Riksrevisjonen «hacka» norske sykehus: «Urovekkende enkelt»

Riksrevisjonen slakter sikkerheten i norsk helsevesen i ny rapport.

Riksrevisor Karl Eirik Schjøtt-Pedersen legger fram undersøkelsene av den årlige revisjonen av statens regnskaper. 📸: Javad Parsa / NTB
Riksrevisor Karl Eirik Schjøtt-Pedersen legger fram undersøkelsene av den årlige revisjonen av statens regnskaper. 📸: Javad Parsa / NTB Vis mer

– At det skulle være så enkelt å ta over kontrollen, er urovekkende! sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Denne uka fortalte han om utfallet av Riksrevisjonens oppfølgingsrapport av IT-sikkerheten ved norske sykehus.

Det korte svaret er at forholdene er langt fra god nok.

Kunne endre pasientjournalene

I forbindelse med undersøkelsen har Riksrevisjonen gjennomført simulerte dataangrep i to av Norges fire helseregioner.

  • Riksrevisjonen sier at de i en region kunne satt sykehusets systemer for lagring av pasientdata ut av spill i en lengre periode.
  • I begge regionene kunne de hentet ut store mengder pasientopplysninger, endret data i pasientjournaler eller slettet databasene som de medisinske systemene bygger på.

– Det er urovekkende at det nok en gang var såpass enkelt for oss å ta kontroll. Her må IT-sikkerheten skjerpes, sier Schjøtt-Pedersen.

– Pasienter og innbyggere skal kunne ha tillit til at personopplysninger ikke kommer på avveier.

– Mye som gjenstår

Riksrevisjonen påpeker at IT-sikkerheten er styrket, sammenlignet med 2020. Det er satt i verk mange tiltak for å utbedre svakhetene fra sist.

Dette gjør at beskrivelsen av situasjonen nå «bare» er kritikkverdig. I 2020 var tilbakemeldingen sterkt kritikkverdig, som er den kraftigste formen for kritikk fra Riksrevisjonen.

– Vi ser at departementet har vært tett på og at samtlige aktører har fulgt opp de alvorlige funnene i vår forrige rapport, sier Schjøtt-Pedersen.

– Likevel er det mye som gjenstår, legger han til.

Vil følge opp videre

Regjeringen ved helse- og omsorgsministeren har fått komme med et tilsvar til undersøkelsen. Der skriver de at dette har vært, og er fortsatt, en krevende sak som krever tett oppfølging videre.

Helse- og omsorgsministeren skriver blant annet at helseregionene må:

  • forbedre sikker tilgangsstyring og autentisering av brukere
  • sikre at systemer settes opp slik at de er minst mulig sårbare for dataangrep
  • videreutvikle kontroll med hva som kan kobles til nettverk på sykehus, alt fra PC-er til medisinsk-teknisk utstyr
  • videreutvikle overvåkning som kan oppdage ondsinnet aktivitet.

– Dette er viktige signaler fra statsråden, men departementet, helseregionene og de enkelte sykehusene har en vei å gå før de er i mål. Riksrevisjonen kommer derfor til å følge saken videre, sier Schjøtt-Pedersen.