Vores sundhedssektoren er udsat, når det kommer til mængden af ransomwareangreb. Det viser flere rapporter og analyser fra det forgange år. F.eks. viser Check Points seneste Mid-Year-rapport, at sundhedsvæsenet stadig er en af de mest sårbare sektorer over for cyberangreb. 

Og selvom vi oftest hører om angreb mod udenlandske lægeklinikker, hospitaler mv., må vi erkende, at Danmark altså ikke er immune over for denne trussel. Det samme siger Center for Cybersikkerhed, der i januar løftede cybertrusselsniveauet for den danske sundhedssektor fra medium til høj, hvilket bør vække vores opmærksomhed.

Til trods for, at cyberkriminelle ikke altid tager højde for, hvem de går efter, har de fleste hackergrupper dog en form for etisk og moralsk kodeks, der holder dem fra at angribe hospitaler med ransomware. For når et hospital bliver ramt af ransomware, vil stort set alle it-funktioner stoppe med at fungere – og så handler det pludselig om liv eller død. I stedet går hackerne efter organisationer og virksomheder, der står for den kritiske infrastruktur til sundhedssektoren. 

Her er der nemlig gode muligheder for, at hackerne kan få adgang til sundhedsdata, der kan bruges til afpresning af patienter, hvilket potentielt kan udløse store løsesummer, hvis offeret ikke ønsker læk af deres personlige data. 

Derudover kan cyberkriminelle få adgang til immaterielle rettigheder – såsom patenter – der kan sælges dyrt på det sorte marked.

Sundhedsvæsenets it-afdeling i knæ

I 2022 oplevede vi hos Check Point en stigning på hele 78 pct. i antallet af cyberangreb mod sundhedssektoren globalt set. Det er derfor foruroligende, at der tidligere på året blev afskediget 150 medarbejdere hos CIMT, som varetager it-support for sundhedsvæsenet. 

Årsagen var angiveligt stigende udgifter til nuværende it-services og licenser, inklusiv til sundhedsplatformen. For nyligt meldte CIMT også ud, at yderligere besparelser skal hentes i leverandørstyring. Vi ser i øjeblikket en klar tendens, hvor udgifter til it stiger, ligesom udgifter til alt andet i samfundet – men betyder det så, at vi skal gå på kompromis med sikkerheden?

Det rejser spørgsmålet om, hvorvidt midlerne, der bruges på nuværende it-services og -licenser, skulle have været investeret i ny teknologi, forbedrede processer og fastholdelse af kvalificeret personale. For når man investerer i f.eks. trusselsovervågning, der opdager og advarer mod cybertrusler, skal der også være ansatte til at forstå, prioritere og reagere på alarmerne fra overvågningen, så truslerne ikke når igennem sundhedssektorens forsvar og ind til de livsvigtige data. Men hvis der ikke sidder nok kompetente kræfter i it-afdelingen – og de samtidig er overvældede af røde alarmer – er det så i virkeligheden ikke mere usikkert, end at have avanceret teknologi? 

Samtidig bør sundhedsvæsnet undgå at anvende forældede løsninger. Gamle løsninger og OT-systemer er svære at beskytte, men findes desværre stadig i den danske sundhedssektor. Opdatering af disse systemer er afgørende for at styrke sikkerheden.

Én samlet national cyberstrategi

I modsætning til i Finland, hvis sundhedsvæsen for nyligt blev ramt, har cyberkriminelle endnu ikke haft held med at udføre succesfulde ransomwareangreb mod det danske sundhedsvæsen eller den kritiske infrastruktur, der understøtter sektoren. Desværre er jeg ikke i tvivl om, at det er et spørgsmål om tid, før besparelser, mangel på kvalificeret arbejdskraft og brug af forældede tekniske løsninger gør det muligt for cyberkriminelle at ramme den danske sundhedsdatajackpot.

Hvis vi skal undgå det, er det en idé at se på, hvad andre lande gør for at sikre deres sundhedssektor. I Skotland har sundhedsvæsenet, NHS, udarbejdet og implementeret en strømlinet cyberstrategi. Her har ledelsen i NHS, sammen med relevante myndigheder, udarbejdet en klar cyberstrategi og et helt cyberprogram, der skal sørge for, at cybersikkerhed hele tiden er en del af agendaen i alle ledelseslag. Trusselsdetektion og hyppige risikovurderinger, der skal hjælpe med at identificere og prioritere sårbare områder, er et anker i programmet. 

Dertil har NHS, udover ny teknologi, investeret i cyberuddannelse af medarbejderne, risikostyring i forsyningskæderne og implementeret zero-trust-netværksadgang. 

I et velfærdssamfund, hvor det danske sundhedsvæsen er så afgørende en brik, er det vigtigt, at både politikere og relevante myndigheder er bevidste om den trussel, der ligger på sundhedssektorens skuldre. En national strategi og tjekliste til cyberinvesteringer i sundhedsorganisationer kan f.eks. hjælpe med at løfte det pres, der ligger hos hver enkelte organisation for at sikre patienters data. Presset bliver i fremtiden ikke mindre, hvor automatisering og udvikling af digitale løsninger til patientforløb bliver en afgørende del af den offentlige sundhedssektor. Hvilket nemlig vil kræve et øget fokus på cloudsikkerhed. 

Det kan virke overvældende, hvor meget der reelt skal investeres for at have et sikkert dansk sundhedsvæsen. Men I og med, at sundhedsvæsenet er en af de mest samfundskritiske sektorer, vi har – er det så i sidste ende ikke det værd at investere i sikkerheden netop her?