Læsetid: 4 min.

It-sikkerheden sejler hos praktiserende læger

Sikkerheden hos de praktiserende læger og deres it-leverandører er mangelfuld, viser ny analyse. Det øger risikoen for, at hackere får adgang til følsomme personoplysninger, der kan bruges til identitetstyveri og afpresning. Lægerne kan risikere at få store bøder, hvis der ikke bliver rettet op
Konsulenterne bag analysen har besøgt samtlige otte it-leverandører i almen praksis og gennemført fire besøg hos praktiserende læger.

Konsulenterne bag analysen har besøgt samtlige otte it-leverandører i almen praksis og gennemført fire besøg hos praktiserende læger.

14. februar 2018

Uopdateret software, mangelfuld backup og simple passwords som ’12345’, der sjældent bliver skiftet.

It-sikkerheden hos de praktiserende læger og deres it-leverandører lader meget tilbage at ønske.

Det viser en ny analyse, som konsulentfirmaet Ezenta har foretaget på opdrag fra Sundheds- og Ældreministeriet og Praktiserende Lægers Organisation (PLO).

Den mangelfulde sikkerhed giver øget risiko for, at et cyberangreb kan lamme lægernes systemer. Og for at hackere kan få adgang til stærkt følsomme sundhedsoplysninger.

»Der er et manglende fokus på it-sikkerheden i lægehusene. Det er uheldigt, fordi lægehusene har adgang til patientdata,« siger Thomas Wong, der er sikkerhedskonsulent ved Ezenta og medforfatter til analysen.

»Når man har været til behandling, vil man gerne have sikkerhed for, at oplysningerne forbliver private. I ekstremt dårlige tilfælde vil andre potentielt kunne få adgang til disse oplysninger.«

Analysen er gennemført i efteråret 2017. Konsulenterne har besøgt samtlige otte it-leverandører i almen praksis og gennemført fire besøg hos praktiserende læger.

Ulåst klædeskab

Det største problem findes i lægernes fysiske informationssikkerhed i klinikken. Der er eksempelvis blevet fundet en it-server i et ulåst klædeskab, og der er eksempler på it-systemer, hvor adgangskoderne ikke skiftes ofte nok, siger Thomas Wong.

»Der er forskel på en privatperson med sjuskede passwords og så en læge, der opbevarer sensitive personhenførbare data. Prøv at spørge dig selv: Ville du vælge at have passwordet 12345 til din bank? Hvis ikke, er det nok også en dårlig idé, at din læge kan have valgt det,« siger han.

Analysen peger også på, at software på lægernes computere ikke bliver opdateret systematisk. Det kan gøre det muligt for hackere at trænge ind via sikkerhedshuller, der er offentligt kendte, og som softwareudvikleren for længst har lukket i en ny version. Desuden har »et antal« læger fravalgt en backup-løsning fra it-leverandørerne. 

Næstformand i PLO, Niels Ulrich Holm, erkender problemet:

»Folk tænker, at de har styr på det det. Men når man tester sikkerheden, så har de det ikke.«

Derfor sætter PLO nu en større kampagne i gang rettet mod medlemmerne:

»Det kan godt være, at nogen har fuldkommen styr på det, men vi vil godt have, at alle bliver bevidst om, at det faktisk er deres ansvar, og at de løber en betydelig risiko, så det skal de tage at få styr på. Ikke alene kan de komme i fedtefadet, hvis de ikke omgås patientdata tilfredsstillende, men de kan også få en ordentlig bøde.«

I dag er han er på de amerikanske myndigheders liste over mest eftersøgte personer. Anklaget for at stå bag en af de største lækager af personfølsomme data i samarbejde med en russisk efterretningstjeneste. Dette er første kapitel i historien om Alexsey Belan
Læs også

Samtidig vil PLO forlange mere af leverandørerne.

»Vi vil kræve, at it-leverandørerne laver en sikkerhedsprotokol, hvor de meddeler lægen, hvordan det ser ud på alle de her punkter.«

Røde flag

Analysen retter også et kritisk fokus på de praktiserende lægers otte it-leverandører. Eksempelvis er de fleste af dem ikke certificeret efter en anerkendt sikkerhedsstandard som ISO. Og de har ikke automatiseret overvågning af logfiler, der er en slags digital logbog over handlinger i et it-system eller på et netværk. Hvis en hacker trænger ind, kan han derfor have frit spil i lang tid, før han bliver opdaget.

Jens Christian Høy Monrad, analytiker ved det store amerikanske sikkerhedsfirma FireEye, har på Informations opfordring læst analysen:

»Der er flere røde flag i den her rapport, som jeg synes er problematiske og bekymrende,« siger han.

Ansvaret for sikkerheden synes at være uklart, siger han. På den ene side tror lægerne ifølge rapporten, at sikkerheden er it-leverandørernes ansvar. På den anden side påtager leverandørerne sig ikke det fulde ansvar – blandt andet fordi en del læger selv fravælger deres sikkerhedspakker.

Jens Christian Høy Monrad undrer sig desuden over, at de fleste af leverandørerne ikke er certificerede efter ISO-standarden.

»Nogle af de ting, jeg er bekymret over, ville være blevet adresseret i sådan en certificering,« siger han.

Afpresning og læk

Når den grundlæggende it-sikkerhed ikke er på plads, og backup ikke sker systematisk, bliver lægerne sårbare over for såkaldte ransomware-angreb. Og det kan have store konsekvenser, siger Jens Christian Høy Monrad og henviser til det såkaldte Wannacry-angreb, der lagde store dele af det britiske sundhedsvæsen ned, så operationer måtte udskydes.

»Det er jo konsekvensen, hvis man ikke har en eller anden form for sikkerhedsstandard,« siger Jens Christian Høy Monrad.

Oplysninger som dem, de praktiserende læger ligger inde med, er attraktive for cyberkriminelle, fordi de kan bruges til identitetstyveri, tilføjer han. I yderste konsekvens kan det også have konsekvenser for demokratiet og den nationale sikkerhed:

»Er man en person, som har en vis vigtighed rent strategisk, kan man blive offer for afpresningskampagner, hvis nogen får fingre i ens sundhedsoplysninger. Informationerne kan også blive lækket og delvist manipuleret, som vi har set det med forskellige atleter gennem tiden,« siger Jens Christian Høy Monrad:

»Så der er en masse scenarier, hvor den her information kan misbruges. Og vi gør det bare ikke svært nok.«

Snart kan en hullet it-sikkerhed også få konsekvenser for de praktiserende læger selv, for til maj træder EU’s nye regler for beskyttelse af personoplysninger i kraft. På nuværende tidspunkt er det »tvivlsomt«, om alle praktiserende læger kan opfylde kravene, konkluderer analysen.

Reglerne indebærer, at en virksomhed, der ikke passer godt nok på borgernes personfølsomme oplysninger, fremover kan idømmes bøder på op til 20 millioner euro eller fire procent af omsætningen. I modsætning til resten af sundhedsvæsenet bliver de praktiserende læger fuldt ud omfattet af de nye straffebestemmelser. 

Bliv opdateret med nyt om disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Anbefalinger

  • Eva Schwanenflügel
  • lars søgaard-jensen
  • David Zennaro
Eva Schwanenflügel, lars søgaard-jensen og David Zennaro anbefalede denne artikel

Kommentarer

Niels Duus Nielsen

"I modsætning til resten af sundhedsvæsenet bliver de praktiserende læger fuldt ud omfattet af de nye straffebestemmelser."

Det var da godt, så skal de kriminelle bare bryde ind på sundhedsvæsnets computere, når lægernes systemer bliver mere sikre.

Jeg har lidt svært ved at se de sikkerhedsmæssige problemer, er der ikke noget med at politikerne allerede sælger vore sundhedsdata? Det kan da i så fald højest være et økonomisk problem, at hackerne kan sælge vore personfølsomme data billigere end regeringen.

P.G. Olsen, Torben K L Jensen, Bjarne Bisgaard Jensen, Lise Lotte Rahbek, Torben Bruhn Andersen, Eva Schwanenflügel, lars søgaard-jensen og Bjarne Andersen anbefalede denne kommentar
Eva Schwanenflügel

Datasikkerhed underprioriteres alt for ofte, både i Danmark og udlandet, i det offentlige og private.
At en forholdsvis simpel ransomware som Wannacry fik taget i bla det britiske sygehusvæsen og Mærsk, handlede også om, at man kørte med forældede systemer som ikke blev understøttet sikkerhedsmæssigt af udbyderen.

Men ja, vores sundhedsoplysninger bliver allerede solgt til udlandet, det har du ret i, Niels.
Dog medfølger nok ikke personnumre og adresser.. Må man da håbe.
Når det Nationale Genomcenter bliver en realitet, kan vi også hygge os over, at udlandet vil få glæde af vores DNA sammenholdt med alle andre sundhedsoplysninger. Til en god portion penge til staten, forstås.

Bjarne Andersen og lars søgaard-jensen anbefalede denne kommentar
lars søgaard-jensen

Ja du har ret Niels. For nogle år siden (2011) gik bølgerne højt omkring indsamling af data fra de praktiserende lægers elektroniske journaler. Angiveligt var formålet at lægerne skulle udvikles fagligt via tilbagekoblinger til dem selv med egne data. Dengang var det officielt og aftalt at indsamlingen alene drejede sig om 4 veldefinerede sygdomme, og at data blev behandlet "agregeret" dvs anonymt. Det blev til en større skandale da det kom frem at man havde indsamlet data for ALLE patienter med alle mulige diagnoser og at disse data ikke var anonymiserde men kun pseudonymiserede (dvs det enkelete individs data kodes på en sådan måde at det umiddelbart ser anonymt ud men koden kan let brydes så de enkelte individder kan indetificeres). Den socialdemokratiske sundhedsordfører Flemming Møller Mortensen sagde allerde dengang at disse data ikke var hverken patienternes eller lægernes ejendom, de var statens ejendom! Det forekom mig dengang som en absurd udtalelse; men efter den store skandale med ulovlig indsamling og videresendelse af disse informationer med det formål at kunne sælge disse til forskere og private medicinalvirksomheder, gav det mening.
Når det dengang ikke vakte "den mindst ringes" interesse og kun få praktiserende lægers bekymring, var det fordi der officielt blev argumenteret med den oplagte lærings- og udvikling værdi i disse informationer og dertil koblede tilbagemeldinger til de praktiseredende læger. Trist der ikke dengang var større opmærksomhed på de helt oplagte datasikkerhedmæssige problemer i dette forehavende.

Anne-Marie Krogsbøll, Eva Schwanenflügel og Bjarne Andersen anbefalede denne kommentar
lars søgaard-jensen

Eva - jeg er ikke så helt sikker på at de datasæt man sælger ikke kun indeholde de pseudonymiserede data. Altså er anonymiteten ikke sikret.
Historien giver ikke grundlag for tillid til "det offentliges" behandlig af vores personælige data - som vel retteligt tilhører os selv og hverken lægen og endnu mindre "staten".

Anne-Marie Krogsbøll, Lise Lotte Rahbek, Eva Schwanenflügel og Bjarne Andersen anbefalede denne kommentar

Det er desvære ikke kun hos lægerne den er galt fat. Ifølge Innovationsministeren Sophie Løhde og en netop publiceret rapport fra Digitaliseringsstyrelsen står det dårligt til med datasikkerheden i alle grene af det offentlige. De tusindvise af registre og databaser i statens varetægt er hullet som en si, fortæller Sophie Løhde. Alligevel vil Justitsminsteren Søren Pape den 6. april 2018 få vedtaget en lov der tillader samkøring af alle registre på tværs af de offentlige sektorer uden parlamentarisk eller demokratisk kontrol. Så bliver der for alvor skabt basis for misbrug af alle vore personfølsomme oplysninger og data tvangslagret i statens varetægt.

Anne-Marie Krogsbøll, lars søgaard-jensen, Eva Schwanenflügel og Bjarne Andersen anbefalede denne kommentar
Lise Lotte Rahbek

Jeg kan se en skrue uden ende.
Lægerne er pålagte at bruge elektronik. Elektronikken kræver sikkerhed, fordi nogle personer ellers vil stjæle dataene. Med jævne mellemrum skal elektronikken opdateres eller skiftes ud, og så skal der en ny slags og mere sikkerhed til. Nogle personer finder hurtigt ud af at bryde den sikkerhed. Si kommer der et nyt system eller nogle opdateringer. Så skal sikkerheden have et eftersyn. Og så vil nogle personer have spas med at bryde systemet.. etc etc etc.
Det er sådan set ok... men hvem er det nu lige der skal betale for systemerne, for sikkerheden og som aalligevel får deres data lækket og solgt? Lige præcis os allesammen, ja. Herligt ikke? For en gangs skyld er vi da fælles om noget, i Danmark, uanset etnicitet, formueforhod eller uddannelse.

lars søgaard-jensen, Eva Schwanenflügel og Niels Duus Nielsen anbefalede denne kommentar
Eva Schwanenflügel

Lars,
Du har nok helt ret.
Og min tillid til staten i dette tilfælde kan ligge på en my af en lillefingenegl..