Aktuelt

Helsesektoren er sårbar for dataangrep. Illustrasjoner: Ketill Berger

Ikke forberedt på langvarig IKT-stopp

Risikoen for angrep mot IKT-systemer i helsesektoren øker. Laboratoriene og andre kritiske funksjoner er sårbare. Sykehusene er ikke forberedt.

Av Kristin Straumsheim Grønli, frilansjournalist

Sykehuslaboratoriene er avgjørende for at pasientene skal få den hjelpen de trenger. Samtidig er laboratoriene avhengige av datasystemer. Av de mange IKT-systemene et moderne sykehus baserer driften sin på, vurderer norske sykehus selv at labdatasystemene er blant de mest kritiske.

Det har vært et økende antall digitale angrep mot IKT-systemer i helsesektoren verden over. Hvor mye bør en sykehuslab være i stand til å gjøre uten IKT? Det er et spørsmål som flere burde stille, ifølge Helsetilsynet.

– Vil i stor grad stoppe

– Slik laboratoriene drives i dag vil diagnostikken i stor grad stoppe opp ved bortfall av IKT.

Det sier Lars Talstad, seniorrådgiver i IKT-gruppa til Helsetilsynet. Denne gruppa er ny, og ble dannet nettopp for å se på hvordan bruken av teknologi utfordrer pasientsikkerheten.

Verken laboratoriene eller sykehusene som helhet gjør gode nok analyser av langvarige IKT-bortfall, ifølge en kartlegging av 17 norske sykehus som IKT-gruppa har gjort. Gruppas rapport - Forsvarlig pasientbehandling uten IKT? - ble publisert tidligere i år.

Lars Talstad, seniorrådgiver i Helsetilsynet. Foto: Helsetilsynet

Nå vil Helsetilsynet at sykehusene skal se grundig på hvor viktige de ulike IKT-systemene er for driften, og på hva konsekvensene blir dersom IKT faller bort over tid. Sykehusene må også ta stilling til hvor kraftig redusert drift man kan godta i en slik situasjon, og hva slags backupsystemer som trengs for ulike funksjoner, for eksempel laboratoriene.

– Vi ser at dette ikke blir gjort, sier Talstad.

Helsetilsynet kartla disse sykehusene:

  • Finnmarkssykehuset HF
  • Akershus universitetssykehus
  • Nordlandssykehuset HF
  • Vestre Viken HF
  • Helse Bergen HF
  • Helse Stavanger HF
  • Sørlandet sykehus HF
  • Lovisenberg Diakonale Sykehus
  • Sykehuset i Vestfold HF
  • Helse Møre og Romsdal HF
  • St. Olavs hospital
  • Sykehuset Telemark HF
  • Oslo Universitetssykehus HF
  • Sykehuset Innlandet HF
  • Haraldsplass Diakonale Sykehus AS
  • Helse Førde HF
  • Helgelandssykehuset HF

Tør nesten ikke tenke på det

– Vi har gode rutiner for planlagte stopp og uventede kortere stopp ved laboratoriene, sier Hege Gjelvold, som har lang erfaring med å drifte labdatasystemer. Hun er spesialbioingeniør i IKT ved E-helse, samhandlings- og innovasjonssenteret (ESI) ved Universitetssykehuset Nord-Norge (UNN), og har jobbet fulltid med laboratorienes IKT-systemer siden 1998.

– Men vi baserer oss på at systemene kommer raskt opp igjen. Lengre stopp enn én til to dager har ikke jeg vært med på å planlegge for i alle fall, forteller hun.

Hege Gjelvold, spesialbioingeniør ved UNN. Foto: Privat

Frem til nå har sykehusene vært heldige. Uplanlagte stopp har vært kortvarige. Gjelvold forteller at muligheten for langvarig IKT-stopp er en tanke hun nesten ikke tør tenke helt ut.

– Ved kortere uventede stopp har gjerne operasjoner blitt avlyst og pasienter sendt hjem. Det tyder på at vi ikke har gode nok rutiner for lengre stopp. Jeg er usikker på om vi vil kunne gi forsvarlig helsehjelp dersom systemene er nede i mer enn en uke, sier hun.

