Cyberstrategi med red team-tests af sygehuse: »Der mangler penge og detailplaner«

Illustration: MI Grafik
Den nye strategi for cybersikkerhed i sundhedssektoren lægger op til skærpede krav til medicinsk udstyr der er koblet på nettet, og flere scenariebaserede red team-tests fra whitehat hackere. Men der mangler detailplanlægning, anfører fagmand.

Regeringen præsenterede i går 64 forskellige initiativer fordelt på seks samfundsskritiske sektorer, der skal styrke cyber- og informationssikkerheden. Det sker som en opfølgning på den nationale strategi for cyber- og informationssikkerhed som regeringen fremlagde i

17 initiativer er i sundhedssektoren, der vurderes til at være en af de mest sårbare sektorer for cyberangreb.

For kombinationen af mange ældre it-platforme og udstyr, som er indkøbt før man var så opmærksom på cybersikkerhed, og ønsket om at koble flere enheder online, udgør en giftig cocktail, der gør sundhedsektoren sårbar. Sådan lød trusselsvurderingen i sommers fra Center for Cybersikkerhed.

Læs også: Center for Cybersikkerhed: Hospitaler er sårbare for cyberangreb

Blandt de 17 initiativer på sundhedsområdet er en undersøgelse af regler for medicinsk udstyr der kobles på internettet, og flere red team-test på de danske hospitaler.

»Sikkerheden i sektoren skal styrkes i forhold til IoT-enheder, der er forbundet til et netværk,« står der i sektorstrategien.

Læs også: Hospitalernes medikoudstyr kobles på nettet: Øger sårbarhed over for cyberangreb

Nye lovkrav for IoT-enheder undersøges

Det betyder konkret at Lægemiddelstyrelsen, i samarbejde med Sundhedsdatastyrelsens nye cybersikkerhedsafdeling, DCIS, skal vurdere om at der er behov for skrappere politiske krav til medicinsk udstyr der er koblet online.

»Dette skal i første omgang ske ved, at Lægemiddelstyrelsen og DCIS i 2019 indleder et strategisk samarbejde om at dele relevant viden, drøfte nyeste regulatoriske krav på området mv. I den forbindelse vil Center for Cybersikkerhed i løbet af 2019 udarbejde en særskilt vurdering af cybertruslen mod netværksforbundet medicinsk udstyr,« står der i sektorstrategien.

Og der er brug for en opdatering af lovgivningen, så leverandører og brugere af udstyret kan producere og anvende medicinsk udstyr uden at risikere at kompromittere patienternes sikkerhed.

Sådan lyder det fra konsulentvirksomheden Genau & More, godkendelse af medicinsk udstyr og blandt andet rådgiver de danske regioner og sygehuse i arbejdet med at validere it-løsninger.

»Lovgivningen inden for eksempel medicinsk udstyr bør i endnu højere opdateres til også at omfatte IoT-teknologier og udstyr, herunder minimumskrav til udstyret i forhold til cyber- og informationssikkerhed, således det netværksbaserede udstyr fungerer som tilsigtet og patientsikkert. Det vil også være fordelagtigt med egentlige guidelines, både for f.eks. brugerne på sygehusapotekterne og hospitalerne, men reelt også producenterne af udstyret,« siger Henrik Johanning, adm. direktør i Genau & More til Version2.

I foråret 2018 lød vurderingen ellers fra Lægemiddelstyrelsen, at truslen for cyberangreb mod medicinsk udstyr ikke var alvorlig.

»Hacking af medicinsk udstyr er en relativt ny problemstilling, og Lægemiddelstyrelsen har en klar formodning om, at fabrikanter af medicinsk udstyr selv har en interesse i at opretholde en høj sikkerhed for deres produkter. Det skal understreges, at risikoen stadig er teoretisk. Der er ikke eksempler på, at denne type hacking har fundet sted i Danmark eller EU,« skrev Solveig Røigaard-Petersen, pressechef i Lægemiddelstyrelsen, i en mail til Version2 tilbage i april.

Det trusselsbillede er nu ændret, og Lægemiddelstyrelsen skal i gang med at undersøge om cybertruslen skal betyde skærpede krav til det medicinske udstyr.

Læs også: Professor: Medikoindustrien forsømmer at sikre hospitalsudstyr mod hacking

Regioner køber massivt ind lige nu

Hvis nye lovkrav for alvor skal have betydning, så skal der ikke tøves alt for længe. For det er netop nu, at de danske regioner indkøber medicinsk udstyr for milliarder af kroner til de seks nye supersygehuse, der bygges i Aarhus, Aalborg, Odense, Herning, Køge og Hillerød.

