Livsviktig sikkerhetsarbeid

Vi i Sykehuspartner leverer ikke-medisinske fellestjenester til sykehusene i Helse Sør-Øst. Helse Sør-Øst sørger for spesialisthelsetjenester til 3 millioner mennesker i Innlandet, Oslo, Vestfold og Telemark, Viken og Agder. Sykehuspartner drifter og forvalter IKT-tjenester og har ansvaret for IKT-infrastrukturen i regionen.

Etter hvert som helsesektoren i økende grad digitaliserer arbeidsprosessene, blir sektoren mer avhengig av informasjonssystemer og nettverk. Digital informasjon frigjør informasjonen fra det fysiske rom og gir nye muligheter for økt samhandling. Klinikere kan enklere dele informasjon seg imellom, både innenfor et sykehus, mellom helseforetak og regioner, på tvers av omsorgsnivåer og de kan dele informasjon med pasienter hjemme.

Bruk av IKT og digitalisering vil redusere og fjerne noen risikoområder, mens nye risikoer kommer til. Helsesektorens verdier tiltrekker seg trusselaktører, og vår infrastruktur er, i likhet med mange andre samfunnskritiske funksjoner, utsatt for kontinuerlige innhentingsoperasjoner og angrep.

Angriperne er internasjonale, ressurssterke aktører som kan angripe hvem som helst. Det betyr at både små og store sykehus må spille i samme internasjonale toppliga for å kunne stå imot digitale angrep. Sykehuspartner og vårt sikkerhetsmiljø har derfor en sentral rolle i regionen. Sammen med HelseCERT i Norsk Helsenett har Sykehuspartner en viktig rolle i å oppdage og håndtere hendelser.

Dessverre er det slik at noen dataangrep lykkes. Det har vi sett i Irland nå. Selv ikke virksomheter som håndterer samfunnskritiske funksjoner kan forhindre en avansert trusselaktør med tilstrekkelig evne og vilje til å gjennomføre langsiktige operasjoner. Det betyr ikke at vi skal gi opp, eller gjøre det enkelt for trusselaktørene, men det er nødvendig å erkjenne at det eksisterer aktører med både vilje og evne til å påføre betydelig skade i spesialhelsetjenestens IKT-systemer. Det er derfor nødvendig å gjøre tiltak som både reduserer sannsynligheten for at slike hendelser inntreffer, og konsekvensene av hendelsene når de inntreffer.

I 2018 ble Helse Sør-Øst utsatt for et avansert dataangrep. Helsetilbudet mot publikum ble ikke negativt påvirket, og ingen pasientopplysninger kom på avveie. Angrepet var likevel en påminnelse om viktigheten av å kunne forsvare den digitale infrastrukturen, og påvirket naturligvis Sykehuspartners planer og prioriteringer. Blant annet ble beredskapsplanverket oppdatert, og der hvor fokus i planverket tidligere hadde vært på oppetid og tilgjengelighet, ble det tatt inn scenarioer for å kontrollert stenge ned og beskytte systemer mot cyberangrep.

Sykehuspartner hadde i forkant av dataangrepet i Helse Sør-Øst vedtatt en sikkerhetsstrategi som prioriterer evnen til å oppdage og håndtere angrep, og hadde implementert deler av denne. Det var etablert et eget program for informasjonssikkerhet og personvern, med fire satsingsområder: kultur, prosess, organisering og teknologi. Etter datainnbruddet ble tiltak som reduserer sannsynligheten for, og konsekvensen av, vellykkede angrep prioritert opp; reduksjon av angrepsflater og implementering av overlappende sikkerhetsmekanismer.

Sikkerhetsmekanismer er etablert i flere lag, både for å redusere sannsynligheten for vellykkede angrep, og for å redusere konsekvensene av slike angrep. Dette innebærer blant annet etableringen av en fullskala plattform for sikkerhetsanalyse, som inneholder systemer for overvåkning og hendelseshåndtering 24/7, i tråd med beste praksis og føringer fra Helse Sør-Øst. Det ble lagt ekstra vekt på innføringen av NSMs fire grunnleggende sikkerhetstiltak i hele regionen. Rutiner med sikkerhetskopiering ble også gjennomgått og forbedret. Programmet ble avsluttet som planlagt sommeren 2020, etter å ha gjennomført flere viktige forbedringstiltak.

Styrking av informasjonssikkerhet er et kontinuerlig arbeid og et kappløp med trusselaktørene, og informasjonssikkerhet er i dag en integrert del av virksomhetsstyringen. I Sykehuspartner har informasjonssikkerhet i flere år inngått i rapporteringen til eget styre og til vår eier, og status på informasjonssikkerhetsområdet er fast del av alle ledermøter i Sykehuspartner.

Tekniske tiltak alene er ikke nok til å gi god informasjonssikkerhet. Organisasjonen må også preges av kompetanse og en god sikkerhetskultur. Arbeid med sikkerhetskultur, -organisasjon og -prosesser er like viktig som arbeidet med teknologi.

Risiko- og sårbarhetsanalyser er viktige verktøy for å beslutte og prioritere tiltak, også ved leveranser til sykehusene. Ideelt sett skal alle virksomhetsmål nås uten at uønskede hendelser oppstår, men slik er ikke den digitale hverdagen. Det vil alltid være en sannsynlighet for at sikkerhetsbrudd kan skje. Risiko ved sikkerhetsbrudd må imidlertid være under kontroll, og akseptkriteriene skal bidra til at det gjøres gode valg mellom å etablere sikringstiltak, akseptere risiko og å la være å gjøre aktiviteter som innebærer for høy risiko.

Sykehuspartner og Helse Nord IKT har i fellesskap for første gang utarbeidet en egen trusselvurdering. I dette arbeidet har vi hatt god bistand fra blant annet Telenor Norge. Godt samarbeid mellom aktørene kjennetegner det norske informasjonssikkerhetsmiljøet. Det er vi takknemlige for, og det ønsker vi selv også å bidra til.

Vår policy er åpenhet og invitasjon til læring av de hendelsene vi har opplevd. Vi har derfor gjort vårt ledelsessystem for informasjonssikkerhet tilgjengelig på https://www.helse-sorost.no/sikkerhet. Har du spørsmål om sikkerhetsarbeidet i Sykehuspartner er du velkommen til å kontakte oss på sikkerhet@sykehuspartner.no.