Cybertrussel: Sundhedsvæsenet skal beskyttes via 17 initiativer

Sundheds- og Ældreministeriet, KL og Danske Regioner fremsætter 17 initiativer i én samlet strategi til at styrke indsatsen mod cyberangreb i sundhedssektoren, som regeringen vurderer, er en af seks særligt udsatte sektorer. Eksempelvis skal der udarbejdes fælles sikkerhedskrav, sådan at sektoren samlet set kan stille højere krav til sikkerhed hos private it-leverandører.

Ifølge udspillet baserer en række af initiativerne sig på indsatser, der allerede håndteres hos de enkelte aktører i sundhedsvæsenet. Derfor følger der ikke penge med, før de involverede parter som blandt andet regionerne, KL og Sundhedsdatastyrelsen på et tidspunkt aftaler nye, fælles aktiviteter. 'De finansieres og tilrettelægges derfor lokalt inden for aktørernes egne budgetter', som det lyder i udspillet.

Sundhedsvæsenet har et stort antal medarbejdere, der håndterer personfølsomme oplysninger i digitale patientjournaler, sundheds-apps, et komplekst it-landskab - og så arbejder de med både store og små organisationer og private erhvervsdrivende, som alle skal have et højt sikkerhedsniveau.

Det er blandt andet nogle af argumenterne for, at der er brug for sikkerhedsoprustning på området. Center for Cybersikkerhed vurderer truslen mod sundhedssektoren som 'meget høj', og det er på det grundlag, at strategien med de 17 initiativer er blevet lavet.

- For sundhedspersonalet har det en bagside, en risiko for sabotage eller tyveri. Derfor har vi også fokus på hele kulturen på arbejdspladserne omkring sikkerhed, så medarbejderne ved, hvordan de skal agere i en digital dagligdag, og hvordan de skal forholde sig, hvis der sker sikkerhedsbrud, siger formand for KL's sundheds- og ældreudvalg Jette Skive (DF).

Initiativerne fordeler sig i fire spor under 'forudse', 'forebygge', 'opdage' og 'håndtere', som fungerer som overordnede spor for, hvordan parterne vil have området til at udvikle sig snarere end et katalog af konkrete aktiviteter. De skal håndhæves af en decentral cyber- og informationssikkerhedsenhed (DCIS) i Sundhedsdatastyrelsen med 12-14 ansatte, som blev nedsat i november. Enheden skal også være bindeled til for eksempel Center for Cybersikkerhed.

Strategien er politisk aftalt mellem ministeriet, KL og Danske Regioner og er forankret i styregruppen, som består af repræsentanter fra de tre aftaleparter og en fra Praktiserende Lægers Organisation og Sundhedsstyrelsen. Gruppen skal mødes fire gange årligt. 

SPOR 1 – FORUDSE Bedre forudsigelse af potentielle angreb og hændelser

• 1.1. Identifikation af kritiske forretningsprocesser og it-systemer på tværs af sektorens aktører
• 1.2. Bedre overblik over sundhedssektorens sårbarheder og risici
• 1.3. Effektiv koordination af varsler
• 1.4. Klarhed over den enkelte aktørs rolle og ansvar
• 1.5. Deltagelse i relevante, internationale fora om cyber- og informationssikkerhed på sundhedsområdet 30

SPOR 2 – FOREBYGGE Bedre mulighed for at forebygge angreb og hændelser

• 2.1. Sikkerhed starter hos medarbejderne
• 2.2. Styrket teknisk cyber- og informationssikkerhed i sektorens systemer og it-infrastruktur
• 2.3.Håndtering af sikkerheden i legacy-systemer og -udstyr
• 2.4.Øget sikkerhed i IoT-enheder
• 2.5. Skærpede sikkerhedskrav til it-leverandører
• 2.6. Udbygning af sektorens sikkerhedsarkitektur

SPOR 3 – OPDAGE Bedre mulighed for at opdage angreb og hændelser

• 3.1. Løbende tests af sikkerheden i sundhedssektorens systemer og udstyr 3.2. Etablering af funktioner til overvågning og analyse af aktivitet på sundhedssektorens it-systemer og -infrastruktur
• 3.3. Effektiv håndtering af mistanke om hændelser

SPOR 4 – HÅNDTERE Hurtig håndtering i tilfælde af angreb og hændelser

• 4.1. Hændelseshåndtering
• 4.2. Etablering af tværgående it- og cyberberedskab
• 4.3.Beredskabsøvelser for fælles systemer og forsyningskæder