Servere i klædeskabe og ti år gamle kodeord: Ringe it-sikkerhed hos praktiserende læger

Illustration: ever/Shutterstock Inc
En ny rapport fra it-sikkerhedsselskabet Ezenta påpeger graverende fejl i it-sikkerheden hos praktiserende læger.

Ikke-krypteret data på servere i ulåste klædeskabe, kodeord, der ikke er skiftet i ti år, og generel mangel på firewalls og basale sikkerhedssystemer. Dette er blot nogle af de mangler, som er blevet afdækket hos praktiserende læger i en ny sikkerhedsrapport.

Rapporten er udarbejdet af sikkerhedsfirmaet Ezenta for Praktiserende Lægers Organisation (PLO) og er baseret på interviews med læger i fire lægehuse samt analyse af otte såkaldte systemhuse, der leverer softwareløsninger til læger.

Undersøgelsen får blandt andet Ezenta til at konkludere, at det er »tvivlsomt, om alle PLO’s medlemmer på nuværende tidspunkt kan opfylde kravene i forhold til GDPR artikel 32«, der kræver et sikkerhedsniveau, der passer til den type data, der behandles.

Ezentas forslag til forbedring af sikkerheden hos læger og systemhuse. Illustration: Screenshot/Ezenta

Lægehusene tager ikke ansvar for it-sikkerhed

Ingen af de lægehuse, som Ezenta har undersøgt, har videregivet det fulde sikkerhedsansvar til deres systemhus.

Alligevel har der i lægehusene været en forventning om, at ansvaret for lægehusets it-sikkerhed lå ved systemhusene.

Dette til trods for, at lægehusene i flere tilfælde har undladt at implementere de sikkerhedspakker, som systemhusene tilbyder.

Samtidig har sikkerheden i stort omfang været svækket på grund af ønsker fra lægehusene, der f.eks. har valgt at beholde gamle og simple kodeord - såsom brugernavnet xx og kodeordet xx12345 - fremgår det af Ezentas rapport.

Lægehusene har i flere tilfælde undladt at opdatere tredjepartsprogrammer, ladet alle brugere have administratorrettigheder og desuden brugt computerne til andre formål, som læsning af e-mails, internet-browsing, etc.

Læs også: Lægesjusk med opdatering af fælles medicinkort er både farligt og dyrt

»Det betyder, at sandsynligheden for, at en læge får hacket sin computer, er relativ stor, når det ses i sammenhold med det sikkerhedsniveau, der er på den enkelte computer,« skriver sikkerhedsfirmaet.

»Sandsynligheden for, at en læge får hacket sin computer, er relativ stor.« - Ezenta

Endelig har flere lægehuse undladt at bruge en sikker backupløsning og har i visse tilfælde nøjedes med ukrypteret backup på usb eller harddisk, opbevaret samme sted som serveren.

»Lægerne ser ikke på it-sikkerhed som deres primære kompetence,« siger Thomas Wong, konsulent ved Ezenta og medforfatter af rapporten, og fortsætter:

»Men det er mit indtryk, at de er meget lydhøre, når man påpeger mangler for dem, så jeg tror mest, det er et spørgsmål om, at de ikke har været så opmærksomme på problemerne - simpelthen et awareness-spørgsmål.«

PLO retter fokus mod it-sikkerhed

Hos PLO ser man undersøgelsens resultater som startskuddet til et større arbejde for at højne it-sikkerheden hos de praktiserende læger.

»Jeg tror, vi har bedre it-sikkerhed end på hospitalerne, men rapporten viser ret tydeligt, at vi skal være mere bevidste om it-sikkerhedsstrategi,« siger Niels Ulrich Holm, som er næstformand i PLO.

»Det er også derfor, vi har fået udviklet rapporten. Den har været det opklarende arbejde, nu begynder vi så med det udredende.«

Ifølge Niels Ulrich Holm besluttede PLO's dataudvalg i tirsdags, at en kampagne skal påbegyndes senest i starten af marts. Den skal sætte større fokus på it-sikkerhed og guide lægerne igennem, hvordan de bliver klar til GDPR.

»Vi kommer også til at kræve af vores systemhuse, at de har en gennemarbejdet it-revisionsaftale, som skal snakkes igennem med kunden. På den måde får vi sikret, at der ikke er tvivl om, hvem der har ansvaret for sikkerheden, og hvad det omfatter,« siger han.

Læs også: GDPR nærmer sig: Danske virksomheder er stadig på glatis

Mangel på centrale it-sikkerhedssystemer i systemhusene

Langt de største sikkerhedsbrister har Ezenta fundet i lægehusene. Systemhusene har dog også visse sikkerhedsproblemer, viser rapporten.

De fleste af dem er ikke ISO27001-certificerede og baserer heller ikke deres processer på andre anerkendte standarder. Det betyder i flere tilfælde, at processer ikke er skrevet ned, og at processer er afhængige af én enkelt person. Alle statslige institutioner har siden 2016 skullet følge ISO27001-standarden.

En del af systemhusene mangler også SIEM-systemer, eller Security Information & Event Management, som automatisk overvåger logfiler. Ifølge den amerikanske rapport ‘Ponemon 2017 Cost of a Data Breach Study’ tager det i gennemsnit 206 dage at opdage et datalæk uden et SIEM-system.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
Anne-Marie Krogsbøll

"»Jeg tror vi har bedre it-sikkerhed end på hospitalerne, " - siger næstformanden i PLO.

Hvis det - ud fra de beskrevne alvorlige tilstande hos praktiserende læger - er rigtigt, så er der godt nok noget at være bekymret for.

Gætter han, eller har han viden og erfaringer at basere det på?

Bjarne Nielsen

Nu har staten på det offentliges vegne udnyttet mulighederne for særegne særregler i den nationale udgave af regulativet maksimalt til både at bevilge sig selv større friheder på borgernes bekostning, men også for at gøre sig selv så ansvarsfri som overhovedet muligt (og der er ikke langt fra ansvarsfri og til uansvarlig).

Men hvor går grænsen egentlig imellem det offentlige og det private egentlig? Som privatpraktiserende læge er man vel fuldt og helt udenfor den paraply, som den danske stat har slået op over sig selv.

Men hvad med selvejende institutioner? Og hvad med opgaver som private betaler det offentlige for at udføre? Med privat/offentlige selskaber? Er det hovedansættelsesforholdets placering, som er afgørende? Eller er det den juridiske konstruktion for den dataansvarlige?

Og hvad med databehandler? Kan en privat databehandler ifalde ansvar jfr. reglerne for det private område, eller dækker den offentlige paraply også opgaver udført af private, men bestilt og betalt af det offentlige?

Jan Heisterberg

Det var så PLO's undersøgelse.
Hvad med alle de andre dele af sundhedsvæsenet ?
- der er vel andre, psykologer, som behandler fortrolige data ?

Og andre ?
Tandlæger er et godt eksempel. Jeg ved ikke om mine tandlægedata er så fortrolige, men aligevel. Ihvertfald laver jeg log on med mit personnummer. Og selv om jeg ikke lider af personnummer-fobi, som mange andre, så er det dog information som ifølge loven skal beskyttes.
Og det har lige vist sig, at min tandlæger system IKKE benytter krypterede forbindelser når info (e.g. Log on og tidsbestilling).
Mon tandlægetjek er et godt tidspunkt for uanmeldt hjemmebesøg ?

Så HELE sektoren træng vist til en alvorlig opdatering !

P.S.: OPFORDRING: check lige om jeres læge/tandlæge/andre benytter en krypteret internetforbindelse ?
I ved, den der lille hængelås i browseren (eller tilsvarende info).
OG KLAG hvis det ikke er tilfældet.

Jeg skal nok fortælle om resultatet af min klage - når det kommer.

Jakob Damkjær

Da it sikkerhed, procedure og ansvars beskrivelse er en del af den audit som alle lægehuse har gennemgået...

Der ligger audit rapporter på alle dem der har gennemgået det. Så det kunne være interessant at vide om de lægehuse der er blevet stikprøvet har gennemgået audit eller ej...

Man kunne nok få anonym adgang til de rapporter og se hvordan “lyskrydsene” er i de it relaterede dele af rapporterne...

Bjarne Nielsen

Jeg ved ikke om mine tandlægedata er så fortrolige, men aligevel.

Svjv. så er tandlæger meget interesseret i visse former for medicin, da det kan have ganske tydelige bivirkninger på deres "område". Medicin for tilstande, som man nok gerne vil have de sundhedsprofessionelle til at behandle med professionel fortrolighed.

Og så er der også tanker om at inddrage dem i tidlig diagnosticering, som f.eks. for diabetes.

Claus Juul

Men det er mit indtryk, at de er meget lydhøre, når man påpeger mangler for dem, så jeg tror mest det er et spørgsmål om, at de ikke har været så opmærksomme på problemerne - simpelthen et awareness spørgsmål

Som enhver anden virksomhedsejer, har man et ansvar for ens produkt/tjeneste, herunder at følsomme data ikke kommer til uvedkommendes kendskab.

