Regionerne halter bag egen it-sikkerhedsplan

Illustration: Region Syddanmark
Cybersikkerhed er en del af de ting, regionerne skal sikre inden for de eksisterende, økonomiske rammer, mener sundhedsministeren.

Flere år efter den seneste cybersikkerhedsstrategi for sundhedsvæsenet så dagens lys, er der fortsat ingen plan for, hvordan flere af sikkerhedstiltagene skal finansieres, skriver Avisen Danmark.

Tilbage i januar 2019 præsenterede den tidligere regering en ny cybersikkerhedsstrategi med hele 68 sikkerhedstiltag, der skulle gøre det sværere for hackere at angribe kritisk infrastruktur i Danmark. 17 af tiltagene omhandlede sundhedsvæsenet, men der var indsat en diskret stjerne foran 9 af tiltagene.

I en fodnote stod der dog, at regionerne og staten ikke var enige om, hvem der skulle betale regningen for tiltagene, der skulle beskytte sygehuse, hospitaler og det øvrige sundhedsvæsen fra angreb, der i værste fald kan føre til lammede systemer i akutmodtagelser, udskudte operationer og dødsfald.

»Vi er nogenlunde samme sted (som sidste år, red.). Vi har ikke en plan for, hvordan de sidste 8 initiativer skal finansieres. Derfor afventer vi stadig forhandlinger om at få dem på plads. Vi er i gang med at etablere overvågning og analyse af vores it-systemer. Men før vi kan komme videre i de øvrige opgaver, er vi nødt til at have finansieringen på plads,« siger formanden for danske regioner, Ulla Astman til Avisen Danmark.

Fra Sundhedsminsiter Magnus Heunicke (S) lyder det, at det er regionernes eget ansvar at sikre driften under de givne økonomiske rammer - herunder også at sikre den mod hackerangreb.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klavs Klavsen

Hvad med at man i det mindste lod CFCS lave løbende sikkerhedscheck/scan som private firmaer typisk betaler for at få lavet på årlig basis.. Så kan de også bruge det til at øve forskellige former for "angreb" - og samtidigt er det en god test af om de offentlige instanser har sikkerheden i orden og så vil man have noget konkret man kan melde til den enkelte offentlige instans (Vi fandt sikkerhedshul X hos jer)..

IMHO er det sådan noget man ville gøre, hvis man rent faktisk ønskede at sikkerheden blev højnet i det offentlige.. Istedet for bare at sige "det skal i bare gøre for det budget i har".. Det ville helt sikkert være en kæmpe hjælp (og besparende for det offentlige som helhed) at lade CFCS lave løbende sikkerheds scanninger, checks, angrebsøvelser - og helt sikkert fange problemer, som tilsvarende afdelinger i andre lande, ville anvende imod os hvis de angreb os alligevel.

  • 4
  • 0
#2 Christian Nobel

Nej, hvad om man, som nævnt mange gange, nedlagde cfcUs, og i stedet lavede et rigtigt, åbent og uvildigt ćybersikkerhedsorgan, som arbejdede for borgere, virksomheder og offentlige instanser.

Konstruktionen med cfcUs er og bliver en katastrofe som koster samfundet milliarder - og ikke engang noget så banalt som en risikovurdering af overvågningskameraer vil de frigive, ud fra en eller anden obskur betragtning om "militær sikkerhed".

  • 4
  • 0
#3 Klavs Klavsen

Konstruktionen med cfcUs er og bliver en katastrofe som koster samfundet milliarder - og ikke engang noget så banalt som en risikovurdering af overvågningskameraer vil de frigive, ud fra en eller anden obskur betragtning om "militær sikkerhed

Der er jeg helt enig.. Men uanset hvilken central instans det offentlige beder løfte opgave - burde det være DER man hjalp alt offentligt, ved at rutinemæssigt at checke sikkerheden "set med angribernes øjne" - ligesom enhver god sysadmin ville gøre som en del af sit arbejde også (og så få eksterne til at komme med deres vurdering engang imellem).

Ville det ikke være nok bare at flytte CFCS VÆK fra militærbudgettet.. så er der ikke den undskyldning mere? Vi skal bruge nogen der kan dedikere deres tid til at arbejde som hackere gør.. og gerne opbygger erfaring med open source sikkerhedsværktøjer til sikkerhedsscanning (fuzzing, code analyze mv.) og deler dette så alle kan gøre brug af det

  • 2
  • 0
#4 Gert Madsen

Istedet for bare at sige "det skal i bare gøre for det budget i har"..

Langt hen ad vejen, så forventes det at forskellige IT-systemer giver besparelser på den ene eller anden måde. Derfor er det ikke urimeligt at omkostningerne til at sikre samme system tages fra den besparelse. Det kunne måske lede til at omkostningen til sikkerheden kommer til at indgå beslutningsgrundlaget (forretningsplanen) for systemerne . . . .

  • 0
  • 0
#5 Klavs Klavsen

Langt hen ad vejen, så forventes det at forskellige IT-systemer giver besparelser på den ene eller anden måde. Derfor er det ikke urimeligt at omkostningerne til at sikre samme system tages fra den besparelse.

Deri er jeg ikke uenig - men hvis ikke nogen rent faktisk CHECKER sikkerheden - så bliver den sparet væk - som altid. Bemærk at jeg IKKE sagde at nogen centralt skulle "sørge for sikkerheden for dem" - men KUN at man burde sikre at sikkerheden rent faktisk blev løbende evalueret af en ekstern part - for alt offentligt.

Så når man intet gør og bare siger "de har i helt sikkert styr på indenfor nuværende budget" - så er det bare at stikke hovedet i busken - og løser ingenting.

Når så en sådan central instans opdagede sikkerhedsproblemer i forskellige offentlige systemer - så må det systems ejere jo så vurdere om de evt. skal flytte deres systemer til Statens IT, eller ansætte flere folk, reallokere ressourcer etc. - og fejler de konsekvent - så rapporteres til en central instans som Datatilsynet jo kan kigge i kortene (en åben "sikkerheds-smiley rapport" f.ex. :) og bruge til deres arbejde.

  • 3
  • 0
#6 Christian Nobel

Ville det ikke være nok bare at flytte CFCS VÆK fra militærbudgettet.. så er der ikke den undskyldning mere?

Teoretisk set så ja, men der er en stor fare for at både nissen og kulturen flytter med.

Det kræver i hvert fald en stærk ledelse, og et klart mandat som sikrer at der handles i hele samfundets interesse.

Om det så er smartest at rive ned først, og så genopbygge kan debatteres, det altafgørende er at organet bliver 100% civilt og åbent.

  • 2
  • 0
#8 Klavs Klavsen

hvordan var det lige med besparelserne i forbindelse med Usundhedsplatformen - var der ikke noget med at den lille spøg blev så dyr at det var nødvendigt at afskedige ret så meget personale?

LOL.. Ja de burde måske også overveje at lave et centralt "business case" organ- der kunne evaluere og løbende re-evaluere businesscase for forskellige løsninger.. og så kunne man jo passende sammenligne "forskellige løsninger på samme problem" - kommunerne imellem.. Se om der var noget fælles læring at hente :)

f.ex. hvor stor besparelse man kan forvente at hente på digitalisering i en given situation :)

På samme måde som man kunne lære af en IT-havari komission mht. offentlige IT projekter :)

  • 2
  • 0
#9 Christian Nobel

Ja de burde måske også overveje at lave et centralt "business case" organ- der kunne evaluere og løbende re-evaluere businesscase for forskellige løsninger.. og så kunne man jo passende sammenligne "forskellige løsninger på samme problem" - kommunerne imellem.. Se om der var noget fælles læring at hente :)

Helt enig.

Og man kunne måske også se på om flere løsninger kunne placeres under OS2 samarbejdet, så kommuner og regioner ikke går enegang, men i stedet trækker på samme hammel.

f.ex. hvor stor besparelse man kan forvente at hente på digitalisering i en given situation :)

Det stiller nogen krav til hvorledes den beregning laves - vi har tidligere set at man taler om at spare så og så mange Villyarder, men når det så kommer til virkeligheden (selvfølgelig når barnet er smidt ud med badevandet), så bliver gevinsten negativ.

På samme måde som man kunne lære af en IT-havari komission mht. offentlige IT projekter :)

Helt enig.

  • 1
  • 0
#10 Klavs Klavsen

Det stiller nogen krav til hvorledes den beregning laves - vi har tidligere set at man taler om at spare så og så mange Villyarder, men når det så kommer til virkeligheden (selvfølgelig når barnet er smidt ud med badevandet), så bliver gevinsten negativ.

"Businesscase afdelingen" vil jo have statistikere ansat tænker jeg - og dele deres beregningsmetoder offentligt.. forhåbentlig for at fjerne absurde beregningsmetoder, som kun har til formål at "forsvare projektet".. Og når så dette statistik organ, finder nogen der performer "for dårligt" - kunne IT havarikommissionen passende tage det som et vink med en vognstang, om at kigge nærmere så vi kan lære mere om HVORFOR det går så skidt, lige der.

  • 1
  • 0
Log ind eller Opret konto for at kommentere