Datatrusler mot små helsevirksomheter: En nødvendig bevisstgjøring
Små helsevirksomheter i Norge står overfor en økende trussel fra digitale angrep som kan ha alvorlige konsekvenser. Disse virksomhetene utgjør en stor og viktig del av helsesektoren, men med mange oppgaver å håndtere og begrensede ressurser, er det vanskelig å finne tid til å fokusere på datasikkerhet. Over 80 prosent av datasikkerhetsbrudd skyldes utilstrekkelig kompetanse om datasikkerhet hos ansatte. Dette kjenner angriperne til, og de fleste angrepsmetoder retter seg derfor direkte mot de ansatte i virksomheten.
Økt bevissthet og sikkerhetskultur
Marie Strand Schildmann er seniorrådgiver i Helsedirektoratet og arbeider med beredskap og sikkerhetskultur, med et spesielt fokus på små helsevirksomheter. Gjennom Normen (Norm for personvern og informasjonssikkerhet i helse- og omsorgssektoren) jobber hun blant annet med å hjelpe disse virksomhetene med å forstå og implementere nødvendige sikkerhetstiltak. Hun peker på at helsepersonell ser ut til å ha en sterk bevissthet rundt sikkerhet generelt, men at den digitale sikkerheten må integreres bedre.
– Å betrakte digital hygiene som en integrert del av den generelle sikkerhetskulturen er avgjørende. Ledelsen i små helsevirksomheter må ta ansvar for å sikre at digital sikkerhet blir en fast del av virksomhetens rutiner. Et dataangrep kan ha alvorlige konsekvenser, ikke bare for driften, men også for pasientenes tillit til helsevesenet. Heldigvis har befolkningen generelt høy tillit til det norske helsevesenet når det gjelder databeskyttelse. Fastleger og tannleger forvalter ulike typer data, men ansvaret for å beskytte disse opplysningene er like viktig for begge grupper. Det er viktig at helsepersonell er klar over denne tilliten og arbeider aktivt for å opprettholde den. De kjenner nok veldig på at de forvalter den type data, det er mitt inntrykk, forteller Schildmann.
Styringsgruppen for Normen har de siste årene prioritert små helsevirksomheter. Tidligere veiledere for denne gruppen har ofte vært omfattende og derfor kanskje vanskelige å bruke i praksis. Normen har nå startet et arbeid med å kartlegge små helsevirksomheters utfordringer for å bedre forstå deres hverdag. Målet er å tilpasse veiledningen slik at den blir mer tilgjengelig for små helsevirksomheter, som har mindre tid og ressurser til å sette seg inn i komplekse dokumenter. Normen vurderer nå hvordan de kan gjøre eksisterende veiledning mer brukervennlig, blant annet ved å forenkle formatet og gjøre innholdet lettere å forstå. Økt bevissthet og enkle sikkerhetstiltak kan utgjøre en stor forskjell.
Digital sikkerhet i små helsevirksomheter
Sunniva Myren Pedersen, har nettopp levert sin masteroppgave om digital sikkerhet i små helsevirksomheter. Oppgaven ble tilbudt av NTNU i samarbeid med Helsedirektoratet. Målet med oppgaven var å tilby veiledning og støtte for å forbedre digital sikkerhet i små helsevirksomheter. Pedersen har alltid vært interessert i digital sikkerhet og valgte denne oppgaven fordi den hørtes spennende og relevant ut. Hun identifiserte behov og utfordringer ved å analysere eksisterende litteratur og foreta intervjuer. Bevisstgjøring om digital sikkerhet viste seg å være en av de største utfordringene. Det er derfor avgjørende at ledelsen støtter tiltak som øker de ansattes forståelse og oppmerksomhet på dette området.
Pedersens undersøkelser viser at mange små helsevirksomheter ikke er fullt ut bevisste på de digitale truslene de står overfor. Med mange andre oppgaver å håndtere, kan digital sikkerhet ofte bli nedprioritert. For å være godt rustet mot dataangrep, må virksomhetene først og fremst bli bevisste på trusselbildet og forstå viktigheten av å ta nødvendige forholdsregler.
De alvorlige konsekvensene
Når det gjelder eksterne digitale trusler, er små helsevirksomheter like utsatt som større organisasjoner. Angrep kan ha alvorlige konsekvenser, ikke bare for driften, men også for pasientenes tillit til helsevesenet. Schildmann nevner eksempelet med det finske psykoterapisenteret Vastaamo, som måtte stenge etter et alvorlig dataangrep. – Det verst tenkelige er jo at pasienter vegrer seg for å søke helsehjelp av frykt for at deres personlige opplysninger ikke er sikre, sier hun.
Konsekvensene av et dataangrep kan være alvorlige. Både pasienter og ansatte i virksomhetene er utsatt for at deres opplysninger kommer på avveie eller identitetstyveri, virksomheten kan lide store økonomiske tap. Ved mangel på forebyggende tiltak risikerer man bøter for brudd på personvernlovgivningen.
– Det handler om å forstå helheten, å forstå internkontroll og hvordan dette faktisk er avgjørende for, for eksempel pasientsikkerhet, og det å kunne yte helsetjenester, sier Schildmann. Hun fortsetter: – Jeg tror nok at den store skrekken til de aller fleste er at opplysningene ikke er tilgjengelige for dem, sånn at de ikke får utført nødvendig og forsvarlig helsehjelp i arbeidet sitt.
Løsepengevirus er en av de største truslene mot små helsevirksomheter. Andre trusler inkluderer tjenestenekt, spionasje og svindel. Disse truslene blir forsterket av menneskelige feil, mangel på forebyggende sikkerhetstiltak, og utilstrekkelig kjennskap til relevant lovverk. Hvilket gjør små helsevirksomheter spesielt sårbare for angrep.
Litt er bedre enn ingenting
Fagpersoner fra TrinnVis har helt siden starten samarbeidet med Normen, både ved å delta på arrangement og komme med innspill til Normen sitt arbeid med veiledere. Enkle tiltak kan ha stor betydning når det gjelder forbedringen av digital sikkerhet. Datasikkerhet i TrinnVis er bygget på Normen, og ble utviklet av leger for å lette arbeidet for andre leger med det komplekse regelverket. Her blir helsevirksomheten veiledet trinn for trinn gjennom enkle, men nødvendige og praktiske tiltak som registrering av datasystem, nettverk, oppdateringer og tilgangskontroll. Dette kan man gjøre selv eller få dataleverandøren til å gjøre.
– Jeg har fått en presentasjon av TrinnVis, og jeg må si at jeg synes det var veldig bra, hvis man bruker systemet fullt ut. Jeg har inntrykk av at det må være veldig lite tidkrevende å bruke sier Schildmann. Hun fortsetter: – Spørsmålet er om brukerne fullt ut forstår hvor mye de kan få ut av systemet når det brukes riktig. Det handler om å ha overblikket, det såkalte helikopterperspektivet, for å se potensialet i systemet. Dette gjelder for ethvert system, enten det er et arkivsystem eller andre verktøy man bruker på jobben. Hvis det settes opp riktig og brukes riktig, kan det gi enormt mye tilbake uten å føles tidkrevende. TrinnVis kan hjelpe med å oppfylle kravene til internkontroll og datasikkerhet på en effektiv måte, forutsatt at det brukes riktig.
For å øke bevisstheten til de som jobber i virksomheten tilbyr TrinnVis blant annet et gratis digitalt grunnleggende datasikkerhetskurs som ligger lett tilgjengelig i egen TrinnVis og tar cirka 30 minutter å gjennomføre. Kurset er utviklet i samarbeid med Legeforeningen og Tannlegeforeningen, og kan være et viktig første steg for mange av de små helsevirksomhetene som trenger å komme igang med sikkerhetsarbeidet.
Har du ikke tilgang til TrinnVis? Registrer deg og prøv gratis
En god sikkerhetskultur starter med ledelsen
For å møte disse utfordringene er det avgjørende at ledelsen i små helsevirksomheter tar et aktivt ansvar for digital sikkerhet, integrerer det i virksomhetens rutiner, og fremmer en kultur for digital sikkerhet. Initiativer fra Normen viser viktigheten av bevisstgjøring og praktiske sikkerhetstiltak.
Implementering av enkle, men effektive sikkerhetstiltak kan bidra til å beskytte mot alvorlige konsekvenser av dataangrep. Ved å styrke sikkerhetskulturen og sikre at digital sikkerhet blir en integrert del av den daglige driften, kan små helsevirksomheter bedre beskytte seg mot digitale trusler og sikre kontinuitet i helsetjenestene de leverer.
For å være godt rustet mot dataangrep, er det første steget å være bevisst på trusselbildet og innse at dette er noe som må tas på alvor. Hvis man undervurderer risikoen, vil man ikke iverksette nødvendige tiltak. Bevisstgjøring er derfor det aller viktigste. Deretter handler det om å sette i gang med enkle tiltak, som ikke nødvendigvis trenger å være kompliserte til å begynne med. – Sunniva Myren Pedersen.
Relevante lenker
Løsepengevirus rammer små helsevirksomheter
Ansatte utgjør den største sikkerhetsrisikoen
TrinnVis-løsningen som øker datasikkerheten i helsevirksomheter
Dagens Medisin og Nettavisen skriver om datasikkerhetsløsningen i TrinnVis
Les om hackerangrepet mot det finske psykoterapisenteret Vastaamo på nrk.no
Enkelt tiltak mot dataangrep: innebygget kurs i TrinnVis for hele personalet
Tre enkle trinn til å komme i gang med TrinnVis
TrinnVis: kvalitetssystemet for norske helsevirksomheter
TrinnVis brukes av flere tusen norske leger, tannleger, fysioterapeuter og andre helsearbeidere, og vi samarbeider med en rekke profesjonsorganisasjoner for å sørge for at systemet tilfredsstiller de høye kvalitetskravene som stilles til helsevirksomheter. Hvis du er medlem av en av disse organisasjonene, får du medlemsrabatt.