Danske sundhedsdata er i fare for hackerangreb

Sikkerheden i tre regioner er langtfra i orden, viser ny undersøgelse fra Rigsrevisionen, der kræver handling nu.

IT-sikkerheden på de danske hospitaler er hullet og truet af hackerangreb, konstaterer Rigsrevisionen. Arkivfoto: Liselotte Sabroe, Scanpix Fold sammen
Læs mere
Foto: Liselotte Sabroe

Trods flere forsøg på at hacke sig ind på danske sygehuse er IT-sikkerheden for sundhedsdata i Region Syddanmark, Region Midtjylland og Region Hovedstaden stadig ikke i orden. Alt for mange har vide rettigheder, som netop er, hvad hackerne går efter, og flere steder har kodeordene til fælles logons ikke været skiftet i op til ni år.

Det konstaterer Rigsrevisionen i en undersøgelse af de tre regioners beskyttelse af adgangen til deres IT-systemer og de sundhedsdata om danskerne, som ligger dér. Og det møder kritik fra Folketingets statsrevisorer.

Statsrevisorerne: Beskyttelsen er ikke tilfredsstillende

»Statsrevisorerne finder, at de tre regioners beskyttelse af adgangen til IT-systemer og sundhedsdata ikke er tilfredsstillende. Hermed er der risiko for, at følsomme og fortrolige persondata kommer i hænderne på uvedkommende eller ikke er pålidelige og tilgængelige, når der er brug for dem,« hedder det i statsrevisorernes bemærkninger til undersøgelsen.

Særligt kritisk er det, at 27.000 ansatte i Region Syddanmark har såkaldte lokaladministratorrettigheder til IT-systemerne. Det betyder, at de har ret til at foretage ændringer i systemerne, og det er guf for hackere, der altid forsøger at skatte logons og kodeord på folk, der har store beføjelser over IT-systemerne. Dermed kan de nemmere komme rundt i systemerne, når de først er indenfor.

Derudover kritiseres det, at folk med administratorret ikke bliver begrænset i deres adgang til at gå på nettet og f.eks. hente programmer og filer, som kan være inficeret med virus. Hackere anvender netop internetadgangen som vejen ind i systemerne, når de angriber.

Kodeord er ni år gamle

I både Region Syddanmark og Region Hovedstaden har kodeord til system- og servicekonti - altså logons, som typisk bruges af flere personer - ikke været skiftet i op til ni år, og der bruges kodeord, som ikke er tilstrækkeligt gennemtænkte og derfor lette at gætte.

Endelig har regionerne ikke en ordentlig elektronisk logbog, så man kan følge med i, hvad der sker i IT-systemerne og senere gå tilbage, hvis der er sket uregelmæssigheder. Det gør det både vanskeligt at opdage og opklare hackerangreb og at kontrollere, hvis der sker misbrug af folks rettigheder i systemerne, siger statsrevisorerne, der er udpeget af Folketinget.

»På baggrund af undersøgelsens resultater og det nuværende trusselsbillede finder Rigsrevisionen, at de grundlæggende tiltag mod hackerangreb og beskyttelse af adgangen til IT-systemer og sundhedsdata bør prioriteres højt i alle landets regioner,« skriver rigsrevisor Lone Strøm i sin afrapportering.

Op til 30 låst ude af deres hospitalscomputer

Undersøgelsen er foretaget i 1. halvår 2017, og Rigsrevisionen har efterfølgende fået tilbagemeldinger fra regionerne om, at de »har iværksat konkrete initiativer i forhold til de undersøgte områder, der imødekommer flere af Rigsrevisionens kritikpunkter«.

I maj og juni i år blev 20-30 medarbejdere låst ude af deres computere på sygehuse i Region Syddanmark som følge af et hackerangreb, og Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vurderer, at hackertruslen mod danske myndigheder er meget høj.

Læs mere: Rigsregisionens »Beretning om tre regioners beskyttelse af adgangen til IT-systemer og sundhedsdata«