Rigsrevisionen: Sundhedsdatastyrelsen svigter it-sikkerhed omkring følsomme patientdata

Følsomme patientdata hos Sundhedsdatastyrelsen er ifølge Rigsrevisionen i fare for at komme i forkerte hænder som følge af mangler i it-sikkerheden. Sundhedsdatastyrelsen afviser, at borgerdata har været i fare.

Sundhedsdatastyrelsen får klø fra Rigsrevisionen for ikke at have styr på it-sikkerheden i it-infrastrukturen, herunder netværk, som i mange tilfælde også håndterer følsomme persondata om patienter.

»Mange af systemerne indeholder desuden følsomme persondata om patienter. På den baggrund finder Rigsrevisionen, at manglerne i itsikkerheden er yderligere kritisable,« skriver Rigsrevisionen i en ny beretning om statens forvaltning.

Konkret medfører manglerne en risiko for, at uvedkommende, der uretmæssigt kommer forbi sikkerhedssystemerne, »kan bryde ind i kritiske systemer og skaffe sig adgang til systemer og data«, lyder det fra Rigsrevisionen.

Det understreges dog, at svaghederne ikke er fundet i sundheds-it-systemer, der betjener offentligheden, f.eks. Fælles Medicinkort, men at det handler om interne fagsystemer, som Sundhedsdatastyrelsen drifter hos især Statens Serum Institut.

Det er bl.a. systemer, der er nødvendige for diagnostik, infektionsberedskab og vaccineforsyning eller systemer, der indgår i forskning og analysearbejdet.

Men det er dog som nævnt systemer, der ikke alene indeholder persondata, men også følsomme persondata, som ifølge Datatilsynets definition f.eks. kan være helbredsoplysninger, genetiske data, biometriske data og oplysninger om seksuelle forhold.

Kritiseret siden 2013

Det er langtfra første gang, at Sundhedsdatastyrelsen - eller de forudgående tilsvarende offentlige organisationer som NSI - får kritik af it-sikkerheden. Rigsrevisionen har nemlig kritiseret mangler i it-sikkerheden siden 2013.

»Nogle af kritikpunkterne er rettet op, men vi har hvert år siden 2013 konstateret en række nye eller tidligere påpegede alvorlige mangler i it-sikkerheden, der fortsat ikke er løst,« lyder det i beretningen.

Vicedirektør Flemming Christiansen, Sundhedsdatastyrelsen, svarer ifølge en meddelelse., at man tager kritikken alvorligt:

»Vi vil være i front med it-sikkerheden, og derfor ser vi frem til at komme i mål med moderniseringen af netværket,« siger Flemming Christiansen.

Sundhedsdatastyrelsen oplyser, at Rigsrevisionens kritik handler om ,at styrelsen er forsinkede med at indføre mere tidssvarende standarder på netværket på en adresse.

Styrelsen afviser til gengæld, at svaghederne har medført en risiko for patientdata.

»Borgernes data har efter vores opfattelse ikke været i fare. Sundhedsdatastyrelsen har moderniseret it-infrastrukturen i Sundheds- og Ældreministeriet på en lang række områder og har styrket sikkerheden væsentligt. I moderniseringen af netværket er vi stødt på fysiske begrænsninger på en af vores matrikler, hvor netværkskablerne ikke understøtter de mere tidssvarende sikkerhedsstandarder«, fortæller Flemming Christiansen.

Banedanmark har ikke styr på admin-rettigheder

Også Rigspolitiet og Banedanmark får kritik for alvorlige mangler i it-sikkerheden.

Rigspolitiet sløser med at sikre it-infrastrukturen fysisk mod f.eks. ekstrem regn og varme.

Det kan i værste fald føre til svigt i politiets kritiske it-infrastruktur, og at det vil tage uacceptabelt lang tid at genetablere driften.

»Et eventuelt svigt vil kunne påvirke politiets evne til at varetage sine opgaver, fx inden for alarmberedskab og opslag i forskellige registre i forbindelse med efterforskning,« skriver Rigsrevisionen.

Endelig får Banedanmark kritik for it-sikkerheden. Eksempelvis er sikkerheden forringet i forhold til logning.

Men der sløses også med admin-rettigheder, der gives til interne medarbejdere og konsulenter.

»Banedanmark har en mangelfuld styring, kontrol og logning af udvidede administratorrettigheder, hvilket indebærer risiko for misbrug af rettighederne og uretmæssig adgang til Banedanmarks systemer og data,« skriver Rigsrevisionen i beretningen.

I værste fald kan hackere få adgang til kritiske data, lyder det.

Banedanmark må se at få reduceret omfanget af bl.a. eksterne konsulenter, der har udvidede administratorrettigheder.

