Artikel top billede

Sundhedsdatastyrelsen fordobler antallet af it-sikkerhedsmedarbejdere - på jagt efter nye folk: "Ligesom alle andre er vi under konstant beskydning"

Interview: Antallet af it-sikkerhedsfolk bliver fordoblet hos Sundhedsdatastyrelsen. Styrelsen har opslået tre nye stillinger inden for it-sikkerhed: “Vi er ikke nok til at kunne løfte det niveau, som man naturligt må forvente," siger direktør Lisbeth Nielsen.

Der bliver oprustet kraftigt på it-sikkerheden hos Sundhedsdatatsyrelsen, efter at styrelsen har fået kritik af blandt andre Rigsrevisionen for ikke at have en færdig risikovurdering.

Derfor leder styrelsen nu efter tre nye medarbejdere, der skal gennemføre risikovurderinger og føre tilsyn med informationssikkerheden internt i koncernen.

Læs også: Sundhedsdatastyrelsen kritiseres for manglende risikovurdering på tredje år: Her er styrelsens forklaring

“Alle kritiske sektorområder er blevet pålagt at lave en strategi for cybersikkerhed, og der er vi blevet udpeget som dem, der skal holde sundhedsområdet i hånden,” siger Lisbeth Nielsen, direktør for Sundhedsdatastyrelsen.

Men udover ordrerne om, at alle kritiske samfundsområder skal opruste på sikkerheden, så er en del af grunden til oprustningen også den kritik, der har været af styrelsen.

Læs også: Center for Cybersikkerhed: Meget høj risiko for angreb på sundhedssektoren

“Det er vel også en erkendelse af, at vi fik en beretning (fra Rigsrevisionen red.) om beskyttelse mod ransomware, hvor der var nogle bemærkninger, om vores risikovurderinger nu også er helt opdateret,” siger Lisbeth Nielsen og fortsætter:

“Der mener vi jo, at vi løbende laver risikovurderinger, men det er klart et område, hvor man bliver mere bevidst om at komme hele vejen rundt, jo klogere man bliver på det. Vi er begyndt med at tage de mest kritiske systemer først.”

Lisbeth Nilsen erkender samtidig, at styrelsen i dag ikke har nok folk, der arbejder med it-sikkerhed til at kunne opretholde det sikkerhedsniveau man må forvente af Sundhedsdatastyrelsen.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

I Rigsrevisionens beretning står der, at ”[...] styrelsens risikovurdering fra 2015 endnu ikke er afsluttet, idet styrelsen mangler at gennemføre sårbarhedsvurderinger af systemer og infrastruktur.”

Skal sikre bedre samarbejde på tværs

De tre nye medarbejdere skal blandt andet være med til at sikre, at sundhedssektoren bliver bedre til at lære af de sikkerhedsbrister, der kommer.

“Resten af sundhedssektoren skulle gerne kunne mærke, at der er et sted, hvor man kan henvende sig, når man oplever en hændelse, som så kan fungere på tværs, og som ser det i et bredere perspektiv. Så læringen fra de her hændelser kommer alle til gode,” siger Lisbeth Nielsen.

Læs også: Ministerier vil ikke følge Rigsrevisionens anbefalinger mod ransomware-angreb: "Vil være en uhensigtsmæssig tung byrde"

Derudover får de tre kommende medarbejdere ansvaret for at skulle implementere en ny cyber- og informationssikkerhedsstrategi, databeskyttelsesforordningen og NIS-direktivet, der er en forlængelse af GDPR, der stiller yderligere krav til særligt sårbare sektorer.

Burde implementerien af GDPR og NIS-direktivet ikke allerede være på plads?

“GDPR fungerer sådan set også. Som styrelse er vi rimeligt godt med, og det forventer vi også, at man er ude i sundhedsvæsnet. Men det er jo et område, som vil udvikle i takt med, at vi får flere og flere data. Men der er sikkert ting vi ikke har taget højde for endnu, selvom vi har forsøgt at komme godt omkring det,” forklarer Lisbeth Nielsen.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

Desuden regner Lisbeth Nielsen med, at behovet for en solid it-sikkerhed ikke bliver mindre de kommende år.

“Ligesom alle andre er vi under konstant beskydning, så derfor er det vigtigt at have et stærkt beredskab, og det kommer til at kræve flere kræfter. Vi får jo ikke færre systemer,” siger direktøren.

En løbende vurdering

I sidste uge forsøgte Computerworld at få et svar på, hvornår Sundhedsdatastyrelsen forventer at have en samlet risikovurdering klar, som Rigsrevisionen efterlyste.

“Sårbarheds- og risikovurdering [er] noget, vi arbejder med som en løbende aktivitet, ligesom trusselsvurderingen løbende ændrer sig og forretningsprocesserne udvikler sig. Derfor tænker vi fremadrettet risikovurderingen som en ongoing aktivitet, hvor det ikke primært handler om at nå frem til et, samlet øjebliksbillede men derimod om løbende at udarbejde relevante delvurderinger,” lød det fra vicedirektør, Flemming Christiansen, i sidste uge.

Samme dag skrev Sundheddatastyrelsen dog på sin hjemmeside, at der vil ligge en risikovurdering af styrelsens kerneopgaver klar i august.