Informasjonssikkerheten ved sykehusene skal fortsatt forbedres
Riksrevisjonen la 27. november frem sin oppfølgingsrevisjon av helseforetakenes forebygging av angrep mot sine IKT-systemer. Riksrevisjonen kommer med kritikk av helseregionenes arbeid med informasjonssikkerhet, men påpeker samtidig en forbedring.
Oppfølgingsrevisjonen er en del av Riksrevisjonens kontroll av statlige selskaper, og en oppfølging fra tidligere revisjon i 2019.
Riksrevisjonen konstaterer at det er satt i gang mange tiltak, både av departementet, de regionale helseforetakene og helseforetakene. Dette har bidratt til, og vil bidra til, å styrke informasjonssikkerheten i spesialisthelsetjenesten. Undersøkelsen viser imidlertid også at det fortsatt er svakheter i informasjonssikkerheten, og utfordringer med å få etablert en god sikkerhetskultur.
Riksrevisjonen simulerte dataangrep som viste at vi fortsatt er sårbare. Gjennom sine tester kunne Riksrevisjonen ha påvirket tilgjengelighet, integritet og konfidensialitet i våre IKT-systemer. Riksrevisjonen understreker at siden angrepene kun var simulerte, var aldri data i fare eller på avveie mens testene pågikk.
Et kontinuerlig arbeid
- Vi ser alvorlig på de funnene Riksrevisjonen har gjort, og ser at vi har fortsatt har vesentlige områder å jobbe med, sier Hilde Rolandsen, eierdirektør i Helse Nord RHF.
- Riksrevisjonen har gjort en god kontroll og oppfølging av Helse Nords høyt prioriterte arbeid med informasjonssikkerhet. Riksrevisjonen påpeker at vi har hatt en forbedring fra 2019, og at tiltakene vi har innført de siste årene har gitt en effekt.
Riksrevisjonens arbeid har stor verdi
De siste årene har Helse Nord brukt store ressurser for å forbedre informasjonssikkerheten i sykehusene og helseforetakene i Nord-Norge. Arbeidet med informasjonssikkerhet er et langsiktig arbeid med høy kompleksitet. Den hurtige teknologiske utviklingen, og stadige endringer i det globale trusselbildet, bidrar til den høye kompleksiteten.
- I en stor og kompleks IKT-struktur vil det, til tross for omfattende innsats, kunne være svakheter som er ukjente for oss. Det vil også kunne skje at tiltak som er gjort på kjente svakheter ikke har hatt tilstrekkelig effekt. Jevnlige sikkerhetstester er derfor nødvendige. Vårt samarbeid med Riksrevisjonen har stor verdi for Helse Nords forbedringsarbeid, sier Hilde Rolandsen.
Les Riksrevisjonens rapport om helseforetakenes forebygging av angrep mot sine IKT-systemer
Les også: Spesialisthelsetjenestens trusselvurdering for 2024