Sikre helseforetak krever sikker infrastruktur

Datert 26. april 2018. Forbundets kommentarer til stortingshøring i forbindelse med representantforslag 197 S om definering av grunnleggende IKT-infrastruktur i helseforetakene inn under sikkerhetsloven.

Alle tre forslagene er godt begrunnet og kan være av avgjørende betydning for å hindre at det skjer flere hendelser som i Helse Sør-Øst.

IKT-infrastruktur som skjermingsverdig informasjon

Helseopplysningene til Norges befolkning lagres og håndteres digitalt og omhandler alt mulig: fødsler, aborter, utredning om psykiske lidelser, kjønnssykdommer og din leges kommentarer om din helse. Dette er informasjon man nødig vil dele av egen fri vilje.

Antall hackerangrep mot Norge øker i omfang for hvert år. I 2017 ble blant annet Utenriksdepartementet, PST, Statens strålevern og Forsvaret forsøkt hacket. Dette viser at sensitiv informasjon om oss er ettertraktet. Slik sensitive informasjon lagres på servere til bedriften som drifter systemet. Dette betyr at det ikke er sikkerhetsmessig mulig å opprette eller definere et skille mellom IKT-infrastrukturen og dataene som lagres og behandles. Når det opprettes tilgang til infrastrukturen fra en bedrift utenfor et helseforetak, kan dette bli et nytt punkt hvor det kan oppstå sikkerhetsbrister.

Nasjonal Sikkerhetsmyndighet (NSM) publiserte en rapport i mars i år som avslørte betydelige sikkerhetsbrister hos virksomheter som forvalter kritiske samfunnsfunksjoner. Dette var i form av sikkerhetsbrudd som skjer ved at noen klikker på en link i en e-post som fører brukeren til skadevare eller en falsk side som ber om påloggingsinformasjon. NSM fikk ni av ti ansatte i en offentlig virksomhet til å klikke på lenken, og fem av ti til å aktivere skadevaren. Tre av ti oppga påloggingsinformasjonen sin.

Men rapporten viste også at hacking ikke bare skjer på avstand. NSM klarte å komme seg inn på offentlige virksomheters systemer ved å komme inn gjennom åpne bakdører som brukes av kantinemedarbeidere, å koble seg til nett på usikrede møterom, og å koble seg på nettverket via en enhet som styrte kjølesystemet på et kjøkken.

Ved et annet tilfelle var det en enkelt dør som hadde skylden, da NSM kom seg fysisk inn en dør etter en legitim ansatt, da døren brukte for lang tid på å lukke seg fordi den hadde en for treg dørpumpe. Vel inne kunne testpersonellet fra NSM gjemme seg på toalettet inntil alle de ansatte hadde gått hjem for dagen. Da var det i realiteten fritt fram.

Personvernet vårt og våre helsedata beskyttes i dag av bedrifter hvor slikt som dette kan skje. EL og IT er derfor enig med forslagsstillerne i at IKT-infrastrukturen i helseforetakene defineres inn under krav i sikkerhetsloven.

Nasjonal drift og lagring

Sikkerhetsbruddene i tidligere saker har en fellesnevner: hos både Helse Sør-Øst, Nødnett og Statoil ble det gitt garantier som var umulig å overholde.

Helseforetakene må ta eierskap til egen utvikling og drift av IKT-infrastrukturen. Det vil gi bedre kontroll på sikkerheten i systemene som man drifter og gode rutiner rundt dette. En positiv følge av ikke å outsource driften, er at man også er med på å beholde viktig kompetanse og arbeidsplasser.

EL og IT Forbundet er derfor enig med forslagsstillerne i at drift og lagring av sensitive info må gjøres i Norge.

Outsourcing av utvikling og drift av kritiske tjenester og systemer

Outsourcing ser i mange tilfeller ut til å bli brukt som trylleformel for å kunne spare penger. Avgjørelsen om å iverksette outsourcing gjøres ofte av ledergrupper som ikke har like god IT-kunnskap som sine faglig dyktige ansatte. Den årlige rapporten «IT i praksis» fra IKT Norge, Visma og Rambøll viser at kun 32 prosent av IT-ledere i privat sektor er med i ledergruppen på sin arbeidsplass. EL og IT Forbundet er bekymret for at mange outsourcinger skjer uten at de tekniske implikasjonene har blitt belyst godt nok før avgjørelse tas.

EL og IT Forbundet mener at outsourcing av IT-tjenester i helseforetakene må erstattes av strategier for å utdanne, bygge kompetanse og nye arbeidsplasser i Norge. Vi er enig med forslagsstillerne i at pågående outsourcing av utvikling og drift av kritiske nasjonale IKT-tjenester og system i helsesektoren bør avsluttes og at nye avtaler ikke kan inngås.
 

Del: