Rigsrevisionen: Utilstrækkelig kontrol med sikkerhed på sundhedsdata-nettet truer patienterne

Der er drøje hug fra Rigsrevisionen til Medcom, der står for danskernes sundhedsdata.

Hvis du har indtryk af, at it-sikkerheden sejler i det offentlige, så gør Rigsrevisionens beretning om statsregnskabet 2015 (PDF) næppe noget for at lave om på dette. I beretningen, der er udgivet i september i år, får flere offentlige organisationer kritik på it-sikkerhedsfronten.

Et af de mere fremtrædende tilfælde er MedCom, der står datatransport af danskernes sundhedsoplysninger.

I en bemærkning til beretningen fra Statsrevisorerne tales der ligefrem om, at MedComs utilstrækkelige styring af it-sikkerheden i sundhedsdatanettet kan have alvorlige konsekvenser for patienters liv og helbred.

Rigsrevisionen kritiserer, at organisationen ikke har udarbejdet årlige risikovurderinger af sundhedsdatanettet, hvilket har betydet, at ledelsen ikke har taget stilling til, om it-sikkerheden var tilstrækkelig.

»MedCom havde ikke politikker og retningslinjer for, hvordan leverandørstyring, adgangsstyring og ændringsstyring skulle udmøntes i praksis. Endelig havde MedCom ikke udarbejdet en beredskabsplan for sundhedsdatanettet, hvilket kan få alvorlige konsekvenser, fx for patienters liv og helbred,« står der.

MedCom får også kritik på en række andre punkter. Blandt andet for ikke at have ført kontrol med brugeres adgang til sundhedsdatanettet.

Derudover har MedCom heller ikke vurderet om medarbejdere hos organisationens driftsleverandør har haft et arbejdsbetinget behov for administratoradgang til sundhedsdatanettet og de bagvedliggende støttesystemer.

Rigsrevisionen bemærker også, at den offentlige organisation heller ikke har ført ikke løbende kontrol med driftsleverandørens administratorrettigheder.

» … en meget vigtig infrastruktur«

Version2 har bedt direktør for MedCom Lars Hulbæk forholde sig til kritikken fra Rigsrevisionen.

Han fortæller, at der i forlængelse af Rigsrevisionens kritik i februar 2016 blev iværksat en handlingsplan for at rette op i forhold til kritikpunkterne. Det vil blandt andet sige, at MedCom nu har en nedfældet beredskabsplan for, hvad der skal ske i en krisesituation.

I forhold til, at Rigsrevisionen har givet udtryk for, at fraværet af en beredskabsplan kan have udgjort en trussel for patienters liv og helbred, siger Lars Hulbæk:

»Det er udtryk for, at man betragter sundhedsdatanettet som en meget vigtig infrastruktur. Det man skal være opmærksom på er jo, at sundhedsdatanettet ikke er så meget i sig selv. Det er et sted, som mange parter bruger til at dele sundhedsdata på forskellige services,« siger han og fortsætter:

»Og det er klart, at sådan noget som en beredskabsplan, der har jo været en beredskabsplan for de enkelte services hos de dataansvarlige parter, ligesom vores leverandør også har haft en beredskabsplan.«

Hvad angår Rigsrevisionens kritik af, at MedCom ikke har vurderet, hvorvidt organisationens driftsleverandør har haft et arbejdsbetinget behov til sundhedsdatanettet, siger Lars Hukbæk:

»Noget af det, de blandt andet undrede sig over var, at direktøren hos vores driftsleverandør havde administratoradgang til et af nettets administrationssystemer. Og til det har vi svaret, at vi sådan set er trygge ved, at vi har driftsleverandør med en teknisk kyndig direktør, der sammen med det nødvendige antal medarbejdere i virksomheden, indgår i beredskabet for, hvordan man holder nettet kørende hele tiden.«

Der står også, at der bliver sendt ukrypterede oplysninger via sundhedsdatanettet?

»Der har fra starten været tale om et lukket, sikret netværk. Herudover vurderer de dataansvarlige brugere af sundhedsdatanettet, om de enkelte services kræver kryptering . MedComs anbefaling er, at man krypterer,« siger Lars Hulbæk.

Trods kritikken fra Rigsrevisionen mener Lars Hulbæk, at der overordnet set har været styr på it-sikkerheden hos MedCom.

»Ja, helt sikkert. Dette sikrede net har fungeret med en ekstrem høj grad af tilgængelighed i de 13 år, det har eksisteret. Ligesom Rigsrevisionen i deres it-revision peger på, at backup, overvågning og logning af selve netværket er fundet tilstrækkelig,« siger han og tilføjer:

»Det jeg synes, vi blev fanget i her er ikke at have formelle processer og dokumentationen på plads i så tilstrækkelig høj grad, som det forventes af os.«

ISO27001

En del af Rigsrevisionens kritik bunder ifølge Lars Hulbæk i, at MedCom er blevet vurderet ud fra sikkerhedsstandarden ISO27001.

Denne standard er MedCom for øjeblikket i fuld gang med at implementere.

Af Digitaliseringsstyrelsens hjemmeside fremgår det, at »ISO'en er valgt som statslig sikkerhedsstandard efter DS484 og har været obligatorisk at følge for statslige institutioner siden januar 2014. Standarden skal være implementeret af myndighederne primo 2016.«

Er det kommet bag på jer, at Rigsrevisionen kræver denne grad af dokumentation?

»Vi har jo alle sammen læst, at det offentlige har tilsluttet sig ISO27001, men det kom bag på os, at den konkrete fortolkning af standarden betød, at, vores systemforvaltning var så utilstrækkelig, at det bliver fremhævet i Statsrevisorernes beretning. Og det har vi så taget aktion på med det samme.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

God artikel.

"Et af de mere fremtrædende tilfælde er MedCom, der står datatransport af danskernes sundhedsoplysninger."
"Rigsrevisionen kritiserer, at organisationen ikke har udarbejdet årlige risikovurderinger af sundhedsdatanettet, hvilket har betydet, at ledelsen ikke har taget stilling til, om it-sikkerheden var tilstrækkelig."
"ikke at have ført kontrol med brugeres adgang til sundhedsdatanettet. Derudover har MedCom heller ikke vurderet om medarbejdere hos organisationens driftsleverandør har haft et arbejdsbetinget behov for administratoradgang til sundhedsdatanettet og de bagvedliggende støttesystemer"

Osv. osv. Elendigheden fortsætter bare.

Hvordan kan vore politikere blive ved med at hævde, at man tager området alvorligt, og passer godt på vore data?

Claus Juul

Vores politikkere forstår ikke it-sikkerhed og hierarkiet er meget højt og for hvert lag bliver der frasorteret lidt, så det skal være meget grelt for at, det når en minister.

Her taler jeg om den interne proces. Rigsrevisionens beretning om statsregnskabet og andre beretninger kan kortslutte processen og bringe det direkte til ministerens bord.

Bjarne Nielsen

"Herudover vurderer de dataansvarlige brugere af sundhedsdatanettet, om de enkelte services kræver kryptering . MedComs anbefaling er, at man krypterer."

Ja, den undskyldning har vi hørt før. Det er nemlig sikkert nok - det er de andre, som bruger det forkert. Vi så den senest brugt af Danmark Statistik ifm. med modtagelse af data - og lidt i samme stil var der jo i sin tid sagen om, at iPhones var gode nok, det var bare folk, som holdt dem forkert.

Som jeg tidligere har citereret en kendt dansker for: Den, som har evnen, har pligten

Michael Christensen

Det er næppe den store overraskelse efter denne udtalelse: "Dette sikrede net har fungeret med en ekstrem høj grad af tilgængelighed i de 13 år". Nu består sikkerhed også af fortrolighed og integritet. Det er også noget af en mavepuster, at ISO27001 ikke efterleves, selvom det blev obligatorisk i 2014. ISO27001 danner rammen om sikkerhedsarbejde, og når det ikke er på plads, så er der en latent risiko for, at tingene sejler lystigt derudaf.

Jakob Damkjær

Og intet central oversigt over om beskeder er kviteret modtaget eller ej...

Det ville jo fordoble antallet af beskeder der bliver sendt hvis man kvitterede for modatagelse mellem afsender og modtager...

Det eneste der beskytter Sundhedscentrets er et perimeterforsvar ved et C level domæne... hvis bare en node eller åbenlyst fra artiklen en netværks admin bliver kompromiteret ville det udsætte alle dele af sundshedsnettet... for ftp servere er totalt sikre.

Og indenfor sundhedsdata nettet er INGEN data krypterede. Det er jo det de realt set siger.

Jakob Damkjær

Nope det er system udviklerene og der er ingen der har valgt at kryptere for det ville kræve at alle modtagere kan dekryptere...

Specielt fordi der ikke er nogen der benytter kvittering for modtagelse funktionen... så hvis du sender en besked til en modtager med et system der ikke understøtter kryptering vil du aldrig få at vide at beskeden ikke er kommet frem...

Så nej der er ingen der benytter kryptering...

Jakob Damkjær

Det er en nem statement... hvem bruger andet end transportlags kryptering ?

Og den encoding som er del af edifac standarden er rot13... det er en encoding og ikke en kryptering.

Måske er der nogen der kryptere på deres interne systemer men beskeder der bliver sendt over sundhedsdatanettet har jeg aldrig oplevet kryptering.

så du må komme med specifikke eksempler hvis du vil komme ud over en påstand uden argument eller eksempel.

Log ind eller Opret konto for at kommentere