Region Syddanmark forsømmer at beskytte it-systemer, der indeholder sundhedsdata om borgerne, mod hacking og andre cyberangreb.
Det viser fremgår af en ny beretning fra Rigsrevisionen.
Samtlige 27.000 medarbejdere i Region Syddanmark har nemlig lokaladministratorrettigheder, dvs. særlige rettigheder og dermed fuld adgang til og kontrol med it-systemerne.
I kombination med en 'mangelfuld' styring af, hvem og hvor mange der har priviligerede rettigheder (domænerettigheder) er problemet, at hackere i værste fald kan overtage et medarbejderlogin med et angreb og dermed få vide beføjelser i systemerne, fordi de har fuld adgang til og kontrol med it-systemerne.
»Et hackerangreb mod disse medarbejdere vil give hackeren samme adgang og kontrol,« skriver Rigsrevisionen.
Styringen af admin-rettigheder er 'særligt kritisk', konstaterer statsrevisorerne i deres bemærkning.
»Hermed udsætter regionen sig for en markant øget risiko for, at medarbejdere – bevidst eller ubevidst – installerer og afvikler skadelige programmer på deres computere, som kan sprede sig og kompromittere regionens netværk,« skriver Rigsrevisionen.
Truslen er ikke teoretisk. Region Syddanmark har været udsat for flere angreb – senest i maj og juni 2017, hvor 20-30 medarbejdere blev låst ude af deres computere.
Også sløs med it-sikkerhed i andre regioner
Men den er ikke alene gal med beskyttelsen af sundhedsdata i Region Syd. Også Region Hovedstaden og Region Midtjylland er undersøgt, og alle steder er der fundet fejl og mangler i beskyttelsen af data. De tre regioner dækkker ca. 4,3 mio. af landets ca. 5,7 mio. borgere.
»Det er Rigsrevisionens vurdering, at beskyttelsen af adgangen til it-systemer og sundhedsdata ikke er tilfredsstillende i de 3 regioner,« skriver Rigsrevisionen.
Det er langt fra første gang, at regionerne udviser tegn på ringe it-sikkerhed. Datatilsynet har tidligere kritiseret, at regionerne forsømmer at sikre, at deres underleverandører passer godt nok på vores data.
Og Version2 har for nylig omtalt, at brugernavne og kodeord på medicinsk udstyr og online-sundhedstjenester har ligget frit tilgængelige i Region Hovedstadens såkaldte ‘wiki’; dokumentsystemet VIP. Den sag er endnu et eksempel på et problem, som flere kritikere har peget på: at der er behov for en opstramning af sundhedsvæsenets datasikkerhedskultur.
Det manglende sikkerhedsindsats er alvorlig, for i takt med den øgede digitalisering i regionerne og samfundet i øvrigt vokser truslen mod regionernes it-systemer og data, hvilket stiller større krav til it-sikkerheden, lyder det fra Rigsrevisionen.
»Regionerne er truet af udefrakommende hackerangreb, ligesom medarbejderne i regionerne kan udgøre en risiko, hvis de bevidst eller ubevidst misbruger deres adgang til it-systemer og data,« skriver Rigsrevisionen i beretningen.
Mange XP-maskiner
I Region Hovedstaden har man ca. 800 computere med Windows XP på netværket, som ikke længere sikkerhedsopdateres. Regionen har dog oplyst, at computerne er beskyttet bag ekstra firewalls.
Region Midtjylland har ca. 7.000 computere med Windows XP og ca. 250 servere med et operativsystem, som producenten ikke længere supporterer. Regionen har dog etableret kompenserende foranstaltninger, fx begrænsning af afvikling af programmer, der bidrager
til at mindske risikoen for inficering med malware.
I både Region Syddanmark og Region Hovedstaden har passwords til system- og servicekonti ikke været skiftet i lang tid – op til 9 år.
Og i Region Syddanmark er to ud af tre passwords til system- og servicekonti fra 2008, og passwordene er kun på otte karakterer.
Mangelfuld begrænsning af internetadgang
I alle regioner er 'styring og kontrol af medarbejdere med privilegerede rettigheder mangelfuld, herunder er der utilstrækkelig begrænsning af muligheder for at tilgå internettet, når der logges på med privilegerede rettigheder,' konstaterer statsrevisorerne..
»De tre regioner bør generelt være bedre til at styre og kontrollere medarbejdere med privilegerede rettigheder, fx ved løbende kontrol af, hvilke medarbejdere der skal have disse rettigheder,« skriver Rigsrevisionen i beretningen.
Desuden bør regionerne begrænse medarbejdernes mulighed for at gå på nettet, når de logger på med de privilegerede rettigheder.
»Når det sammenholdes med, at ingen af de 3 regioner i tilstrækkelig grad begrænser medarbejdernes mulighed for at downloade programmer, medfører det en øget risiko for, at medarbejderne uforvarende henter og åbner skadeligt indhold, der inficerer it-systemerne
og udsætter sundhedsdata for fare,« skriver Rigsrevisionen.
Endelig er alle 3 regioners logningstiltag er mangelfulde, hvilket gør det vanskeligt at opdage og opklare hackerangreb og misbrug af rettigheder.
Region Midtjylland har ikke implementeret nogen af de undersøgte logningstiltag, selv om regionen har udarbejdet en politik for området.
Rigsrevisionen har selv taget initiativ til undersøgelsen, der bygger på it-revisioner, som Rigsrevisionen har udført i 1. halvår 2017.
Hent den fulde beretning (PDF) her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
