Rigsrevisionen: Utilstrækkelig kontrol med sikkerhed på sundhedsdata-nettet truer patienterne

4. oktober 2016 kl. 06:2811
Der er drøje hug fra Rigsrevisionen til Medcom, der står for danskernes sundhedsdata.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hvis du har indtryk af, at it-sikkerheden sejler i det offentlige, så gør Rigsrevisionens beretning om statsregnskabet 2015 (PDF) næppe noget for at lave om på dette. I beretningen, der er udgivet i september i år, får flere offentlige organisationer kritik på it-sikkerhedsfronten.

Et af de mere fremtrædende tilfælde er MedCom, der står datatransport af danskernes sundhedsoplysninger.

I en bemærkning til beretningen fra Statsrevisorerne tales der ligefrem om, at MedComs utilstrækkelige styring af it-sikkerheden i sundhedsdatanettet kan have alvorlige konsekvenser for patienters liv og helbred.

Sundhedsdatanettet

Sundhedsdatanettet forvaltes af MedCom, der er ejet og finansieret af Sundheds- og Ældre-ministeriet, Danske Regioner og KL. Sundhedsdatanettet er et sikret netværk til datakommunikation i sundhedssektoren.

Sundhedsdatanettet består af et netværk, aftalesystemet og støttesystemer. Sundhedsdatanettet er alene et transportnet, hvor oplysningerne transmitteres.

Aftalesystemet styrer, hvem der via sundhedsdatanettet kan kommunikere og udveksle informationer.

Støttesystemerne sikrer, at der tages backup og opsamles statistik om oppetider mv.

Driften varetages af en ekstern driftsleverandør.
Kilde: Rigsrevisionens beretning om statsregnskabet 2015

Rigsrevisionen kritiserer, at organisationen ikke har udarbejdet årlige risikovurderinger af sundhedsdatanettet, hvilket har betydet, at ledelsen ikke har taget stilling til, om it-sikkerheden var tilstrækkelig.

Artiklen fortsætter efter annoncen

»MedCom havde ikke politikker og retningslinjer for, hvordan leverandørstyring, adgangsstyring og ændringsstyring skulle udmøntes i praksis. Endelig havde MedCom ikke udarbejdet en beredskabsplan for sundhedsdatanettet, hvilket kan få alvorlige konsekvenser, fx for patienters liv og helbred,« står der.

MedCom får også kritik på en række andre punkter. Blandt andet for ikke at have ført kontrol med brugeres adgang til sundhedsdatanettet.

Derudover har MedCom heller ikke vurderet om medarbejdere hos organisationens driftsleverandør har haft et arbejdsbetinget behov for administratoradgang til sundhedsdatanettet og de bagvedliggende støttesystemer.

Rigsrevisionen bemærker også, at den offentlige organisation heller ikke har ført ikke løbende kontrol med driftsleverandørens administratorrettigheder.

» … en meget vigtig infrastruktur«

Version2 har bedt direktør for MedCom Lars Hulbæk forholde sig til kritikken fra Rigsrevisionen.

Han fortæller, at der i forlængelse af Rigsrevisionens kritik i februar 2016 blev iværksat en handlingsplan for at rette op i forhold til kritikpunkterne. Det vil blandt andet sige, at MedCom nu har en nedfældet beredskabsplan for, hvad der skal ske i en krisesituation.

I forhold til, at Rigsrevisionen har givet udtryk for, at fraværet af en beredskabsplan kan have udgjort en trussel for patienters liv og helbred, siger Lars Hulbæk:

»Det er udtryk for, at man betragter sundhedsdatanettet som en meget vigtig infrastruktur. Det man skal være opmærksom på er jo, at sundhedsdatanettet ikke er så meget i sig selv. Det er et sted, som mange parter bruger til at dele sundhedsdata på forskellige services,« siger han og fortsætter:

»Og det er klart, at sådan noget som en beredskabsplan, der har jo været en beredskabsplan for de enkelte services hos de dataansvarlige parter, ligesom vores leverandør også har haft en beredskabsplan.«

Hvad angår Rigsrevisionens kritik af, at MedCom ikke har vurderet, hvorvidt organisationens driftsleverandør har haft et arbejdsbetinget behov til sundhedsdatanettet, siger Lars Hukbæk:

»Noget af det, de blandt andet undrede sig over var, at direktøren hos vores driftsleverandør havde administratoradgang til et af nettets administrationssystemer. Og til det har vi svaret, at vi sådan set er trygge ved, at vi har driftsleverandør med en teknisk kyndig direktør, der sammen med det nødvendige antal medarbejdere i virksomheden, indgår i beredskabet for, hvordan man holder nettet kørende hele tiden.«

Der står også, at der bliver sendt ukrypterede oplysninger via sundhedsdatanettet?

»Der har fra starten været tale om et lukket, sikret netværk. Herudover vurderer de dataansvarlige brugere af sundhedsdatanettet, om de enkelte services kræver kryptering . MedComs anbefaling er, at man krypterer,« siger Lars Hulbæk.

Trods kritikken fra Rigsrevisionen mener Lars Hulbæk, at der overordnet set har været styr på it-sikkerheden hos MedCom.

ISO27001

ISO27001 er en international standard til styring af informationssikkerhed. ISO'en er valgt som statslig sikkerhedsstandard efter DS484 og har været obligatorisk at følge for statslige institutioner siden januar 2014. Standarden skal være implementeret af myndighederne primo 2016.

