Sundhedsdatastyrelsen fordobler antallet af it-sikkerhedsmedarbejdere - på jagt efter nye folk: "Ligesom alle andre er vi under konstant beskydning"

Interview: Antallet af it-sikkerhedsfolk bliver fordoblet hos Sundhedsdatastyrelsen. Styrelsen har opslået tre nye stillinger inden for it-sikkerhed: “Vi er ikke nok til at kunne løfte det niveau, som man naturligt må forvente," siger direktør Lisbeth Nielsen.

Der bliver oprustet kraftigt på it-sikkerheden hos Sundhedsdatatsyrelsen, efter at styrelsen har fået kritik af blandt andre Rigsrevisionen for ikke at have en færdig risikovurdering.

Derfor leder styrelsen nu efter tre nye medarbejdere, der skal gennemføre risikovurderinger og føre tilsyn med informationssikkerheden internt i koncernen.

Læs også: Sundhedsdatastyrelsen kritiseres for manglende risikovurdering på tredje år: Her er styrelsens forklaring

“Alle kritiske sektorområder er blevet pålagt at lave en strategi for cybersikkerhed, og der er vi blevet udpeget som dem, der skal holde sundhedsområdet i hånden,” siger Lisbeth Nielsen, direktør for Sundhedsdatastyrelsen.

Men udover ordrerne om, at alle kritiske samfundsområder skal opruste på sikkerheden, så er en del af grunden til oprustningen også den kritik, der har været af styrelsen.

Læs også: Center for Cybersikkerhed: Meget høj risiko for angreb på sundhedssektoren

“Det er vel også en erkendelse af, at vi fik en beretning (fra Rigsrevisionen red.) om beskyttelse mod ransomware, hvor der var nogle bemærkninger, om vores risikovurderinger nu også er helt opdateret,” siger Lisbeth Nielsen og fortsætter:

“Der mener vi jo, at vi løbende laver risikovurderinger, men det er klart et område, hvor man bliver mere bevidst om at komme hele vejen rundt, jo klogere man bliver på det. Vi er begyndt med at tage de mest kritiske systemer først.”

Lisbeth Nilsen erkender samtidig, at styrelsen i dag ikke har nok folk, der arbejder med it-sikkerhed til at kunne opretholde det sikkerhedsniveau man må forvente af Sundhedsdatastyrelsen.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

I Rigsrevisionens beretning står der, at ”[...] styrelsens risikovurdering fra 2015 endnu ikke er afsluttet, idet styrelsen mangler at gennemføre sårbarhedsvurderinger af systemer og infrastruktur.”

Skal sikre bedre samarbejde på tværs
De tre nye medarbejdere skal blandt andet være med til at sikre, at sundhedssektoren bliver bedre til at lære af de sikkerhedsbrister, der kommer.

“Resten af sundhedssektoren skulle gerne kunne mærke, at der er et sted, hvor man kan henvende sig, når man oplever en hændelse, som så kan fungere på tværs, og som ser det i et bredere perspektiv. Så læringen fra de her hændelser kommer alle til gode,” siger Lisbeth Nielsen.

Læs også: Ministerier vil ikke følge Rigsrevisionens anbefalinger mod ransomware-angreb: "Vil være en uhensigtsmæssig tung byrde"

Derudover får de tre kommende medarbejdere ansvaret for at skulle implementere en ny cyber- og informationssikkerhedsstrategi, databeskyttelsesforordningen og NIS-direktivet, der er en forlængelse af GDPR, der stiller yderligere krav til særligt sårbare sektorer.

Burde implementerien af GDPR og NIS-direktivet ikke allerede være på plads?

“GDPR fungerer sådan set også. Som styrelse er vi rimeligt godt med, og det forventer vi også, at man er ude i sundhedsvæsnet. Men det er jo et område, som vil udvikle i takt med, at vi får flere og flere data. Men der er sikkert ting vi ikke har taget højde for endnu, selvom vi har forsøgt at komme godt omkring det,” forklarer Lisbeth Nielsen.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

Desuden regner Lisbeth Nielsen med, at behovet for en solid it-sikkerhed ikke bliver mindre de kommende år.

“Ligesom alle andre er vi under konstant beskydning, så derfor er det vigtigt at have et stærkt beredskab, og det kommer til at kræve flere kræfter. Vi får jo ikke færre systemer,” siger direktøren.

En løbende vurdering
I sidste uge forsøgte Computerworld at få et svar på, hvornår Sundhedsdatastyrelsen forventer at have en samlet risikovurdering klar, som Rigsrevisionen efterlyste.

“Sårbarheds- og risikovurdering [er] noget, vi arbejder med som en løbende aktivitet, ligesom trusselsvurderingen løbende ændrer sig og forretningsprocesserne udvikler sig. Derfor tænker vi fremadrettet risikovurderingen som en ongoing aktivitet, hvor det ikke primært handler om at nå frem til et, samlet øjebliksbillede men derimod om løbende at udarbejde relevante delvurderinger,” lød det fra vicedirektør, Flemming Christiansen, i sidste uge.

Samme dag skrev Sundheddatastyrelsen dog på sin hjemmeside, at der vil ligge en risikovurdering af styrelsens kerneopgaver klar i august.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Eksplosiv cloud-udvikling truer hostingbranchen: "Hosting-virksomhederne kan ikke blive ved med at vente"
I fremtiden er det slut med høje vækstrater indenfor hostingbranchens kerneforretning, der lider under et hårdt press fra det blomstrende marked for public cloud. Det viser tal fra IDC.
Computerworld
Danske tech-topfolk blæst bagover efter besøg i Kina: Danmark er nødt til at gøre noget
Danmark skal i den grad op i gear, hvis ikke vi skal køres helt bag ad dansen af Kina, lyder det fra bekymrede danske techfolk efter besøg i Kina.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Manden bag Stack Overflow til softwareudviklere og folk i it-branchen: Disse ting skal du lære, hvis du vil undgå at blive tromlet totalt
Interview: Manden bag Stack Overflow og Trello har en opsang til folk i it-branchen. Her er de kompetencer, som du bare skal tilegne dig nu.
White paper
Millennials – Kommuniker med den nye generation
Mange virksomheder har en stor udfordring når det gælder Millennials. De er online hele tiden, har sociale medier som omdrejningspunktet i deres hverdag, og har meget høje forventninger til god service. De vægter værdier som tilgængelighed, hurtighed og kontinuitet meget højt, og det skal afspejle sig i den service I som virksomhed yder dem. Det er en del virksomheder slet ikke forberedte på. I dette whitepaper gennemgår vi, hvordan du skal gøre for at kommunikere med den nye generation.