Sundhedsdatastyrelsen fordobler antallet af it-sikkerhedsmedarbejdere - på jagt efter nye folk: "Ligesom alle andre er vi under konstant beskydning"

Interview: Antallet af it-sikkerhedsfolk bliver fordoblet hos Sundhedsdatastyrelsen. Styrelsen har opslået tre nye stillinger inden for it-sikkerhed: “Vi er ikke nok til at kunne løfte det niveau, som man naturligt må forvente," siger direktør Lisbeth Nielsen.

Der bliver oprustet kraftigt på it-sikkerheden hos Sundhedsdatatsyrelsen, efter at styrelsen har fået kritik af blandt andre Rigsrevisionen for ikke at have en færdig risikovurdering.

Derfor leder styrelsen nu efter tre nye medarbejdere, der skal gennemføre risikovurderinger og føre tilsyn med informationssikkerheden internt i koncernen.

Læs også: Sundhedsdatastyrelsen kritiseres for manglende risikovurdering på tredje år: Her er styrelsens forklaring

“Alle kritiske sektorområder er blevet pålagt at lave en strategi for cybersikkerhed, og der er vi blevet udpeget som dem, der skal holde sundhedsområdet i hånden,” siger Lisbeth Nielsen, direktør for Sundhedsdatastyrelsen.

Men udover ordrerne om, at alle kritiske samfundsområder skal opruste på sikkerheden, så er en del af grunden til oprustningen også den kritik, der har været af styrelsen.

Læs også: Center for Cybersikkerhed: Meget høj risiko for angreb på sundhedssektoren

“Det er vel også en erkendelse af, at vi fik en beretning (fra Rigsrevisionen red.) om beskyttelse mod ransomware, hvor der var nogle bemærkninger, om vores risikovurderinger nu også er helt opdateret,” siger Lisbeth Nielsen og fortsætter:

“Der mener vi jo, at vi løbende laver risikovurderinger, men det er klart et område, hvor man bliver mere bevidst om at komme hele vejen rundt, jo klogere man bliver på det. Vi er begyndt med at tage de mest kritiske systemer først.”

Lisbeth Nilsen erkender samtidig, at styrelsen i dag ikke har nok folk, der arbejder med it-sikkerhed til at kunne opretholde det sikkerhedsniveau man må forvente af Sundhedsdatastyrelsen.

Læs også: Banedanmark efter hård kritik fra Rigsrevisionen om ringe it-sikkerhedsniveau: "Webmails vil jeg ikke blokere for. Aldrig nogensinde"

I Rigsrevisionens beretning står der, at ”[...] styrelsens risikovurdering fra 2015 endnu ikke er afsluttet, idet styrelsen mangler at gennemføre sårbarhedsvurderinger af systemer og infrastruktur.”

Skal sikre bedre samarbejde på tværs
De tre nye medarbejdere skal blandt andet være med til at sikre, at sundhedssektoren bliver bedre til at lære af de sikkerhedsbrister, der kommer.

“Resten af sundhedssektoren skulle gerne kunne mærke, at der er et sted, hvor man kan henvende sig, når man oplever en hændelse, som så kan fungere på tværs, og som ser det i et bredere perspektiv. Så læringen fra de her hændelser kommer alle til gode,” siger Lisbeth Nielsen.

Læs også: Ministerier vil ikke følge Rigsrevisionens anbefalinger mod ransomware-angreb: "Vil være en uhensigtsmæssig tung byrde"

Derudover får de tre kommende medarbejdere ansvaret for at skulle implementere en ny cyber- og informationssikkerhedsstrategi, databeskyttelsesforordningen og NIS-direktivet, der er en forlængelse af GDPR, der stiller yderligere krav til særligt sårbare sektorer.

Burde implementerien af GDPR og NIS-direktivet ikke allerede være på plads?

“GDPR fungerer sådan set også. Som styrelse er vi rimeligt godt med, og det forventer vi også, at man er ude i sundhedsvæsnet. Men det er jo et område, som vil udvikle i takt med, at vi får flere og flere data. Men der er sikkert ting vi ikke har taget højde for endnu, selvom vi har forsøgt at komme godt omkring det,” forklarer Lisbeth Nielsen.

Læs også: Statsrevisorer undrer sig over blank afvisning af it-sikkerhedskritik: "Det vil nok falde tilbage, hvis der sker et angreb, som man kunne have beskyttet sig imod"

Desuden regner Lisbeth Nielsen med, at behovet for en solid it-sikkerhed ikke bliver mindre de kommende år.

“Ligesom alle andre er vi under konstant beskydning, så derfor er det vigtigt at have et stærkt beredskab, og det kommer til at kræve flere kræfter. Vi får jo ikke færre systemer,” siger direktøren.

En løbende vurdering
I sidste uge forsøgte Computerworld at få et svar på, hvornår Sundhedsdatastyrelsen forventer at have en samlet risikovurdering klar, som Rigsrevisionen efterlyste.

“Sårbarheds- og risikovurdering [er] noget, vi arbejder med som en løbende aktivitet, ligesom trusselsvurderingen løbende ændrer sig og forretningsprocesserne udvikler sig. Derfor tænker vi fremadrettet risikovurderingen som en ongoing aktivitet, hvor det ikke primært handler om at nå frem til et, samlet øjebliksbillede men derimod om løbende at udarbejde relevante delvurderinger,” lød det fra vicedirektør, Flemming Christiansen, i sidste uge.

Samme dag skrev Sundheddatastyrelsen dog på sin hjemmeside, at der vil ligge en risikovurdering af styrelsens kerneopgaver klar i august.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Se listen: Her er Danmarks bedste konsulentvirksomheder - medarbejderne skal have det sjovt hos vinderen
Interview: Prisen som Danmarks bedste konsulentvirksomhed gives til et nichehus, hvis medarbejdere boltrer sig i en særdeles lukrativ sektor. Selskabet har på otte år skabt en forretning, der bider skeer med de store huse.
Computerworld
En slags nekrolog: Den fikse, kompakte smartphone er endegyldigt død
Det her bliver lidt af en af en nekrolog. Men med ugens iPhone-lancering ser fremtiden skidt ud for dem, der foretrækker en mobil, som kan betjenes med en hånd.
CIO
Machine learning og kunstig intelligens med Jesper Steen Møller "Der er rigtigt meget teknik som for nogen ser nærmest magisk ud"
Tech fra Toppen: Hvornår det giver mening at bruge machine learning - og hvordan du kommer bedst muligt i gang? Få svaret i den seneste udgave af Computerworlds podcast "Tech fra toppen" med datalog Jesper Steen Møller.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Hop på digitaliseringstoget nu – få de bedste råd fra eksperterne
Det er ikke længere et spørgsmål om du skal digitalisere, men hvornår du skal digitalisere. Transformationen er i fuld gang og i dette Whitepaper kan du se en rapport, som inkluderer en Q&A med nogle af de mest innovative firmaer i UK. Du kan blandt andet høre eksperternes mening om hvilke teknologier der er vigtige at investere i, og hvordan digital transformation ser ud i deres industri og en perspektivering til hvordan fremtiden kommer til at se ud.