ISO27000-serien består af en række standarder med indbyrdes relationer. Nogle af disse standarder opstiller krav (normative), mens andre er vejledende i forhold til forskellige aspekter af implementering af et ledelsessystem for informationssikkerhed. Det er ikke alle disse standarder, der er udkommet, og der kommer stadig nye til.
Kilde: Digitaliseringsstyrelsen

»Ja, helt sikkert. Dette sikrede net har fungeret med en ekstrem høj grad af tilgængelighed i de 13 år, det har eksisteret. Ligesom Rigsrevisionen i deres it-revision peger på, at backup, overvågning og logning af selve netværket er fundet tilstrækkelig,« siger han og tilføjer:

»Det jeg synes, vi blev fanget i her er ikke at have formelle processer og dokumentationen på plads i så tilstrækkelig høj grad, som det forventes af os.«

ISO27001

En del af Rigsrevisionens kritik bunder ifølge Lars Hulbæk i, at MedCom er blevet vurderet ud fra sikkerhedsstandarden ISO27001.

Denne standard er MedCom for øjeblikket i fuld gang med at implementere.

Af Digitaliseringsstyrelsens hjemmeside fremgår det, at »ISO'en er valgt som statslig sikkerhedsstandard efter DS484 og har været obligatorisk at følge for statslige institutioner siden januar 2014. Standarden skal være implementeret af myndighederne primo 2016.«

Er det kommet bag på jer, at Rigsrevisionen kræver denne grad af dokumentation?

»Vi har jo alle sammen læst, at det offentlige har tilsluttet sig ISO27001, men det kom bag på os, at den konkrete fortolkning af standarden betød, at, vores systemforvaltning var så utilstrækkelig, at det bliver fremhævet i Statsrevisorernes beretning. Og det har vi så taget aktion på med det samme.«

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
5. oktober 2016 kl. 19:00

Det er en nem statement... hvem bruger andet end transportlags kryptering ?

Og den encoding som er del af edifac standarden er rot13... det er en encoding og ikke en kryptering.

Måske er der nogen der kryptere på deres interne systemer men beskeder der bliver sendt over sundhedsdatanettet har jeg aldrig oplevet kryptering.

så du må komme med specifikke eksempler hvis du vil komme ud over en påstand uden argument eller eksempel.

9
4. oktober 2016 kl. 20:22

Nope det er system udviklerene og der er ingen der har valgt at kryptere for det ville kræve at alle modtagere kan dekryptere...

Specielt fordi der ikke er nogen der benytter kvittering for modtagelse funktionen... så hvis du sender en besked til en modtager med et system der ikke understøtter kryptering vil du aldrig få at vide at beskeden ikke er kommet frem...

Så nej der er ingen der benytter kryptering...

7
4. oktober 2016 kl. 17:13

Og intet central oversigt over om beskeder er kviteret modtaget eller ej...

Det ville jo fordoble antallet af beskeder der bliver sendt hvis man kvitterede for modatagelse mellem afsender og modtager...

Det eneste der beskytter Sundhedscentrets er et perimeterforsvar ved et C level domæne... hvis bare en node eller åbenlyst fra artiklen en netværks admin bliver kompromiteret ville det udsætte alle dele af sundshedsnettet... for ftp servere er totalt sikre.

Og indenfor sundhedsdata nettet er INGEN data krypterede. Det er jo det de realt set siger.

5
4. oktober 2016 kl. 10:06

Det er næppe den store overraskelse efter denne udtalelse: "Dette sikrede net har fungeret med en ekstrem høj grad af tilgængelighed i de 13 år". Nu består sikkerhed også af fortrolighed og integritet. Det er også noget af en mavepuster, at ISO27001 ikke efterleves, selvom det blev obligatorisk i 2014. ISO27001 danner rammen om sikkerhedsarbejde, og når det ikke er på plads, så er der en latent risiko for, at tingene sejler lystigt derudaf.

4
4. oktober 2016 kl. 09:22

"Som jeg tidligere har citereret en kendt dansker for: Den, som har evnen, har pligten"

3
4. oktober 2016 kl. 08:43

"Herudover vurderer de dataansvarlige brugere af sundhedsdatanettet, om de enkelte services kræver kryptering . MedComs anbefaling er, at man krypterer."

Ja, den undskyldning har vi hørt før. Det er nemlig sikkert nok - det er de andre, som bruger det forkert. Vi så den senest brugt af Danmark Statistik ifm. med modtagelse af data - og lidt i samme stil var der jo i sin tid sagen om, at iPhones var gode nok, det var bare folk, som holdt dem forkert.

Som jeg tidligere har citereret en kendt dansker for: Den, som har evnen, har pligten

2
4. oktober 2016 kl. 08:34

Vores politikkere forstår ikke it-sikkerhed og hierarkiet er meget højt og for hvert lag bliver der frasorteret lidt, så det skal være meget grelt for at, det når en minister.

Her taler jeg om den interne proces. Rigsrevisionens beretning om statsregnskabet og andre beretninger kan kortslutte processen og bringe det direkte til ministerens bord.

1
4. oktober 2016 kl. 07:39

God artikel.

"Et af de mere fremtrædende tilfælde er MedCom, der står datatransport af danskernes sundhedsoplysninger.""Rigsrevisionen kritiserer, at organisationen ikke har udarbejdet årlige risikovurderinger af sundhedsdatanettet, hvilket har betydet, at ledelsen ikke har taget stilling til, om it-sikkerheden var tilstrækkelig.""ikke at have ført kontrol med brugeres adgang til sundhedsdatanettet. Derudover har MedCom heller ikke vurderet om medarbejdere hos organisationens driftsleverandør har haft et arbejdsbetinget behov for administratoradgang til sundhedsdatanettet og de bagvedliggende støttesystemer"

Osv. osv. Elendigheden fortsætter bare.

Hvordan kan vore politikere blive ved med at hævde, at man tager området alvorligt, og passer godt på vore data?