Menu
Riksrevisor Per-Kristian Foss betegner manglene i datasikkerheten hos helseforetakene som svært alvorlige. Foto: Stian Lysberg Solum / NTB

Riksrevisjonen simulerte dataangrep mot helseforetakene: Svært alvorlige mangler

Gjennom et simulert dataangrep klarte Riksrevisjonen å få høy grad av kontroll over datasystemene i tre av fire helseregioner.

Av NTB | 15.12.2020 14:08:15

Medisin og helse: Det simulerte dataangrepet ga Riksrevisjonen tilgang til store mengder sensitive helseopplysninger i alle regioner.

En reell angriper kunne ifølge Riksrevisjonen ha gjort stor skade. I tre av regionene ville det ha vært mulig for en slik angriper å:

* blokkere kritiske systemer på sykehusene

* slette eller utilgjengeliggjøre opplysninger som er nødvendige for behandling av pasienter

* manipulere opplysninger om pasienter

* stjele store mengder helseopplysninger

– Undersøkelsen avdekker alvorlige avvik på vesentlige områder, sier riksrevisor Per-Kristian Foss.

Ifølge ham står ikke innsatsen i samsvar til hvor viktig datasikkerhet er i helsevesenet.

– Helseregionene er på etterskudd, sier Foss.

– De har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger, og de mangler oversikt over sikkerheten i IKT-infrastrukturen.

Riksrevisjonen betegner manglene som «svært alvorlige». Det er den sterkeste formen for kritikk Riksrevisjonen kan gi.

– Dette er en stor sikkerhetsskandale. Regjeringen har ikke sikret sensitive helseopplysninger i tråd med loven, noen av våre viktigste IKT-systemer er sårbare for angrep. Det er dypt urovekkende, sier han.

Han mener helse- og omsorgsminister Bent Høie (H) driver med ansvarsfraskrivelse i saken.

I et svar til Riksrevisjonen viser Høie til at departementet ikke har operativt ansvar på feltet. Riksrevisjonen mener for sin del at departementet har opptrådt for passivt.

– Departementet har iallfall et ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier Foss.

– Da nytter det ikke å bare skyve ansvaret fra seg, slik vi mener departementet gjør, sier riksrevisoren.

– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier han.

Ifølge Høie er arbeidet allerede gang. Han forsikrer om at han selv vil følge opp i 2021.

– Dette er en alvorlig rapport. Men det er også en veldig nyttig rapport, sier helse- og omsorgsministeren.

Foss viser til at helseopplysninger på avveie kan få alvorlige konsekvenser, og at angrep på helseforetakenes datasystemer kan forårsake pasientskader.

Freddy Øvstegård, som representerer SV i Stortingets kontroll- og konstitusjonskomité, reagerer kraftig.

Overfor NTB innrømmer Høie at det ikke er gjort nok for å sikre IKT-systemene.

Flere nyheter: