Der bliver oprustet kraftigt på it-sikkerheden hos Sundhedsdatatsyrelsen, efter at styrelsen har fået kritik af blandt andre Rigsrevisionen for ikke at have en færdig risikovurdering.
Derfor leder styrelsen nu efter tre nye medarbejdere, der skal gennemføre risikovurderinger og føre tilsyn med informationssikkerheden internt i koncernen.
“Alle kritiske sektorområder er blevet pålagt at lave en strategi for cybersikkerhed, og der er vi blevet udpeget som dem, der skal holde sundhedsområdet i hånden,” siger Lisbeth Nielsen, direktør for Sundhedsdatastyrelsen.
Men udover ordrerne om, at alle kritiske samfundsområder skal opruste på sikkerheden, så er en del af grunden til oprustningen også den kritik, der har været af styrelsen.
Læs også: Center for Cybersikkerhed: Meget høj risiko for angreb på sundhedssektoren
“Det er vel også en erkendelse af, at vi fik en beretning (fra Rigsrevisionen red.) om beskyttelse mod ransomware, hvor der var nogle bemærkninger, om vores risikovurderinger nu også er helt opdateret,” siger Lisbeth Nielsen og fortsætter:
“Der mener vi jo, at vi løbende laver risikovurderinger, men det er klart et område, hvor man bliver mere bevidst om at komme hele vejen rundt, jo klogere man bliver på det. Vi er begyndt med at tage de mest kritiske systemer først.”
Lisbeth Nilsen erkender samtidig, at styrelsen i dag ikke har nok folk, der arbejder med it-sikkerhed til at kunne opretholde det sikkerhedsniveau man må forvente af Sundhedsdatastyrelsen.
I Rigsrevisionens beretning står der, at ”[...] styrelsens risikovurdering fra 2015 endnu ikke er afsluttet, idet styrelsen mangler at gennemføre sårbarhedsvurderinger af systemer og infrastruktur.”
Skal sikre bedre samarbejde på tværs
De tre nye medarbejdere skal blandt andet være med til at sikre, at sundhedssektoren bliver bedre til at lære af de sikkerhedsbrister, der kommer.
“Resten af sundhedssektoren skulle gerne kunne mærke, at der er et sted, hvor man kan henvende sig, når man oplever en hændelse, som så kan fungere på tværs, og som ser det i et bredere perspektiv. Så læringen fra de her hændelser kommer alle til gode,” siger Lisbeth Nielsen.
Derudover får de tre kommende medarbejdere ansvaret for at skulle implementere en ny cyber- og informationssikkerhedsstrategi, databeskyttelsesforordningen og NIS-direktivet, der er en forlængelse af GDPR, der stiller yderligere krav til særligt sårbare sektorer.
Burde implementerien af GDPR og NIS-direktivet ikke allerede være på plads?
“GDPR fungerer sådan set også. Som styrelse er vi rimeligt godt med, og det forventer vi også, at man er ude i sundhedsvæsnet. Men det er jo et område, som vil udvikle i takt med, at vi får flere og flere data. Men der er sikkert ting vi ikke har taget højde for endnu, selvom vi har forsøgt at komme godt omkring det,” forklarer Lisbeth Nielsen.
Desuden regner Lisbeth Nielsen med, at behovet for en solid it-sikkerhed ikke bliver mindre de kommende år.
“Ligesom alle andre er vi under konstant beskydning, så derfor er det vigtigt at have et stærkt beredskab, og det kommer til at kræve flere kræfter. Vi får jo ikke færre systemer,” siger direktøren.
En løbende vurdering
I sidste uge forsøgte Computerworld at få et svar på, hvornår Sundhedsdatastyrelsen forventer at have en samlet risikovurdering klar, som Rigsrevisionen efterlyste.
“Sårbarheds- og risikovurdering [er] noget, vi arbejder med som en løbende aktivitet, ligesom trusselsvurderingen løbende ændrer sig og forretningsprocesserne udvikler sig. Derfor tænker vi fremadrettet risikovurderingen som en ongoing aktivitet, hvor det ikke primært handler om at nå frem til et, samlet øjebliksbillede men derimod om løbende at udarbejde relevante delvurderinger,” lød det fra vicedirektør, Flemming Christiansen, i sidste uge.
Samme dag skrev Sundheddatastyrelsen dog på sin hjemmeside, at der vil ligge en risikovurdering af styrelsens kerneopgaver klar i august.