Faktisk går op mod 25 procent af supersyge­husenes etableringsbudgetter til indkøb af ny teknologi.

Meget arbejdet med cybersikkerhed bliver forankret i Sundhedsdatastyrelsen, som i november etablerede en ny afdeling med 12-14 årsværk, hvis opgave er at implementere den nye sektorstrategi.

Læs også: Svensk software skal samle data fra 9.000 mediko-enheder i Region Syddanmark

Red team-test på vej

Det er ikke kun det medicinske udstyr som skal en ekstra gang under luppen med cybersikkerhedsbrillerne. Også medarbejderne skal i fremtiden testes.

Ifølge sektorstrategien skal der nemlig indføres red team-tests i sundhedssektoren, som er scenariebaserede angreb fra såkaldt etiske hackere (eller white hat-hackere), som påtager sig de fjendtlige aktørers rolle.

Den type test har den amerikanske sikkerhedsekspert Joshua Corman tidligere gennemført på amerikanske hospitaler, blandt andet i Phoenix Arizona, hvor whitehat hackerne overtog kontrollen med en patients pacemaker.

Han fortæller, at sundhedspersonalet ikke anede, hvordan de skulle håndtere det ondsindede angreb, og at de løb forvirrede rundt på operationsstuen.

»Lægerne vidste ikke, hvad de skulle gøre, og endte med at kortslutte pacemakeren fysisk, hvorefter patienten døde, « fortalte Joshua Corman sidste år til Version2.

Læs også: Cybertruslen stiger - men hvem der skal gøre hvad og hvornår er indhyllet i tåge

Det er den type episoder som man gerne vil undgå på de danske hospitaler ved at invitere såkaldte etiske hackere ind på hospitalerne, også kendt som whitehat hackere.

»(Det er nødvendigt at, red.) gennemføre regelmæssige tests af sikkerheden i sundhedssektorens systemer og udstyr. DCIS(Sundhedsdatastyrelsens nye afdeling for cybersikkerhed, red.) får til opgave at afklare grundlaget for, om sektorens allerede eksisterende testaktiviteter skal udbygges og eventuelt kan samles i et egentligt testprogram, som kan omfatte srbarhedsscanninger, penetrationstests og red team-tests. Etableringen af programmet - inkl. en platform til fortrolig videndeling om testresultater mv. – forudsætter særskilt aftale.«

Om det skal være private sikkerhedsvirksomheder, Sundhedsdatastyrelsen eller Center for Cybersikkerhed der skal stå for at gennemføre de kommende red team-tests er endnu uvist. Det spørgsmål bliver ikke besvaret i sektorstrategien.

Læs også: Video: Hacker taler til offer gennem IoT-sikkerhedskamera

Finansiering halter

Otte ud af de 17 initiativer på sundhedsområdet er ikke finansieret, og dermed er det op til regionerne og kommunerne selv at finde økonomiske midler til at implementere strategiens anbefalinger.

Det gælder blandt andet forslag om løbende tests af sikkerheden i sundhedssektorens systemer og udstyr og etablering af funktioner til overvågning og analyse af aktivitet på sundhedssektorens it-systemer og -infrastruktur.

Det vækker undren hos konsulentvirksomheden Genau & More.

»Overordnet ser jeg strategien som værende meget ambitiøs og den skaber bestemt en vigtig retning. Desværre mangler den dog adressering og forankring af den egentlige eksekvering og detailplan for implementering. Det er megaærgerligt,« siger Henrik Johanning og fortsætter:

