logo

Hvor trygge er egentlig våre helsedata?

Omfanget av dataangrep mot helseinstitusjoner øker verden over, også i Norge. Hvordan rigger vi oss mot dette når innsamlingen av digitale helsedata øker?

Mer og mer data om vår helse blir samlet inn digitalt. Nå anbefaler forskere at sikkerhetssystemene skjerpes. (Illustrasjonsfoto: Colourbox)
Mer og mer data om vår helse blir samlet inn digitalt. Nå anbefaler forskere at sikkerhetssystemene skjerpes. (Illustrasjonsfoto: Colourbox)

Utbredt bruk av teknologi som elektroniske pasientjournaler (EPJ) og nye kilder til helseinformasjon har ført til innsamling av store mengder helserelaterte data. Det har samtidig ført til store utfordringer rundt sikkerhet og personvern for helsedata.

Datainnbrudd kommer til å øke i omfang fremover, ikke minke. Dette er bare noe vi alle må innfinne oss med og skjerpe sikkerhetssystemene. Dagens moderne helsevesen digitaliseres i økende grad, og IKT er en viktigere del av kjernevirksomheten. Dette gir grunnlag for økt kvalitet i pasientbehandlingen. Samtidig blir vi mer sårbarhet for digitale angrep, og de potensielle negative konsekvensene av sikkerhetsbrudd blir større.

Flere forskere, inkludert fire fra Nasjonalt senter for e-helseforskning, har skrevet et eget kapittel i boka «Roadmap to succesful Digital Health Ecosystem» om nettopp disse sikkerhetsutfordringene og løsninger mht. lagring og bruk av digitale helsedata. Boka som ble utgitt 25. februar i år er ment å fungere som et veikart til et vellykket digitalt økosystem i helsevesenet. Kapittelet gjennomgår de vanligste helsedatasikkerhets- og personvernutfordringene, inkludert en oversikt over bekymringer og typer cybersikkerhetstrusler som helseinstitusjoner står overfor i dag. Kapittelet fremhever det siste vitenskapelige arbeidet knyttet til cybersikkerhetsløsninger for å beskytte helsedata brukt til pasientbehandling og sekundære formål.

- Hovedbudskapet i kapittelet er at cybersikkerhetshendelser kan skje helseinstitusjoner av alle typer og størrelser, og konsekvensene inkluderer sosialt og økonomisk tap samt reduksjon i kvaliteten på pasientbehandling som kan være livstruende, sier seniorforsker Kassaye Yitbarek Yigzaw i Nasjonalt senter for e-helseforskning.

Økende problem

Studier viser at omfang av dataangrep mot helseinstitusjoner verden over har økt de siste årene, også i Norge. Helsevesenet kan være interessante mål for både datakriminalitet, industrispionasje og statlig etterretning, med den hensikt å stjele, endre, hindre eller påvirke data eller funksjoner. Eksempler på slike data er systematiserte, sensitive helsedata som finnes i registre og journaler.

Stjålne helseopplysninger kan brukes som pressmiddel for å oppnå et mål, og eller være verdifulle til forskning og utvikling. Slike datainnbrudd vil få konsekvenser for sykehusdriften selv om sykehusene har beredskapsrutiner og gjennomfører beredskapsøvelser hvor bortfall av IKT er et av scenariene.

I januar 2018 ble bl.a. Helse Sør-Øst utsatt for dataangrep som kunne ha blitt brukt til å stjele eller kompromittere pasientopplysninger. I august 2020 ble Sykehuset Innlandet utsatt for et dataangrep. Det er også mange eksempler fra utlandet:

  • «Wannacry-angrepet» i 2017, der helsesektoren i Storbritannia var blant dem som ble verst rammet. Datasystemer ved omtrent 40 britiske sykehus og private klinikker ble infisert av et løsepengevirus.
  • I 2020 ble 400 sykehus/helseinstitusjoner i USA med 90 000 ansatte rammet av et dataangrep som medførte at alt IKT-utstyr måtte slås av i en periode.
  • I 2020 ble Düsseldorf Universitetssykehus i Tyskland rammet av et løsepengeangrep og det tok i overkant av en måned før dette sykehuset var tilbake i normal drift. En kvinne døde som følge av angrepet.

Vi er sårbare

Det er viktig å tenke på robustheten i helsetjenesten. Norge har nå mange helseinstitusjoner med samme IT-leverandør. Dersom en leverandør blir angrepet, vil mange institusjoner stå mer eller mindre uten IT-støtte.

