Er it-sikkerhed sundhedsvæsenets stedbarn?

Illustration: Tegning: Rasmus Meisler
Sundhedsvæsenet buldrer af sted med opbygning af kæmpedatabaser, onlinetjenester og internetopkoblet hospitalsudstyr. Men det kniber med at få it-sikkerhedskulturen til at følge med.

Denne artikel stammer fra den trykte udgave af avisen Ingeniøren.

Brugernavne og kodeord på medicinsk udstyr og online-sundhedstjenester har ligget frit tilgængelige i Region Hovedstadens såkaldte ‘wiki’; dokumentsystemet VIP.

Det har Ingeniørens it-medie, Version2, afsløret de seneste uger, og sagen er endnu et eksempel på et problem, som flere kritikere har peget på: at der er behov for en opstramning af sundhedsvæsenets datasikkerhedskultur.

VIP står for ‘vejledninger, instrukser og politikker’, og tanken med systemet er, at sundhedsansatte i Region H her på en nem måde via en hjemmeside kan få adgang til 25.000 vejledninger om behandlinger og udstyr, som er nødvendige for at drive hospitaler og klinikker.

Problemet er bare, at det har været for nemt – faktisk har enhver kunnet kigge med som anonym bruger, og det er ikke bare harmløse vejledninger, enhver har kunnet se.

Eksempelvis har VIP indeholdt et læge-login til sædbanken Cryos’ hjemmeside samt passwords til medicinsk hospitalsudstyr og medicinske nettjenester.

Læs også: Brugernavne og kodeord flød rundt i åbent dokumentsystem hos Region Hovedstaden

Ikke desto mindre lagde Region Hovedstaden ud med at fastholde, at VIP skulle være åbent og indholdet tilgængeligt. Blandet andet nedtonede regionen problemet ved at påpege, at de kodeord og brugernavne, Version2 havde fundet, var til såkaldt lukkede systemer.

I et skriftligt svar definerede direktør i Region Hovedstadens Center for Sundhed Anne Skriver Andersen lukkede systemer således:

»Lukkede systemer er systemer, som ikke er umiddelbart offentligt tilgængelige. F.eks. software på en lokal pc, apparatur på en afdeling eller hardware på en afdeling. Lokale pc’er er jo desuden beskyttet af personalets egne passwords.«

Altså systemer, hvor der ikke er umiddelbar adgang fra internettet.

Netadgang til sygehussystemer

Siden fandt Version2 dog flere brugernavne og kodeord til systemer, som netop er koblet til internettet.

Herefter holdt regionen op med at tale om, at de frit tilgængelige kodeord kun var til lukkede systemer. Region H har desuden erkendt, at det var en fejl, at der var adgang til lægekontoen i sædbanken Cryos:

»Vi havde i første omgang ikke bemærket, at de loginoplysninger, der lå tilgængelige til Cryos, var loginoplysninger til en speciallæges konto – og ikke til patientkontoen, som det burde havde været. Fra lægens konto kunne man ændre brugernavnet, som du har bemærket – og trække generel statistik, som ikke er koblet op på konkrete patienter,« skrev Anne Skriver Andersen og fortsatte:

»Patientkontoen skulle være tilgængelig, fordi patienterne gennem denne kunne få rabat. Vi beklager selvfølgelig, at vi i første omgang ikke var skarpe på, hvilken adgang der var kodeord og brugernavn til.«

Læs også: Åbent Region H-dokumentsystem gav adgang til lægekonto hos sædbank

Senere i Version2’s research er der også dukket en instruks om ændring af telefonsvareren på akut­telefonen 1813 op i VIP. Først lød forklaringen fra regionen, at oplysningerne i instruksen – blandt andet et telefonnummer til administration af 1813 – var forældede og ubrugelige.

Efter opfølgende spørgsmål fra Version2 fandt regionen dog frem til, at telefonnummeret faktisk var til en aktiv tjeneste, som så blev lukket.

Læs også: Instruks med kode til ændring af 1813's telefonsvarerbesked lå frit i Region H-system

Ifølge regionen har instruksen, som også indeholder en kode, dog på intet tidspunkt gjort det muligt faktisk at ændre noget i forhold til 1813 – hvilket Version2 af etiske grunde ikke har testet.

Selve standardkodeordet til VIP lå også i systemet. Det var ‘vip123’, og i et dokument i VIP blev brugere direkte – og i strid med normal it-sikkerhedspraksis – opfordret til ikke at skifte det. Også her reagerede regionen først, da Version2 gjorde opmærksom på problemet. En intern mail blev sendt rundt, hvoraf det fremgik, at der af sikkerhedsmæssige årsager ville blive lukket ned for brug af ‘vip123’.

Nye registre på vej

Det er langtfra første gang, at egentlige læk eller artikler i pressen om uheldig datahåndtering i sundhedsvæsenet har tvunget dataejerne til opstramning af procedurer og sikkerhedsforanstaltninger.

Et eksempel var, da sundhedsdata og personnumre på over fem mio. danskere i ukrypteret form ved en fejl blev afleveret hos et privat kinesisk firma. Også andre patientdata er i flere tilfælde sendt lige i hænderne på de forkerte.

Samtidig opbygger Sundheds­datastyrelsen store samlinger af data, f.eks. i Nationalt Patientindex og Sunddataplatformen, som har til formål at sikre såkaldt ‘sammenhængende sundhedsdata’. I de store nye registre struktureres og samles sundheds- og patientdata om millioner af danskerne, så forskere f.eks. kan finde nye mønstre i og årsager til sygdom, uanset om man er behandlet i stat, region eller kommune. Men også for at give patienter med mange diagnoser et mere sammenhængende forløb:

Læs også: Advarsel: Minister åbner for vidtrækkende tvangsregistrering af sundhedsdata

Kritikere peger dog på, at nye ‘smarte’ måder at indsamle, sammenkøre og analysere data på udvikles væsentligt hurtigere end sikringen af, at ophobning og anvendelse sker ud fra saglige formål og er tilstrækkeligt beskyttet – herunder fra ansatte i sundhedsvæsenet uden legitime formål, kriminelle eller udenlandske efterretningstjenester.

I den optik er det interessant, at justitsminister Søren Pape Poulsen (K) netop har fundet det betimeligt at pålægge den offentlige sektor bøder – op til 16 millioner kroner – hvis de tages i ikke at passe ordentligt på borgernes CPR-numre, sundhedsoplysninger eller andre persondata. Sløseri, som kan skade den troværdighed, det offentlige har brug for i takt med den stadigt mere udbredte anvendelse af digitale redskaber.

Meget peger på, at de mange sager med offentligt datasjusk har været med til at danne grundlag for den beslutning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

En af Ellen Trane Nørbys begrundelser for det nye nationale genom center er, at det vil være mere datasikkert, fordi regioner og forskere ikke har tilstrækkeligt fokus på datasikkerheden. Det bekræfter artiklens overskrift ... men er nu en rigtigt dårlig begrundelse for noget så farligt for privatlivet som et nationalt genom center. Man burde i stedet tvinge sundhedsvæsnet og forskerne til at tage sikkerheden alvorligt. Der er jo mange andre data end gensekvenser, som de skal kunne finde ud af at passe på.

Log ind eller Opret konto for at kommentere