Gjelvold mener langvarig IKT-stopp er noe alle på et sykehus burde forberede seg på, og at gode nødrutiner for slikt er noe man bør både sørge for - og øve på.

Mangler vurdering

Det er sannsynlig at situasjoner med omfattende og langvarige IKT-bortfall vil inntreffe ved norske helseforetak, påpeker Helsetilsynet i sin rapport. Foreløpig er det ingen som vet hvordan det kommer til å se ut dersom ett eller flere norske sykehus mister IKT i mer enn noen timer.

Kartleggingen til Helsetilsynet viser at sykehusene rett og slett ikke har tatt inn over seg faren for å miste IKT over tid.

– Ingen av sykehusene hadde noen som helst vurdering av varigheten på IKT-bortfall, forteller Lars Talstad. Rapporten viser også at ingen av sykehusene har analysert konsekvensene av langvarige IKT-bortfall tilstrekkelig.

Det er sannsynlig at situasjoner med omfattende og langvarige IKT-bortfall vil inntreffe.

Kritisk

I tillegg fremhever Talstad at sykehusene ofte har bruk av telefonsystemer som nødrutine dersom IKT svikter. Telefonsystemene er som regel avhengige av det samme nettverket som resten av IKT-systemene.

– Før var telefonsystemene frittstående. Dette har blitt endret uten at man har vurdert risikoen. Dermed har man kanskje ikke erkjent faren for at begge deler kan falle bort samtidig, sier Talstad. At telefonløsninger i stadig større grad baserer seg på IKT-nettverk, samtidig som de både mangler nødrutiner og er sentrale i nødrutinene for mange andre systemer, vurderer Helsetilsynet som kritisk.

For laboratoriene kan nødrutiner basert på telefon for eksempel handle om å ringe inn analysebestillinger og prøvesvar, eller kalle inn ekstra personell når man må gå over til å gjøre ting manuelt.

Manuell drift

Talstad forteller at sykehusene selv mener de er i stand til å opprettholde en viss grad av forsvarlig helsehjelp så lenge laboratorietjenester og andre diagnostiske funksjoner, som radiologi, er tilgjengelige. Uten disse vil aktiviteten kun måtte dreie seg om helt akutt, livreddende behandling.

– Kanskje noen springer med en blodprøve til laben og deretter springer tilbake til pasienten med svaret. Evnen til å yte helsehjelp vil i begrenset grad være til stede, men det vil gå utrolig mye saktere, sier Talstad.

Kirstin E. Dahle er spesialrådgiver for IKT ved Klinikk for laboratoriemedisin ved Oslo universitetssykehus (OUS). Hun bekrefter dette.

– Til en viss grad er det mulig for oss å drifte manuelt. Da må vi over til papirbestillinger og papirsvar, og instrumentene må betjenes manuelt. Dette medfører streng prioritering av øyeblikkelig hjelp, sier hun.

Kirstin E. Dahle, spesialrådgiver for IKT ved OUS. Foto: Lars Petter Devik

Kan sende prøver

Dahle forteller at laboratoriene ved OUS analyserer flere millioner prøver i året. Stopper noen av de store analysemaskinene opp, kan prøvene likevel sendes til et annet sykehus – enten et annet OUS-sykehus, eller et sykehus som OUS samarbeider med.

Hun er ikke sikker på hvor lenge et sykehus kan drive forsvarlig uten IKT.

– Jeg har jobbet med lab i 30 år, og har heldigvis aldri opplevd langvarig uforutsett nedetid. Skulle det skje, vil det selvfølgelig bli en stor utfordring. Overgang fra digital til manuell drift vil naturlig nok kreve langt flere ressurser, sier hun.

Forbud mot mobiler

Dahle forteller at mange ansatte i Klinikk for laboratoriemedisin har tjenestemobiler, og at det vil være naturlig å bruke disse om nødvendig.

– Flere sykehus har forbud mot egne mobiltelefoner, og ikke nødrutiner for når sykehusets telefonsystemer faller bort, sier Talstad.

Han tror likevel mobiltelefoner ville blitt en viktig løsning i en situasjon med langvarig IKT-bortfall, fordi menneskene som er involvert ofte er flinke til å finne løsninger.

– Dette krever imidlertid at man har oppdaterte telefonlister, sier Talstad.

Vi baserer oss på at systemene kommer raskt opp igjen.

Økende risiko

Risikoen for angrep mot IKT-systemer i helsesektoren blir stadig større. Digitaliseringen øker. Stadig flere systemer kobles sammen. Mer og mer informasjon utveksles. Alt dette skaper en bedre helsetjeneste, men også nye trusler og sårbarheter.

– I takt med digitaliseringen øker avhengigheten mellom IKT, pasientbehandling og pasientsikkerhet, sier Birgitte Jensen Egset, direktør for Avdeling juss og informasjonssikkerhet i Direktoratet for e-helse.

Birgitte Jensen Egset, avdelingsdirektør i Direktoratet for e-helse. Foto: Direktoratet for e-helse

– Rapporten fra Helsetilsynet er viktig fordi den setter fingeren på dette og bidrar til bevisstgjøring, legger hun til.

De siste årene har det vært en rekke alvorlige IKT-hendelser i sektoren, både i Norge og internasjonalt. Trusselbildet er i kraftig endring.

Avanserte aktører og løsepengevirus

Stadig flere angrep kommer fra avanserte aktører som bryter seg inn i IKT-systemene. Dette kan for eksempel være statlig sponsede hackergrupper og fremmede lands etterretning.

I tillegg er det stadig flere angrep med løsepengevirus. Dette er skadelig programvare som krypterer data på infiserte systemer. Dermed blir brukeren låst ute.

At helseforetakene ikke i tilstrekkelig grad undersøker konsekvensene av å drive et sykehus uten IKT-støtte, og at de ikke er forberedt på å håndtere langvarige IKT-bortfall, er viktig å få frem i lyset, mener Egset.

– Helsetilsynets funn er alvorlig. Dette kan få svært alvorlige konsekvenser, fordi IKT-avhengigheten er så stor i det daglige arbeidet på sykehusene og i pasientbehandlingen, kommenterer hun.

Virus i Østre Toten

I januar i år fikk Østre Toten smertelig erfare at kryptovirus også kan ramme helsetjenesten. Angrepet var omfattende. Store deler av kommunens data ble kryptert og sikkerhetskopier slettet.

Over lengre tid var kommunens IKT-systemer utilgjengelige. Hele kommunen ble rammet, inkludert sykehjem og helsetjenester. Beboerne på kommunens sykehjem kunne ikke bruke alarmen. De måtte tilkalle hjelp med bjelle, rapporterte NRK.

Alt fra vaktlister i hjemmetjeneste og sykehjem til medisinkabinetter ble utilgjengelig. Pasientenes historikk måtte tas på husk, rapporter noteres på papir, og lege ringes for å sjekke medisinering. Sensitive persondata kom på avveie.

Det tok månedsvis å få opp igjen alle fagsystemene, og det kostet flere titalls millioner å rydde opp. I tillegg har Datatilsynet varslet bot på fire millioner.

Riksrevisjonen hacket sykehus

I fjor utførte Riksrevisjonen et simulert dataangrep mot sykehus i fem utvalgte helseforetak. Det ble brukt enkle metoder og lett tilgjengelige verktøy. I tre av fire helseregioner fikk Riksrevisjonens “hackere” høy grad av kontroll over viktige IKT-systemer.

Én av regionene oppdaget deler av det simulerte angrepet, mens de andre tre oppdaget lite eller ingenting. Dette til tross for at Riksrevisjonen benyttet «støyende» metoder.

– Vi påpekte alvorlige feil for fire år siden, og det var et angrep også i 2018. Det virker som det ikke er blitt gjort så mye med datasikkerheten ved norske sykehus etter det. Sykehusene i Norge ligger langt bak grunnleggende krav til IKT-sikkerhet, sa Annette Gohn-Hellum, ekspedisjonssjef i Riksrevisjonen, til NRK da rapporten ble publisert i fjor.

- Glemmer de som jobber med pasientene

Ikke at det trenger å være snakk om et angrep heller, for å slå ut IKT. Det kan være så enkelt som at noen er uheldige og graver over en viktig kabel. Med andre ord er det mye som tilsier at sykehusene har grunner til å ta høyde for langvarig IKT-stopp.

Likevel viser altså Helsetilsynets kartlegging at de ikke har godt søkelys på hvordan slikt kan komme til å påvirke de overordnede sykehusfunksjonene og pasientbehandlingen.

– De har ofte god oversikt over risiko for enkeltsystemer, men ikke for eksempel for oversikten over inneliggende pasienter eller hvordan sykehuset kan drive en laboratorietjeneste. De har altså ikke vurdert hvordan bortfall av enkeltsystemene vil påvirke sykehusfunksjonene på et overordnet nivå, forklarer Talstad.

Kartleggingen viser at sykehusenes risikoanalyser i stor grad vektlegger personvern og tilgjengelighet, og i liten grad evnen til å yte forsvarlig helsehjelp.

Helsetilsynets funn er alvorlig.

– Det er mye fokus på informasjonssikkerhet og personvern. Det er stort sett bare den delen av risikovurderingene som blir gjort, sier Talstad. Helsetilsynets rapport viser at risikovurderingene ofte blir utført av eksterne IKT-leverandører eller ansatte i sykehuset som har fokus på personvern. I varierende grad blir helsepersonell tatt med.

Gjelvold ved UNN tror dette er et viktig punkt.

– Jeg tror dette stemmer. Det kan virke som man glemmer å ta med de som faktisk jobber med pasientene. Da blir det gjerne en ekstern IKT-avdeling som legger premissene, sier hun.

Større bevissthet

Egset i Direktoratet for e-helse er helt enig i at det er nødvendig med en diskusjon om disse tingene.

– Det er vesentlig for å skape større bevissthet, og det er helt riktig med sterk vektlegging av dette nå, sier hun. I mange år har det vært påpekt alvorlige svakheter ved helseforetakenes IKT-systemer, uten at ting har sett ut til å bli så mye bedre (se undersak).

– Må det en skikkelig krise til før man skjønner alvoret i dette?

– Helsesektoren har allerede vært rammet av ganske alvorlige IKT-hendelser. Dette, sammen med arbeidet til både Riksrevisjonen og Helsetilsynet, har ført til at problemet er løftet til ledelsen og styrene i helseforetakene, og det er bra, sier Egset.

Direktoratet for e-helse jobber for tiden med en ny strategi kalt “Strategi for digital sikkerhet i helse- og omsorgssektoren”.

– Her vektlegger vi at det ikke bare er informasjonssystemene som må sikres, men også funksjonene som understøttes av IKT, sier Egset.

Direktoratet har også foreslått at håndteringen av IKT-sikkerhetshendelser inkluderes i Nasjonal helseberedskapsplan.

Noen av IKT-angrepene mot helsesektoren

Østre Toten, 2021. Omfattende angrep med løsepengevirus. Hele kommunen ble rammet, inkludert sykehjem og helsetjenester. Det tok flere måneder før alle fagsystemer var tilbake.

400 sykehus/helseinstitusjoner i USA, 2020. Løsepengevirus rammet sykehuskjeden Universal Health Services, med til sammen 90 000 ansatte. Alt IKT-utstyr måtte slås av i en periode, og det tok rundt en måned å få alle systemer tilbake.

Sykehuset Innlandet, 2020. En ukjent aktør gjennomførte et angrep mot enkelte tjenester på internett som sykehuset driftet. Sensitive personopplysninger kan ha kommet på avveie.

Sykehus i Tyskland, 2020. Et løsepengevirus førte til at sykehuset i Düsseldorf brukte i overkant av en måned før det var tilbake i normal drift. En kvinne skal ha dødd som følge av angrepet.