Jeg tror vi har bedre it-sikkerhed end på hospitalerne

Det tror jeg så ikke, hvis denne artikels beskrivelse er retvisende og repræsentativ.

Vi kommer også til at kræve af vores systemhuse, at de har en gennemarbejdet it-revisionsaftale, som skal snakkes igennem med kunden.

Hvilken værdi giver dette; systemhusene kan tilrettelægge (sætte et scope for) en revision, så den ikke belyser de kritiske elementer.
Kunden eller en repræsentant for kunden er nød til at bestemme hvad en it-revision skal dække.

De fleste af dem er ikke ISO27001-certificerede, og baserer heller ikke deres processer på andre anerkendte standarder. Det betyder i flere tilfælde, at processer ikke er skrevet ned, og at processer er afhængige af én enkelt person

At en proces ikke er dokumenteret betyder ikke at det er umuligt at opnå en ISO 27001 certificering. Hvis ledelsen formelt/dokumenteret har accepteret denne risiko, så kan den fint glide igennem.

Sat på kanten, kan ledelsen acceptere alle risici (høj som lav), undlade at implementere en eneste foranstaltning og stadig opnå en ISO 27001 certificering.

just my 50 cents

Henrik Sørensen

Da min læge for et par år siden pludselig døde så forsvandt også alle mine journaldata.

Da jeg henvendte mig til regionen, som både er tilsynsmyndighed og betaler lægens regninger, og bad dem om at skaffe mine journaldata og sikre at de ikke kom i forkerte hænder, så var svaret, at det kunne de skam ikke gøre noget ved, men jeg kunne jo forsøge at henvende mig til boet ...

Så nu ligger mine og vel 1500-2000 andre borgeres journaler og rodet et eller andet sted ... måske på lægens pc og server i kælderen hos enken eller også har hun solgt dem til højestbydende ... jeg kunne i hvert tilfælde ikke få mine data.

Så seriøst tager sundhedsvæsenet på medicinske data ...

Jan Heisterberg

Henrik Sørensen rejser jo en meget interessant og generel problematik - her i relation til en praktiserende læge.

Problematikken er jo helt generel, og gælder mange andre ydelser fra andre - for eksempel advokater eller laboratorier for tekniske undersøgelser.
Tænk, for eksempel, på en tvist og byggesag, hvor advokat, eller det benyttede laboratorium eller rådgivende firma, pludselig "forsvinder" (e.g. dødsfald eller alvorlig ulykke). Det viser sig, at sagens akter og dokumentation (måske års arbejde) pludselig er utilgængeligt. Måske benytter advokaten et "personligt" arkivsystem, måske krypteret, som er utilgængeligt.
Kan man mon, som klient, forsikre sig mod dette ?

I et papirarkiv kan man, måske, med tilstrækkelig tid finde sagens akter - men i den elektroniske (krypterede) verden ?

Uha, det her var en øjenåbner.

Henrik B. Hager

Det er lægens ansvar at overdrage din journal til din nye læge. Med mindre du fravælger, at han/hun må.
I dit tilfælde er det boets ansvar at gøre det.
Ellers bør du vælge at kontakte Styrelsen for Patientsikkerhed, så vidt jeg husker loven.
Jeg mener ikke regionen kan gøre noget.

P. S.
Mener også at andre typer læger skal overdrage journaler f. eks. tandlæger.

Henrik Sørensen

Hej Henrik B .... tak for dit svar.

Det underbygger desværre tydeligt problemstillingen.

Lægen dør og det bringer ham i en position hvor han har svært ved selv at leve op til sine forpligtelser.

Det er intet der tilsiger hans bo at gøre det rigtige og vigtigst af alt, så har det offentlige ikke:

  • sikret at alle data beror hos det offentlige ... i det mindste i kopi

  • sikret at alle sundhedspersoner (også privatpraktiserende) overdrager alle data når de ophører med at praktisere

  • sikret at boet efter læger, psykologer og andre privatpraktiserende omgående kontaktes efter dødsfaldet og instrueres i hvordan data skal overbringes i det offentliges varetægt og beskyttelse eller destrueres på betryggende vis

... gad vide hvordan dette ser ud i GDPR regi...?

Lars Jensen

Med de forslag Ezenta lægger frem, så forstår jeg godt at en parktiserende læge stritter imod. Alene de forebyggende udgifter er højere end den bøde der udskrives. Måske skulle man vejlede lægerne i stedet for at starte med "Giv os 200.000,- derfra kan vi hjælpe dig".

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder