Trusselvurdering 2023 – Det digitale trusselbildet mot sykehus
Den årlige trusselvurderingen for spesialisthelsetjenesten ble offentliggjort i starten av juni , og funnene gir bilde av et krevende digitalt trusselbilde.
Rapporten som først ble presentert på Helsesikkerhetsdagen 31. mai arrangert av EHiN, gir en omfattende analyse av de økende truslene mot helsevesenet, og behovet for å styrke sikkerheten. Årets vurdering er utarbeidet av Sykehuspartner, Helse Nord IKT og HelseCERT, i samarbeid med og støtte fra Helse Vest IKT og HEMIT.
Artikkel: Iselin Holmedal Marstrander, forretningsutvikler politikk og samfunn i EHiN
27. juni, 2023
Ifølge rapporten står spesialisthelsetjenesten overfor en økende trussel fra en rekke aktører som opererer både innenfra og utenfra. De interne truslene, inkludert misbruk av privilegert tilgang og insidetrusler, utgjør fortsatt en betydelig risiko. Sårbarheter i internetteksponerte tjenester og servere trekkes også frem som potensielle mål for trusselaktører som ønsker å få autorisert tilgang til pasientdata og dermed forårsake skade.
Rapporten peker på sosial manipulering som en av de mest effektive taktikkene som brukes av angripere. Kriminelle utnytter menneskelige svakheter og prøver å lure ansatte til å avsløre sensitiv informasjon gjennom sofistikerte angrep som spear phishing og direktørsvindelforsøk. Disse taktikkene kan føre til økonomisk tap, datalekkasje og forstyrrelse av helsetjenestens drift.
Et annet område som identifiseres som sårbart er fjerntilgangsløsninger. Med økende behov for fleksibelt arbeid og muligheten til å få tilgang til sensitive data og systemer eksternt, har bruken av fjerntilgang blitt stadig vanligere. Rapporten advarer om svakheter i VPN-tilkoblinger, og behovet for grundig sikring av fjerntilgang for å forhindre uautorisert tilgang til pasientdata og medisinske systemer.
For å håndtere disse truslene og sårbarhetene anbefaler rapporten en rekke tiltak. Implementeringen av sterke sikkerhetskontroller, regelmessig oppdatering av programvare og aktive overvåkningssystemer er nødvendig for å oppdage og håndtere potensielle sårbarheter i internettbaserte tjenester og servere. I tillegg bør det legges økt vekt på opplæring av ansatte for å gjenkjenne og motstå sosiale manipuleringsteknikker som eksempelvis spear phishing.
Med den økende kompleksiteten i trusselbildet er det avgjørende at helsevesenet tar trusselvurderingen på alvor, og tar nødvendige skritt for å sikre sensitive data og pasienters personvern.
For å håndtere trusselbildet som digitaliseringen innen spesialisthelsetjenesten medfører, må helsevesenet ta vurderingen på alvor. Rapporten trekker blant annet frem implementering av tiltak som tar høyde for den stadig økende kompleksiteten i trusselbildet. Ved å følge anbefalingene i rapporten kan spesialisthelsetjenesten beskytte pasientdata, opprettholde driftskontinuitet og sikre en trygg og robust helsetjeneste for alle.
Rapporten understreker også behovet for å være oppmerksom på sosial manipulering, som phishing og spear phishing, sårbarheter i fjerntilgangsløsninger og internetteksponerte tjenester og servere. Disse områdene er spesielt utnyttet av trusselaktører, og bør gis spesiell oppmerksomhet i arbeidet med å styrke sikkerheten i spesialisthelsetjenesten.
I sum presenterer trusselvurderingen for spesialisthelsetjenesten i 2023 en klar oppfordring til handling. Ved å erkjenne og adressere de ulike truslene fra organiserte kriminelle aktører, statlige aktører, hacktivister og selvmotiverte innsidere, kan spesialisthelsetjenesten styrke sin forsvarsevne og beskytte verdifull pasientinformasjon, pasientsikkerhet og helsetjenestens omdømme. Dette krever en koordinert innsats på tvers av sektoren og et kontinuerlig fokus på sikkerhet og beredskap.
EHiN fortsetter å ha fokus på felles innsats for å bygge fremtidens helse. Vi skal følge med på hvordan sikkerhet og beredskap innen helsesektoren kan være til størst mulig nytte for samfunnet, og har blant annet en debatt om sikker og smidig e-helse under Arendalsuka.
Kort tid etter Sykehuspartners offentliggjøring av Trusselvurderingen for 2023 la Totalberedskapskommisjonen den 5. juni frem sin rapport NOU 17: 2023 “Nå er det alvor”, hvor beredskapsressurser innen helse er et av satsingsområdene for fremtiden. Ved å styrke sikkerhetskulturen og implementere effektive tiltak kan vi sikre en bærekraftig og robust helsesektor som møter morgendagens utfordringer.