– For meg er det skummelt å tenke på hvor sårbar helsetjenesten vår er som følge av den store samlingen av helseinstitusjoner som har gått over til å bruke skybaserte IT-systemer, og som nå er sårbare i den pågående cyberkrigen, sier professor Johan Gustav Bellika ved Norsk senter for e-helseforskning.

Enkelte helseinstitusjoner vil få problemer med å yte helsetjenester etter kun to timer uten IT-støtte. Tenk deg effekten hvis mange institusjoner rammes samtidig! Vi vil da trolig oppleve samme situasjon som vi oppstod i 2021 hvor 80 % av alle sykehus i Irland mistet IT-støtten etter en serie koordinerte dataangrep.

Risikostrategi

Det er en nasjonal målsetting at helsedata skal være tilgjengelige for kvalitetsforbedring, helseovervåking, styring og forskning. Dataene skal disponeres på en måte som ivaretar personvern og tillit fra pasienter og helsearbeidere.

Helseinstitusjoner, som en del av det digitale økosystemet i helsesektoren, bør implementere risikostyringsstrategier for å minimere og håndtere risiko på riktig måte. Risikostyring er en pågående prosess for å identifisere, vurdere og reagere på risiko.

- Risikobasert cybersikkerhetsstrategi er en systematisk tilnærming for å prioritere nettrisiko som betyr noe for en organisasjon og bruke cybersikkerhetsløsninger som er kostnadseffektive, sier seniorforsker Kassaye Yitbarek Yigzaw i Nasjonalt senter for e-helseforskning.

Risiko er et mål som kombinerer sannsynligheten for og virkningen av en uønsket hendelse. I risikoanalyser angis risiko som produktet av sannsynligheten for at hendelsen skal skje og konsekvensen av hendelsen: risiko(x) = sannsynlighet(x) • konsekvens(x)

Et fem-trinns veikart for cybersikkerhet

Kapittelet til helseforskerne i boka gjennomgår de vanligste sikkerhets- og personvernutfordringene som gjelder helsedata for å gi en oversikt over hvilke bekymringer og typer sikkerhetstrusler helsevesenet står overfor.

Forskerne skriver også om hvordan følge lover og retningslinjer for beskyttelse av helsedata. Både når det gjelder pasientens tilgang på egne helsedata og data som brukes til sekundære formål som statistikk og forskning.

Trusler mot nettsikkerhet overfor helseinstitusjoner og pasientsikkerheten er reelle. Derfor må cybersikkerhet prioriteres, og helsevesenet må gjøre de investeringene som trengs for å beskytte pasientene og deres helsedata. I kapitlet beskrives et trinnvis veikart for nettsikkerhet. Dette er et viktig verktøy for helseinstitusjoner som søker å håndtere cyberrisiko.

  1. Lage veikart for cybersikkerhet for å forstå institusjonens nåværende sikkerhetsposisjon og indikere hvilke sikkerhetsresultater som må oppnås.
  2. Gjennomføre risikovurdering for å fastslå sannsynligheten for sikkerhetsbrudd og hvilken innvirkning hendelsen kan ha på institusjonen.
  3. Opprette målprofil som beskriver institusjonens ønskede resultater for cybersikkerhet. I tillegg til brukerbevissthet og opplæring, kan institusjoner bruke ny kunnskap innen tilgangskontroll, kryptografi, avidentifikasjon og personvernbevarende distribuert datautvinning, for å utvikle en profil som passer for institusjonens risikovilje.
  4. Helseinstitusjoner må analysere gapet mellom gjeldende status og målprofiler for cybersikkerhet. Dette for å lage en prioritert handlingsplan for cybersikkerhet for å tette sikkerhetshull basert på virksomheten og juridiske krav, risikotoleranse og tilgjengelige ressurser.
  5. Implementering av handlingsplan. Det er viktig med forsvarlig overvåkning for å avdekke unormal atferd og aktivitet som kan være forsøk på sikkerhetsbrudd. Når et angrep oppdages, er det avgjørende å iverksette passende handlinger til bruddet og gjenopprette normal drift i tide for å redusere virkningen av en slik hendelse.

Referanse:

Chapter 14 - Health data security and privacy: Challenges and solutions for the future.
Kassaye Yitbarek Yigzaw, Johan Gustav Bellika, Taridzo Chomutare, Luis Marco-Ruiz, Sílvia Delgado Olabarriaga, Antonis Michalas, Christiaan Hillen, Yiannis Verginadis, Marcela Tulerde de Yliveira, Dagmar Krefting, Thomas Penzel, JamesBowden.
https://doi.org/10.1016/B978-0-12-823413-6.00014-8