilkår i forhold til at drive et moderne digitalt sundhedsvæsen. Regionerne har som udgangspunkt ansvaret for at sikre et passende og tidssvarende sikkerhedsniveau i regionerne, så de kan sikre opretholdelsen af patientbehandling og den fortsatte drift på sygehusene.

Derudover skriver ministeriet, at det i forbindelse med strategien er aftalt, at "parterne løbende skal vurdere, hvor sektoren får mest sikkerhed for pengene med de midler, der er til rådighed".

Slutteligt henviser sundhedsministeriet til den seneste økonomiaftale, hvor regeringen, Danske Regioner og Kommunernes Landsforening blev enige om at gennemføre det ene af de ni punkter, nemlig at etablere en fælles overvågnings- og analysefunktion for sundhedssektoren. Ifølge ministeriet vil det sikre "en fortsat solid cyber- og informationssikkerhed i sektoren".

Annonce
Annonce
Annonce
Annonce
Annonce