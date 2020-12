Det simulerte dataangrepet ga Riksrevisjonen tilgang til store mengder sensitive helseopplysninger i alle regioner.

Det kommer fram i en ny og omfattende rapport om IT-sikkerhet i helseregionene.

En reell angriper kunne ifølge Riksrevisjonen ha gjort stor skade. I tre av regionene ville det ha vært mulig for en slik angriper å:

blokkere kritiske systemer på sykehusene

slette eller utilgjengeliggjøre opplysninger som er nødvendige for behandling av pasienter

manipulere opplysninger om pasienter

stjele store mengder helseopplysninger

– Undersøkelsen avdekker alvorlige avvik på vesentlige områder, sier riksrevisor Per-Kristian Foss.

Svært alvorlige mangler

Foss viser til at helseopplysninger på avveie kan få alvorlige konsekvenser, og at angrep på helseforetakenes datasystemer kan forårsake pasientskader.

Ifølge ham står ikke innsatsen i samsvar til hvor viktig datasikkerhet er i helsevesenet.

Riksrevisor Per Kristian Foss sier helseforetakene er på etterskudd når det gjelder IT-sikkerhet. Foto: Stian Lysberg Solum / NTB

– Helseregionene er på etterskudd, sier Foss.

– De har ikke jobbet systematisk nok med opprydding og utfasing av eldre systemer og tilganger, og de mangler oversikt over sikkerheten i IKT-infrastrukturen.

Riksrevisjonen betegner i rapporten manglene som «svært alvorlige». Det er den sterkeste formen for kritikk Riksrevisjonen kan gi.

– En stor sikkerhetsskandale

Freddy Øvstegård, som representerer SV i Stortingets kontroll- og konstitusjonskomité, reagerer kraftig.

– Dette er en stor sikkerhetsskandale. Regjeringen har ikke sikret sensitive helseopplysninger i tråd med loven, noen av våre viktigste IKT-systemer er sårbare for angrep. Det er dypt urovekkende, sier han.

Han mener helse- og omsorgsminister Bent Høie (H) driver med ansvarsfraskrivelse i saken.

I et svar til Riksrevisjonen viser Høie til at departementet ikke har operativt ansvar på feltet. Riksrevisjonen mener for sin del at departementet har opptrådt for passivt.

– Departementet har iallfall et ansvar for å holde seg informert om status på området. Særlig når vi kan konstatere at både lov og forskrift er brutt, sier Foss.

– Da nytter det ikke å bare skyve ansvaret fra seg, slik vi mener departementet gjør, sier riksrevisoren.

Helseminister Bent Høie sier det ikke er gjort nok for å sikre IKT-systemene. Foto: Jil Yngland / NTB

Lover å følge opp

Overfor NTB innrømmer Høie at det ikke er gjort nok for å sikre IKT-systemene.

– Riksrevisjonens rapport er alvorlig og veldig viktig. Den gir helseregionene et klart grunnlag for å jobbe videre med å redusere denne risikoen, sier han.

Ifølge Høie er arbeidet allerede gang. Han forsikrer om at han selv vil følge opp i 2021.

– Dette er en alvorlig rapport. Men det er også en veldig nyttig rapport, sier helse- og omsorgsministeren.

I to av helseregionene - Helse Nord og Helse Sør-Øst - er det satt i gang større forbedringsprosjekter som helt eller delvis har som formål å bedre informasjonssikkerheten.

I Helse Sør-Øst er det viktig å oppgradere regionens IKT-infrastruktur, samt å etablere en felles teknologisk plattform. Helse Sør-Øst har en særskilt stor og uoversiktlig portefølje av IKT-systemer, samt utfordinger knyttet til eldre IKT-infrastruktur, heter det i rapporten.

Helse Vest og Helse Midt-Norge har ikke sett samme behov for større forbedringsprosjekter, heter det i rapporten.