»Jeg synes, vi mister vigtigt momentum, ved ikke at gå det ekstra vigtige skridt. Her bør regeringen og staten tage et større medansvar for regionerne og kommunerne og sikre en standardisering og medfinansiering. Stjernemarkeringen på 8 ud af 17 initiativer, altså godt halvdelen af initiativerne, viser, at man faktisk ikke ved, hvordan initiativerne skal finansieres. Jeg ser således en stor risiko for, at initiativerne faktisk ikke realiseres. Det udhuler strategien.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Mange af initiativerne er der ikke afsat penge til og især Regionerne og Kommunerne må klare sig selv. Strategiens væsentligste fejl er, at den ikke er finansieret og at "den mangler adressering og forankring af den egentlige eksekvering og detailplan for implementering", som også helt rigtigt set af Henrik Johanning.
Cybersikkerheden priotiteres højt, hvilket jeg skal være den sidste til at beklage, men det betyder, at der så er andre områder der må ned-prioriteres. For pengene skal findes i de eksisterende budgetter. Og hvis det fx går ud over patienterne og deres behandling er det stærkt kritisabelt. Stephanie Lohse, formanden for Danske Regioner, har også udtalt sig kritisk over den manglende finansering til udmøntningen af strategien i både DR og andre medier i går.
De eneste der har fået ekstraordinært mange penge og ressourcer til cyberområdet er Forsvarets Efterretningstjeneste og Center for Cybersikkerhed, der langt hen ad vejen bruger pengene til udvikling af offensive angrebsvåben til brug i cyberspace. Tankevækkende - ikke sandt?

Anne-Marie Krogsbøll

Det vil da være godt, hvis vi kan få sikret sundhedsvæsnet bedre mod digitalt uvæsen. Men hvordan får vi vore privatliv og sundhedsdata beskyttet mod frihedsundergravende elementer i folketing og regering? I dagens Politiken er forsidehistorien, at staten vil til at overvåge firmaers data med tvang - herunder at give CFC få adgang til patientjournaler uden dommerkendelse:
https://politiken.dk/indland/art6955959/Staten-vil-overv%C3%A5ge-firmaer...
(lige nu uden abonnement)

Avisen har et større tema om problematikken i dag - vist ikke online endnu.

Claus Hjort Frederiksen er i følge artiklen træt af alle sølvpapirshattene og konspirationsteoretikerne, for selvfølgelig vil ingen i regeringen eller CFC snage unødigt - de vil bare beskytte os. Afsløring: Jeg er er også træt af Claus Hjort Frederiksen (CHF) og den øvrige regerings angreb på min ret til privatliv.

CHF anfører, at skadelig kode kan gemme sig i patientjournaler, røntgenbilleder etc. I så fald: Er det klogt og forsvarligt som samfund at satse hovedløst på at digitale alt - inkl. privatlivet?

CHF er særdeles uklar (længere inde i avisen) omkring, hvem som skal have hånd og halsret over disse grænseløse adgange til borgernes privatliv. " I sidste ende går jeg ud fra, at det bliver et politisk ansvar - et ministeransvar på en eller anden måde. Myndighederne kan ikke bare operere uden om ministeransvaret"
Det lyder jo som endnu et trojansk hest i vores demokrati i form af øgede(vel i virkeligheden stort set ubegrænsede?) ministerføjelser. Hvorfor ikke dommerkendelse? CFH' svar: Der er jo ikke tale om, at folk anklages for noget kriminelt, men om beskyttelse. Derfor er der ikke behov for dommerkendelse. Er det ikke Newspeak i ren form? Har det ikke netop indtil nu været sådan, at man (i store træk) kun kunne overskride privatlivsgrænsen, såfremt der var mistanke om noget kriminelt - eller akut tvingende - og i så fald med dommerkendelse enten før eller efter? Nu gør CHC lige det modsatte: Hvis der ikke er tale om noget kriminelt, så er der frit slag, åbenbart!

CHF reducerer spørgsmålet om privatlivet til, at kritikere er bekymrede for, at CFC-folk skal sidde og snage i private kontoudtog, journaler etc. for egen fornøjelses skyld. Ja - det er en risiko - men den endnu større risiko er jo, at denne grænseløse og uhyggelige overvågning af en hel befolkning anvendes af magthavere til at klamre sig til magten og stække lovlig opposition. Så at fremstille det som et banalt spørgsmål om, om CFC-folk er til at stole på, er at manipulere med både problemstilling, demokrati og befolkning. Så enten er CHF dum, eller også manipulerer han bevidst, for han burde være klar over, at det ikke bare er en frygt for, at hr. Agent sidder og kigger i kærestens eller naboens private billeder.

Forslaget er i høring frem til 4. februar, og forventes vedtaget inden sommerferien.

Efter min opfattelse kan man ikke have et demokrati uden en ret til en privatsfære. Jeg bliver nødt til at spørge igen: Er den digitale udvikling forenelig med ret til privatliv, frihed og demokrati, når/hvis den nødvendiggør sådanne tiltag som det i dagens artikel beskrevne?​

Log ind eller Opret konto for at kommentere