Ikt og beredskap
Sikker IKT er en forutsetning for pasientbehandlingen og pasientsikkerheten, både i det daglige virket vårt og i beredskapssituasjoner. Men hvor godt forberedt er vi når IKT er grunnen til hendelser og beredskap? Hvor godt er vi sikret mot et stadig økende trusselbilde for dataangrep? Hva gjør vi når det går galt?
Av Erik M. Hansen
Direktør for e-helse, Helse Vest RHF
Løsningen er både enkel og krevende: Vi må være så godt forberedt vi overhode kan, drive godt i det daglige, skape kultur for læring og informasjonssikkerhet – og ha så gode beredskapsplaner som mulig. IKT er en forutsetning for helsetjenestene i dag, og har også en viktig plass i beredskapsarbeidet vårt. Når pandemien krevde rask omstilling og utvikling på flere områder, kunne IKT-løsninger bidra effektivt til økt bruk av videokonsultasjoner, bedre internkommunikasjon, understøtte gode analyser og framskrivninger, digitalisere informasjonsflyten mellom aktørene og til innbyggere og mer.
To utfordringer
Økt bruk av digitale løsninger i helse- sektoren bidrar til pasientbehandlingen og styrker pasientsikkerheten. Men vi ser særlig to utfordringer som følger med digitaliseringen; situasjoner der bortfall av IKT er årsaken til hendelser, og trusselbildet knyttet til informasjonssikkerhet.
Bortfall
Hendelser som leder til bortfall av IKT skjer, og vil skje framover. Det utenkelige kan skje. En viktig del av beredskapen er at vi erkjenner at vi aldri kan være godt nok forberedt. Beredskapsplanene våre må være tydelige og ta høyde for et risikobildet som endrer seg løpende. Det gjør at vi må skjerpe oss, hele tiden. I en høststorm for noen år siden måtte seilskipet Statsråd Lehmkuhl kaste anker i Bømlafjorden. Ankeret ødela en av to fiberkabler mellom Helse Vest IKT sine datahaller i Stavanger og Bergen. Reparasjonen tok en uke. I to døgn var all trafikk avhengig av den ene kabelen, deretter ble det etablert en midlertidig løsning med trafikk via Oslo. Vi lærte at to alternative veier ikke er nok, vi har nå tre parallell fibertraseer for de viktigste sambandene. Helse Vest har også opplevd bortfall av DIPS, som følge av en større oppgradering. Da gikk det en hel dag uten at brukere fikk tilgang til journaldokumenter på sykehusene. I samme tidsrom døde en pasient ved et av sykehusene. Granskingen fylkeslegen gjorde viste at det ikke var noen årsakssammenheng. Men erfaringen vi gjorde oss under denne hendelsen understreket det faktum at dagens digitalisering leder til at bortfall av IKT kan ha konsekvenser for liv og helse.
Informasjonssikkerhet
Når det går galt må samarbeidet i helsetjenesten fungere effektiv og fordelingen av ansvar være tydelig: Helseforetakene må ha beredskap for å drive sykehus under forhold med redusert IKT, IKT-enhetene må ha beredskap for å gjenopprette IKT-løsningene raskest mulig. Det må være tett kontakt og god koordinering i disse krevende situasjonene. Informasjonssikkerhet er en annen årsak til utfordringer. Trusselbildet er i stadig endring. Helseforetakene har i økende grad blitt interessante mål for trusselaktører, og det er større risiko for dataangrep. Vi opplever også at sykehusene løpende er mål for digitale angrep utenfra. Forebyggende og proaktivt arbeid er viktig for å, i den grad det er mulig, unngå at angrep lykkes. Den samlede risikoen knyttet til informasjonssikkerhet er høy. Dette følger av at et datainnbrudd vil kunne utfordre alle sider av informasjonssikkerheten. Konfidensialitet vil kunne utfordres ved at data hentes ut, tilgjengelighet til informasjon vil kunne utfordres ved at data krypteres, slik at systemer tas ned, og integriteten for informasjon vil kunne utfordres ved at en inntrenger endrer informasjonen uten at det oppdages.
Dataangrep
Vi har også ved ett tilfelle vært utsatt for et omfattende dataangrep fra Internett. Angrepet mot Helse Vest lyktes ikke. Da lærte vi om statsfinansierte avanserte trusselaktører som arbeider utrettelig og systematisk mot forretningsmessige eller politiske mål, også mot sykehusene. Den tekniske IKT-sikkerheten må være god og samsvare med de høye standardene vi har og vet virker. Det kan gjelde alt fra sikkerheten i driften av systemene til å stoppe de som ikke vil oss vel. Vi opplever for eksempel alle forsøk på svindel på e-post, både på jobb og privat. Det må vi alle være våkne for. Visste du at mer enn 90 prosent av alle innkommende e-poster blir fanget opp og faktisk ikke når deg? Fordi vi har system som stopper de. Vi har i dag mange teknologiske sikkerhetsmekanismer som skal beskytte IKT-systemene fra eksterne angripere. Men, angriperne blir stadig med avanserte, derfor må disse sikkerhetsmekanismene kontinuerlig videreutvikles.
Sikkerhetskultur
Men informasjonssikkerhet handler også om sikkerhetskultur, som er det ansvaret vi alle har for å bidra til at hendelser ikke skjer. Det handler om å ikke klikke på lenka i den e-posten, lage gode passord og sørge for at andre ikke har tilgang til påloggingen din på maskiner og de ulike programmene du bruker. Det vil si, også når det gjelder vår egen hverdag, å tenke at det alltid er best å være på den sikre siden. Så, hva kan gå galt? Svært krevende situasjoner kan oppstå, vi har noen kjente eksempler fra de siste årene, blant annet angrepene mot Hydro (2019), Hurtigruten (2020), Aqua Group (2020) og Østre Toten kommune (2021). Angrepet mot Hydro viste at de økonomiske og driftsmessig konsekvens- ene kan bli kolossalt store. Hydro har selv indikert kostnadene til å være over 700 mill. kr. Stortinget ble også rammet av et angrep mot deres e-postsystem både høsten 2020 og våren 2021. Dette understreker de politiske utfordringene knyttet til de avanserte trusselaktørene.
Simulerte dataangrep
Penetrasjonstesting (simulerte angrep) er en viktig del av kontroll- og forbedringsarbeidet. Norsk Helsenett ved HelseCERT gjennomfører regelmessig simulerte dataangrep mot regionene sin IKT-infrastruktur. Riksrevisjonen testet IKT-sikkerheten i sykehusene i 2019 og 2020. I rapporten fra desember 2020 sier de at informasjonssikkerheten må bli betre. Nye tester etter lukkingen av de avvikene Riksrevisjonen identifiserte viser gode resultater. Riksrevisjonen har bidratt med et svært verdifullt arbeid som har avdekket sårbarheter og gitt ny innsikt. Informasjonssikkerhet er et felles ansvar og et kontinuerlig arbeid. IKT- og informasjonssikkerhet er avgjørende for pasientsikkerheten og for virksomhetene våre, både til hverdags og i beredskap.