Sundhedsdatastyrelsen fordobler antallet af it-sikkerhedsmedarbejdere - på jagt efter nye folk: "Ligesom alle andre er vi under konstant beskydning"

Interview: Antallet af it-sikkerhedsfolk bliver fordoblet hos Sundhedsdatastyrelsen. Styrelsen har opslået tre nye stillinger inden for it-sikkerhed: “Vi er ikke nok til at kunne løfte det niveau, som man naturligt må forvente," siger direktør Lisbeth Nielsen.

Artikel top billede

Der bliver oprustet kraftigt på it-sikkerheden hos Sundhedsdatatsyrelsen, efter at styrelsen har fået kritik af blandt andre Rigsrevisionen for ikke at have en færdig risikovurdering.

Derfor leder styrelsen nu efter tre nye medarbejdere, der skal gennemføre risikovurderinger og føre tilsyn med informationssikkerheden internt i koncernen.

Læs også: Sundhedsdatastyrelsen kritiseres for manglende risikovurdering på tredje år: Her er styrelsens forklaring

“Alle kritiske sektorområder er blevet pålagt at lave en strategi for cybersikkerhed, og der er vi blevet udpeget som dem, der skal holde sundhedsområdet i hånden,” siger Lisbeth Nielsen, direktør for Sundhedsdatastyrelsen.

Men udover ordrerne om, at alle kritiske samfundsområder skal opruste på sikkerheden, så er en del af grunden til oprustningen også den kritik, der har været af styrelsen.

Læs også: Center for Cybersikkerhed: Meget høj risiko for angreb på sundhedssektoren

“Det er vel også en erkendelse af, at vi fik en beretning (fra Rigsrevisionen red.) om beskyttelse mod ransomware, hvor der var nogle bemærkninger, om vores risikovurderinger nu også er helt opdateret,” siger Lisbeth Nielsen og fortsætter:

“Der mener vi jo, at vi løbende laver risikovurderinger, men det er klart et område, hvor man bliver mere bevidst om at komme hele vejen rundt, jo klogere man bliver på det. Vi er begyndt med at tage de mest kritiske systemer først.”

Lisbeth Nilsen erkender samtidig, at styrelsen i dag ikke har nok folk, der arbejder med it-sikkerhed til at kunne opretholde det sikkerhedsniveau man må forvente af Sundhedsdatastyrelsen.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

I Rigsrevisionens beretning står der, at ”[...] styrelsens risikovurdering fra 2015 endnu ikke er afsluttet, idet styrelsen mangler at gennemføre sårbarhedsvurderinger af systemer og infrastruktur.”

Skal sikre bedre samarbejde på tværs

De tre nye medarbejdere skal blandt andet være med til at sikre, at sundhedssektoren bliver bedre til at lære af de sikkerhedsbrister, der kommer.

“Resten af sundhedssektoren skulle gerne kunne mærke, at der er et sted, hvor man kan henvende sig, når man oplever en hændelse, som så kan fungere på tværs, og som ser det i et bredere perspektiv. Så læringen fra de her hændelser kommer alle til gode,” siger Lisbeth Nielsen.

Læs også: Ministerier vil ikke følge Rigsrevisionens anbefalinger mod ransomware-angreb: "Vil være en uhensigtsmæssig tung byrde"

Derudover får de tre kommende medarbejdere ansvaret for at skulle implementere en ny cyber- og informationssikkerhedsstrategi, databeskyttelsesforordningen og NIS-direktivet, der er en forlængelse af GDPR, der stiller yderligere krav til særligt sårbare sektorer.

Burde implementerien af GDPR og NIS-direktivet ikke allerede være på plads?

“GDPR fungerer sådan set også. Som styrelse er vi rimeligt godt med, og det forventer vi også, at man er ude i sundhedsvæsnet. Men det er jo et område, som vil udvikle i takt med, at vi får flere og flere data. Men der er sikkert ting vi ikke har taget højde for endnu, selvom vi har forsøgt at komme godt omkring det,” forklarer Lisbeth Nielsen.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

Desuden regner Lisbeth Nielsen med, at behovet for en solid it-sikkerhed ikke bliver mindre de kommende år.

“Ligesom alle andre er vi under konstant beskydning, så derfor er det vigtigt at have et stærkt beredskab, og det kommer til at kræve flere kræfter. Vi får jo ikke færre systemer,” siger direktøren.

En løbende vurdering

I sidste uge forsøgte Computerworld at få et svar på, hvornår Sundhedsdatastyrelsen forventer at have en samlet risikovurdering klar, som Rigsrevisionen efterlyste.

“Sårbarheds- og risikovurdering [er] noget, vi arbejder med som en løbende aktivitet, ligesom trusselsvurderingen løbende ændrer sig og forretningsprocesserne udvikler sig. Derfor tænker vi fremadrettet risikovurderingen som en ongoing aktivitet, hvor det ikke primært handler om at nå frem til et, samlet øjebliksbillede men derimod om løbende at udarbejde relevante delvurderinger,” lød det fra vicedirektør, Flemming Christiansen, i sidste uge.

Samme dag skrev Sundheddatastyrelsen dog på sin hjemmeside, at der vil ligge en risikovurdering af styrelsens kerneopgaver klar i august.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Leder af Lokal IT-Servicecenter i Birkerød

Københavnsområdet

KMD A/S

Finance Business Controller

Københavnsområdet

Netcompany A/S

IT Manager

Nordjylland

Navnenyt fra it-Danmark

Norriq Danmark A/S har pr. 1. september 2025 ansat Thea Scheuer Gregersen som Finace accountant. Hun skal især beskæftige sig med håndteringer af bl.a. bogføring og finansiel rapportering på tværs af selskaberne. Hun er uddannet Bachelor´s degree i Business Administration & Economics og en Master of Sustainable Business degree. Nyt job

Thea Scheuer Gregersen

Norriq Danmark A/S

Netip A/S har pr. 19. august 2025 ansat Burak Cavusoglu som Datateknikerelev ved afd.Thisted og afd. Rønnede. Nyt job

Burak Cavusoglu

Netip A/S

IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

Henrik Thøgersen

IT Confidence A/S

Netip A/S har pr. 15. september 2025 ansat Peter Holst Ring Madsen som Systemkonsulent ved netIP's kontor i Holstebro. Han kommer fra en stilling som Team Lead hos Thise Mejeri. Nyt job