Trend 5: Komplekst sikkerhetslandskap med for lave investeringer
Det digitale trusselbildet er i stadig utvikling. Som leverandør av kritiske tjenester og forvalter av sensitiv informasjon er helse- og omsorgstjenesten utsatt. Tillit fra innbyggere og helsepersonell forutsetter at helseinformasjon er korrekt og at den lagres trygt.
Konsekvensene av dataangrep kan være store. Samtidig kan det være utfordrende å beskrive verdien av å investere i digital sikkerhet og forebygging siden man ikke kjenner kostnaden ved digitale angrep. Virksomheter i sektoren har gjerne stramme budsjetter, som kombinert med komplekse systemer, kan føre til begrenset oversikt over det digitale risikobildet. Det blir ikke investert nok i digital sikkerhet i forhold til behovet, og helsetjenesten blir sårbar for digitale angrep mot kritiske systemer som journalsystemer, medisinsk utstyr.
Siden reguleringer ikke gir detaljerte krav til hvordan digital sikkerhet skal oppnås, men fordrer at virksomhetene gjør egne vurderinger av risiko, er det behov for å bygge kompetanse og sikkerhetskultur, samt å gi god veiledning rettet mot mindre virksomheter som har vanskeligere for å bygge slik kompetanse selv.
Det innebærer
- Behov for innebygd sikkerhet ved utvikling av prosesser og støttesystemer slik at hver enkelt del blir så sikker som mulig.
- Behov for videre styrking av kompetanse og sikkerhetskultur.
Vi må snakke om
- Hva må vi gjøre nå for å øke forståelsen for viktigheten av sikkerhet og sørge for at det blir tilstrekkelig prioritert?
- Etter årlig økning fra 2019 til 2021, er det nå tilbakegang i utbredelsen av positive oppfatninger om tilgang til helseopplysninger og informasjonssikkerhet blant innbyggerne*. Hvordan snur vi denne trenden?
- Hvordan øker vi sektorens kapasitet til å motstå digitale trusler, både ved forebygging og håndtering av digitale sikkerhetshendelser?
*Parallelt er utbredelsen av negative oppfatninger stabil, mens stadig flere ikke tar ikke stilling til temaet.
Videre lesing
- SSB sin oversikt over IKT-sikkerhetsproblemer i statlige virksomheter.
- Riksrevisjonsrapport om helseforetakenes forebygging av angrep mot sine IKT-systemer som forteller at ledelsen i regionale helseforetak, og underliggende foretak, har mangelfull informasjon.
- Helsetilsynets rapport om sykehusenes forberedelse på IKT-bortfall som viste mangler.
- Sikkerhetsrapporten fra Østre Toten som identifiserte en rekke svakheter knyttet til IKT-sikkerhet.
- ENISA rapporterer at helse ligger under snittet på investering i sikkerhet (NIS-direktivet).
- HIMSS Healthcare Security Survey fra 2021 sier at kun 6 % eller mindre av IT-budsjettene er satt av til cybersikkerhet.
- Flere sikkerhetseksperter påpeker umoden ansvarsforståelse [1], [2].
- I følge Mørketallsundersøkelsen 2022 oppdager 40 % av de som utsettes for hendelser dette tilfeldig.
- Rikets digitale tilstand fra Digitaliseringsdirektoratet som forteller om opplevde sikkerhetsproblemer, beskyttelse av personlig informasjon og falsk informasjon.
- Direktoratet for e-helse sitt innspill til stortingsmelding om helseberedskap der blant annet kompetanse og sikkerhetskultur ble nevnt som satsningsområde.
- Datatilsynet roper varsko om it-sikkerhet på sykehusene på grunn av nedskjæringer.