Alle tre kritiserede institutioner er ifølge Rigsrevisionen i gang med at rette op på sårbarheder og mangler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Sundhedsdatastyrelsen svigter it-sikkerhed omkring følsomme patientdata"

Selvfølgelig gør de det - deres opgave er ikke at sikre vore data, men at dele ud af dem til forskere og sælge dem til firmaer - og der kan ordentlig sikkerhed være til besvær - for ikke at sige rent ud sagt møj-irriterende...

For Gud ved hvilken gang de senere år (det er vist nærmest daglige, efterhånden) er vi vist mange, som kan vrisse: "Sagde vi det ikke nok"....

Mon det ser bedre ud næste år? Jeg tvivler - der er nok bare flyttet lidt rundt på elendighederne.

  • 7
  • 1
Claus Bobjerg Juul

Der er altid en risiko, med mindre man kan fjerne databehandlingen.
At sige at der ikke er risiko er enten en fejl eller en manglende forståelse for risikostyring.
Jeg gad godt vide om SDS forsøger at kvantificere deres it risici og hvis de gør efter hvilken model.

  • 6
  • 0
Louise Klint

Ja, den er god, hva'?

Det er en kommunikationsfinte, der handler om at bagatellisere, vil jeg sige.
(Altså; problemet er faktisk ikke så omfattende, det handler bare
om nogle netværkskabler).

Samt flytte fokus.
(Fra borgernes personfølsomme oplysninger, der kan være
kompromitteret = stor skade/problem.
Til noget fysisk, en teknisk detalje = lille skade/problem).

Og så få det til at lyde som om, at de har styr på problemet nu.
(De har lokaliseret det, det er frem for alt begrænset – til ”netværkskablerne” – og de er dermed, implicit, i gang med at løse det).

Vupti, vupti, en fin sløjfe, man har bundet her:
”Skaden er lille – alt er under kontrol!”
(Næppe).

Sprogbruget tjener som skjold, og skal give autoritet og troværdighed:
”I moderniseringen af netværket er vi stødt på fysiske begrænsninger på en af vores matrikler…”

Allerede her er de fleste stået af.
Har man ikke indsigt på området, er det let at forlade sig på det, de siger/dem og lade sig berolige, fordi det lyder myndigt. Det lyder virkelig, som om, at de har styr på situationen. De har helt sikkert styr på situationen!

De kunne også sige: ”Når man står på et ben, står man ikke på to ben”. Hvad som helst. ”Spaghetti smager bedre end pizza.” Bare på kancellisprog – i lange, myndige vendinger.

Jeg ved det ikke, men reelt set, tror jeg, de (kommunikationsafdelingen) sidder derude og griner i skægget. Over deres egen opfindsomhed, dristighed og snilde.
De skulle have et rap over nallerne.

  • 7
  • 0
Louise Klint

Ud over de mange sundhedsregistre og databaser, med alle danskeres mest private oplysninger, som Sundhedsdatastyrelsen forvalter og råder over,
https://sundhedsdatastyrelsen.dk/da/registre-og-services/om-de-nationale...
https://sundhedsdatastyrelsen.dk/da/registre-og-services/om-de-kliniske-...

er Sundhedsdatastyrelsen også i gang med at opbygge en stor fælles-database.

I foråret blev L 127 vedtaget, som bestemmer at SDS skal opbygge og drive
et ”centralt journalregister”, ”en ny fælles digital infrastruktur for deling af helbredsoplysninger”
https://www.ft.dk/samling/20181/lovforslag/l127/index.htm
https://www.ft.dk/samling/20181/lovforslag/l127/20181_l127_som_vedtaget.htm

En superdatabase, som den til enhver tid siddende sundhedsminister har relativt vide beføjelser over.
Sundhedsministeren bestemmer fx (”fastsætter regler om”) hvilke oplysninger, der må registreres, den dataansvarliges adgang og hvor omfattende databasen skal være; ”hvilke systemer der skal tilknyttes den digitale infrastruktur som kildesystemer” (§ 193B + stk. 3, 1-7 ^^).

Så det gælder om at have styr på netværkskablerne, do!

  • 3
  • 0
Mogens Lysemose

Måske de køre ethernet over coax?

Ja det var også mit første gæt, vi gamere legede også med BNC/Coaxialkabler i 1997. Men vi fattige studerende skiftede hurtigt til switched RJ45. Skal det mon fortolkes sådan at fordi de har 20 år gamle netværkskabler har de ikke i stand til at gøre som helst ved nogen som helst problemer de er blevet kritiseret kraftigt for siden 2013???

Det er jo ikke bagateller kritikken går på:

Konkret medfører manglerne en risiko for, at uvedkommende, der uretmæssigt kommer forbi sikkerhedssystemerne, 'kan bryde ind i kritiske systemer og skaffe sig adgang til systemer og data,' lyder det fra Rigsrevisionen.

Er de kritiske systemer mon også 22+ år gamle og ikke vedligholdt?

  • 1
  • 0
Log ind eller Opret konto for at kommentere