Sundhedsdatastyrelsen opruster sikkerheden i hele sundhedsvæsnet

1. november 2018 kl. 10:422
Sundhedsdatastyrelsen opruster sikkerheden i hele sundhedsvæsnet
Illustration: alexskopje / bigstock.
Ny cybersikkerhedsafdeling skal overvåge den overordnede sikkerhed, gennemføre beredskabsøvelser på tværs af sundhedssektoren og udbrede fælles sikkerhedsstandarder. Nuv. sektionschef i Region Hovedstaden bliver afdelingsleder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Opdateret kl. 15:35.

Sundhedsdatastyrelsen åbner i dag en helt ny afdeling for cyber- og Informationssikkerhed.

Ny afdeling for cyber- og Informationssikkerhed

Består af otte medarbejdere i dag. Målet er 12-14. Afdelingen skal bl.a.:

  • Implementere den nye nationale strategi for cyber- og informationssikkerhed, hvor der skal udarbejdes en delstrategi for sundhedsvæsenet inden udgangen af 2018.
  • Supplere den nationale strategi med en dedikeret cybersikkerhedsenhed i Sundhedsdatastyrelsen, der skal fungere som samlende og koordinerende enhed for arbejdet med cybersikkerhed i sundhedssektoren.
  • Implementere EU's net- og informationssikkerhedsdirektiv (NIS) i sundhedssektoren.
  • Medvirke til, at Sundhedsministeriets koncern fortsat kan løfte de voksende krav til arbejdet med informationssikkerhed.

Kilde: Sundhedsdatastyrelsen

Det sker i en tid, hvor regioner og hospitaler etablerer stadigt flere integrationer mellem medikoteknisk udstyr og løsninger og centrale databaser og systemer.

Artiklen fortsætter efter annoncen

Og dermed alt andet lige øger angrebspunkterne for de cyberkriminelle.

Men også efter en række sager om f.eks. postafsendelse af ukrypterede cd'er, der blev afleveret forkert til et kinesisk visumfirma - cd'er, der indeholdt læsbare helbredsoplysninger om kræft, sukkersyge og psykiske lidelser hos 1,15 millioner danskere.

Og flere fejludleveringer af personfølsomme oplysninger om bl.a. CPR-nummer, patienttype, behandlingssted, behandlingstidspunkt, sengedage diagnosekoder til forkert borgere.

Og endelig mangelfuld styring og kontrol af udvidede administratorrettigheder, som betød, at personer uretmæssigt kunne få adgang til it-systemer og data hos den daværende styrelse National Sundheds-it.

It-sikkerhedsniveau skal gøres mere ensartet

Afdelingen i Sundhedsdatastyrelsen skal overvåge den overordnede sikkerhed, stå for beredskabsøvelser på tværs af sundhedssektoren, og udbrede it-sikkerhedsstandarder. Desuden er ambitionen, at de mange it-systemer, der forbinder hospitaler, apoteker, praktiserende læger etc. skal sikres på en mere ensartet måde mod misbrug og hackerangreb.

»Vi har altid prioriteret informationssikkerhed højt og organiseret dette arbejde særskilt. Men i maj fik Danmark en ny national strategi for cyber- og informationssikkerhed, som imødegår udfordringerne på området. Samtidigt trådte EU's net- og informationssikkerhedsdirektiv (NIS) i kraft. Det har givet os nye opgaver og nye ressourcer til formålet. Så i dag opretter vi en ny afdeling, som kommer til at bestå af 12-14 årsværk, når alle stillinger er besat,« udtaler vicedirektør i Sundhedsdatastyrelsen Flemming Christiansen i en email sendt til Version2.

Afdelingen består i dag af otte medarbejdere – herunder fire nyansatte. I den kommende tid vil flere blive ansat. Der er ansat en ny afdelingsleder, som tiltræder 1. januar. Det er Søren Bank Greenfield, som er i dag er sektionschef i Region Hovedstaden.

Han har ifølge styrelsen mange års erfaring med og stor indsigt i sundhedsvæsenets it-infrastruktur samt cyber- og informationssikkerhed.

Indtil han tiltræder ledes afdelingen af den hidtidige leder af Sundhedsdatastyrelsens arbejde på området.

»Den nationale cyberstrategi har fastsat, at der skal udarbejdes en særlig strategi for cyber- og informationssikkerhed på sundhedsområdet inden årsskiftet. Det bliver derfor naturligvis en meget central del af opgaverne for vores nye afdeling for Cyber- og Informationssikkerhed – allerede på denne side af årsskiftet,« forklarer Flemming Christiansen og fortsætter:

»Det er i sagens natur for tidligt at sige så meget om strategien, før dette arbejde er færdigt. Men det handler naturligvis meget om, at sætte sundhedsvæsenet i stand til at forebygge ved for eksempel at finde og lukke eventuelle huller, så vi bliver mindre sårbare. Det handler om at overvåge og efterprøve sikkerheden. Og det handler om at arbejde med et overordnet beredskab og koordinere på tværs af sundhedssektoren og til andre særligt sårbare sektorer i samfundet«

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
1. november 2018 kl. 16:13

Det er selvfølgelig rigtig godt, at man nu tager datasikkerhed i sundhedsvæsenet alvorligt.
Men jeg forstår ikke, hvorfor det ikke skal være en enhed under Center For Cybersikkerhed, hos FE eller lignende.Altså i regi af erfarne kræfter, der har forstand og styr på sikkerhed allerede.

Der skal oprettes 12-14 nye årsværk hos Sundhedsdatastyrelsen til dette formål.
Med mindre de rekrutterer ledende medarbejdere og stab fra CFC, FE eller øvrige med tilsvarende dokumenteret sikkerheds- og beskyttelseserfaring, mener jeg ikke, at det er en god idé, at placere så stort et ansvar hos så ung en styrelse, som Sundhedsdatastyrelsen, med så kedelig en track record.

Sundhedsdatastyrelsen blev oprettet af daværende sundhedsminister, Sophie Løhde, 1. november 2015, efter en reorganisering af Sundhedsstyrelsen. Og lige siden har Styrelsen været hyppig hovedperson her på Version 2, navnlig for deres kritiske omgang med datasikkerheden. Start evt. nederst her: https://www.version2.dk/sog/sundhedsdatastyrelsen?page=2

Sundhedsdatastyrelsen råder over en lang række registre og databaser inden for sundhedsområdet. De foretager monitorering, statistik og analyser for sundhedssektoren, men de forvalter også vores private sundheds- og sygdomsoplysninger, via mange forskellige databaser. Er du behandlet for et alkoholproblem, står du opført i NAB. Har du fået en abort, står du i ABR. Cancerregistret går tilbage til 1943. Det er ganske personfølsomt. Vi står alle i LPR.https://sundhedsdatastyrelsen.dk/da/registre-og-services/om-de-nationale-sundhedsregistrehttps://sundhedsdatastyrelsen.dk/da/registre-og-servicesAlle oplysninger, som Styrelsen deler ud af – personhenførbart, på cpr-nummer – til forskere og offentlige myndigheder. Dine private oplysninger stilles til rådighed for alle kommuner i Danmark. Så kan de fx indlæse en gruppe borgere (cpr-population) og koble dem til sundhedsdata, på kryds og tværs.https://sundhedsdatastyrelsen.dk/da/registre-og-services/om-lukket-esundhed/koes

Jeg vil gerne erindre om, at det kun er5 måneder siden, Sundhedsdatastyrelsen ikke mente, at det var nødvendigt at sikre sig selv mod ransomware.De agtede således ikke at følge Rigsrevisionens anbefaling. En anbefaling, Rigsrevisionen gav, fordi en revision viste, at Styrelsens IT-sikkerhed var kritisk mangelfuld. Sundhedsdatastyrelsens argument var, at det forhindrede deres medarbejdere i at tilgå privat e-mail fra arbejds-pc’en. Det synes jeg, taler for sig selv. 07.06.18: https://www.version2.dk/artikel/to-ministerier-blaeser-paa-rigsrevisionens-it-anbefalinger-mod-ransomware-1085327

Efterfølgende har Digitaliseringsstyrelsen udsendt et påkrav til alle statslige myndigheder om, at kortlægge deres IT samt udarbejde en handlingsplan, der skal godkendes af Statens IT-råd. Dette skete efter, at en rapport fra Finansministeriet konkluderede, at mere end 100 statslige IT-systemer var usikre og risikerer nedbrud. 23.07.18: https://www.version2.dk/artikel/efter-kritisk-rapport-alle-statslige-myndigheder-skal-kortlaegge-deres-it-1085748

På den vis skulle ”ledelsen i alle statslige myndigheder blive mere skarpe på de IT-systemer, de råder over, og hvordan IT-systemerne understøtter myndighedernes arbejde”.

Og netop dette, synes at være en bydende nødvendighed hos Sundhedsdatastyrelsen.Altså, udover at sikre datasikkerheden, at blive bevidste om, hvad det i grunden er for nogle værdier, de sidder og forvalter, på borgernes vegne.

Som borger kan man derudover ikke få oplyst hvem, Sundhedsdatastyrelsen har videregivet dine data til.
Det er en styrelse, der råder over et hav af registre og databaser (”the one to rule them all”), men de har ikke et simpelt register over hvem, de udleverer vores private sundhedsoplysninger til. Der er log og journaliseringspligt i det offentlige, i sundhedsvæsenet – hos lægen og på vores hospitaler – men Sundhedsdatastyrelsen er åbenbart ikke underlagt denne journaliseringspligt.

Så jeg ved ikke… Jeg synes, det er galt. Det forekommer mig ikke forsvarligt, at overlade dem så stort et ansvar.

1
1. november 2018 kl. 14:36

Lige som man siger i flyveren: Tag først selv masken på, først derefter skal du hjælpe barnet/andre.