Hvis du har indtryk af, at it-sikkerheden sejler i det offentlige, så gør Rigsrevisionens beretning om statsregnskabet 2015 (PDF) næppe noget for at lave om på dette. I beretningen, der er udgivet i september i år, får flere offentlige organisationer kritik på it-sikkerhedsfronten.
Et af de mere fremtrædende tilfælde er MedCom, der står datatransport af danskernes sundhedsoplysninger.
I en bemærkning til beretningen fra Statsrevisorerne tales der ligefrem om, at MedComs utilstrækkelige styring af it-sikkerheden i sundhedsdatanettet kan have alvorlige konsekvenser for patienters liv og helbred.
Rigsrevisionen kritiserer, at organisationen ikke har udarbejdet årlige risikovurderinger af sundhedsdatanettet, hvilket har betydet, at ledelsen ikke har taget stilling til, om it-sikkerheden var tilstrækkelig.
»MedCom havde ikke politikker og retningslinjer for, hvordan leverandørstyring, adgangsstyring og ændringsstyring skulle udmøntes i praksis. Endelig havde MedCom ikke udarbejdet en beredskabsplan for sundhedsdatanettet, hvilket kan få alvorlige konsekvenser, fx for patienters liv og helbred,« står der.
MedCom får også kritik på en række andre punkter. Blandt andet for ikke at have ført kontrol med brugeres adgang til sundhedsdatanettet.
Derudover har MedCom heller ikke vurderet om medarbejdere hos organisationens driftsleverandør har haft et arbejdsbetinget behov for administratoradgang til sundhedsdatanettet og de bagvedliggende støttesystemer.
Rigsrevisionen bemærker også, at den offentlige organisation heller ikke har ført ikke løbende kontrol med driftsleverandørens administratorrettigheder.
» … en meget vigtig infrastruktur«
Version2 har bedt direktør for MedCom Lars Hulbæk forholde sig til kritikken fra Rigsrevisionen.
Han fortæller, at der i forlængelse af Rigsrevisionens kritik i februar 2016 blev iværksat en handlingsplan for at rette op i forhold til kritikpunkterne. Det vil blandt andet sige, at MedCom nu har en nedfældet beredskabsplan for, hvad der skal ske i en krisesituation.
I forhold til, at Rigsrevisionen har givet udtryk for, at fraværet af en beredskabsplan kan have udgjort en trussel for patienters liv og helbred, siger Lars Hulbæk:
»Det er udtryk for, at man betragter sundhedsdatanettet som en meget vigtig infrastruktur. Det man skal være opmærksom på er jo, at sundhedsdatanettet ikke er så meget i sig selv. Det er et sted, som mange parter bruger til at dele sundhedsdata på forskellige services,« siger han og fortsætter:
»Og det er klart, at sådan noget som en beredskabsplan, der har jo været en beredskabsplan for de enkelte services hos de dataansvarlige parter, ligesom vores leverandør også har haft en beredskabsplan.«
Hvad angår Rigsrevisionens kritik af, at MedCom ikke har vurderet, hvorvidt organisationens driftsleverandør har haft et arbejdsbetinget behov til sundhedsdatanettet, siger Lars Hukbæk:
»Noget af det, de blandt andet undrede sig over var, at direktøren hos vores driftsleverandør havde administratoradgang til et af nettets administrationssystemer. Og til det har vi svaret, at vi sådan set er trygge ved, at vi har driftsleverandør med en teknisk kyndig direktør, der sammen med det nødvendige antal medarbejdere i virksomheden, indgår i beredskabet for, hvordan man holder nettet kørende hele tiden.«
Der står også, at der bliver sendt ukrypterede oplysninger via sundhedsdatanettet?
»Der har fra starten været tale om et lukket, sikret netværk. Herudover vurderer de dataansvarlige brugere af sundhedsdatanettet, om de enkelte services kræver kryptering . MedComs anbefaling er, at man krypterer,« siger Lars Hulbæk.
Trods kritikken fra Rigsrevisionen mener Lars Hulbæk, at der overordnet set har været styr på it-sikkerheden hos MedCom.
»Ja, helt sikkert. Dette sikrede net har fungeret med en ekstrem høj grad af tilgængelighed i de 13 år, det har eksisteret. Ligesom Rigsrevisionen i deres it-revision peger på, at backup, overvågning og logning af selve netværket er fundet tilstrækkelig,« siger han og tilføjer:
»Det jeg synes, vi blev fanget i her er ikke at have formelle processer og dokumentationen på plads i så tilstrækkelig høj grad, som det forventes af os.«
ISO27001
En del af Rigsrevisionens kritik bunder ifølge Lars Hulbæk i, at MedCom er blevet vurderet ud fra sikkerhedsstandarden ISO27001.
Denne standard er MedCom for øjeblikket i fuld gang med at implementere.
Af Digitaliseringsstyrelsens hjemmeside fremgår det, at »ISO'en er valgt som statslig sikkerhedsstandard efter DS484 og har været obligatorisk at følge for statslige institutioner siden januar 2014. Standarden skal være implementeret af myndighederne primo 2016.«
Er det kommet bag på jer, at Rigsrevisionen kræver denne grad af dokumentation?
»Vi har jo alle sammen læst, at det offentlige har tilsluttet sig ISO27001, men det kom bag på os, at den konkrete fortolkning af standarden betød, at, vores systemforvaltning var så utilstrækkelig, at det bliver fremhævet i Statsrevisorernes beretning. Og det har vi så taget aktion på med det samme.«