Helse Sør-Øst, 2018. En profesjonell, avansert aktør brøt seg inn i datasystemene. Innbruddet varte i flere uker, førte til stor mobilisering og ble etterforsket av Politiets sikkerhetstjeneste (PST). Det er uvisst hva slags data som kan ha kommet på avveie.

National Health Service i England, 2017. Den offentlige helsetjenesten i England ble hardt rammet av løsepengeviruset WannaCry. Minst 80 av over 230 foretak ble påvirket. 27 sykehus ble infisert og låst ute av PC-ene. Viruset rammet også mange andre over hele verden.

Merck, 2017. Legemiddelfirmaet Merck og mange andre bedrifter ble rammet av løsepengeviruset Petya/NotPetya. Spesielt fabrikkene og evnen til å produsere legemidler ble rammet. Det tok Merck over seks måneder før de kunne gjenoppta full drift.

Singapores sentrale helsesystemer, 2017-2018. Et sofistikert dataangrep ble utført på pasientdatabasen til Singapore Health Services. Opplysninger om nesten 1,5 millioner pasienter ble hentet ut.

Kilder: NRK, Riksrevisjonen, Direktoratet for e-helse, bleepingcomputer.com, digi.no

Legger ansvaret på sykehusene

De siste årene er det avdekket mange alvorlige svakheter ved IKT-sikkerheten til sykehusene. Helse- og omsorgsdepartementet har lenge fått kritikk for sin innsats.

Departementet har det overordnede ansvaret for spesialisthelsetjenesten. Dette innebærer å sette de regionale helseforetakene i stand til å oppfylle sine plikter, inkludert plikten til å være forberedt på langvarig IKT-bortfall.

Statssekretær Karl Kristian Bekeng (Ap) i Helse- og omsorgsdepartementet har svart på noen av Bioingeniørens spørsmål på e-post.

– Departementet forutsetter at sektoren arbeider aktivt med funnene Helsetilsynet har gjort, skriver han.

– Virksomhetenes ansvar

– Langvarig IKT-bortfall er en viktig risiko for norske sykehus, som det må planlegges for. De regionale helseforetakene må ha realistiske beredskapsplaner for å sikre forsvarlig behandling ved slike hendelser, skriver Bekeng.

– Hva tror departementet skjer på et norsk sykehus dersom IKT faller bort over lengre tid?

– Vi legger til grunn at helseregionene og sykehusene følger opp de sårbarhetene som Helsetilsynet har avdekket.

– Hvor sterkt redusert behandlingskapasitet mener departementet er akseptabelt i en slik situasjon?

– Det er virksomhetene selv som er ansvarlige for at det foreligger oversikter over kritiske system, risikovurderinger og nødrutiner for IKT-system ved bortfall. Det er også virksomhetene som best kan vurdere dette spørsmålet.

Etterlyste sterkere styring

Allerede i 2015 viste Lysneutvalget (Digitalt sårbarhetsutvalg) hvordan flere aktører etterlyste sterkere styring av IKT-sikkerhet fra Helse- og omsorgsdepartementet. Den samme etterlysningen kom fra Helsedirektoratet i 2019, i en rapport om risiko- og sårbarhetsvurderinger for nasjonal beredskap i helse- og omsorgssektoren.

I 2020 serverte Riksrevisjonen omfattende kritikk av departementet: Påviste svakheter viste at departementets oppfølging hadde vært for passiv. Styringen syntes i stor grad å være hendelsesbasert og for lite proaktiv. Bekeng fremhever at det er sykehusenes ansvar å forvalte den løpende driften, og at IKT-sikkerhet er en integrert del av drift og forvaltning i helseforetakene.

– Har departementets arbeid på dette feltet vært for dårlig?

– Området er regulert av lover og forskrifter. Sykehusene, som egne rettssubjekter, har ansvaret for å etterleve regelverket og følge opp sitt ansvar, skriver Bekeng.

Han understreker at departementet tar den økende IKT-trusselen på alvor.

Powered by Labrador CMS