Rigsrevisionen kritiserer tre regioner for at omgås datasikkerheden alt for skødesløst. F.eks. har Region Hovedstaden og Region Syddanmark passwords, der ikke har været skiftet i op til ni år.
”Ikke tilfredsstillende”.
Det er vurderingen af it- og datasikkerheden i Region Syddanmark, Region Midtjylland og Region Hovedstaden.
De tre regioner får hård kritik i en ny rapport fra Rigsrevisionen om beskyttelse af adgangen til it-systemer og sundhedsdata om borgerne.
Rigsrevisionen har selv taget initiativ til at undersøge, om de tre regioner er omhyggelige nok med hensyn til it-sikkerhed og databeskyttelse, og konklusionen er klar: Det er de ikke.
”Hermed er der en risiko for, at følsomme og fortrolige persondata kommer i hænderne på uvedkommende, og at vigtige sundhedsdata, der indgår i behandlingen af borgere i sygehusvæsenet, ikke er pålidelige eller tilgængelige, når der er brug for dem”, skriver Rigsrevisionen.
Folketingets statsrevisorer gør i deres bemærkninger til Rigsrevisionens rapport opmærksom på, at offentlige myndigheder i Danmark i stigende grad er truet af cyberangreb, og at sundhedssektoren er udsat for en specifik trussel:
”Fx har der i Danmark været flere angreb på sygehuse i Region Syddanmark, som kan have haft konsekvenser for patientbehandlingen”, skriver de.
Regionerne mangler grundlæggende tiltag mod hackerangreb, og det vækker især Rigsrevisionens kritik, at samtlige ansatte i Region Syddanmark – i alt 27.000 personer – har adgang som lokaladministratorer
”Det øger markant risikoen for, at hackere kan misbruge medarbejdernes rettigheder og dermed kan tiltvinge sig adgang til og kompromittere it-systemer og sundhedsdata”, skriver Rigsrevisionen.
Faktaboks
Dertil kommer, at mange computere i Region Midtjylland og Region Hovedstaden har forældede styresystemer, der ikke længere sikkerhedsopdateres. Producenterne udsender regelmæssigt sikkerhedsopdateringer til programmer og styresystemer. Men ifølge Rigsrevisionen er det kun Region Syddanmark, der henter sikkerhedsopdateringer til alle relevante produkter.
Region Midtjylland havde i foråret 2017 cirka 7.000 computere med det forældede styresystem Windows XP – men siden april 2014 har Microsoft ikke udsendt sikkerhedsopdateringer til XP. Regionen har desuden cirka 250 servere med et styresystem, som heller ikke længere supporteres af producenten.
Regionen oplyser til Rigsrevisionen, at der er planer om at afvikle 6.500 af de forældede computere, og at de resterende 500 vil være ”skærmet og indkapslet”.
Region Hovedstaden havde stadig 800 computere med Windows XP-styresystem på netværket.
I mange tilfælde har ansatte, der er logget på med såkaldt ”privilegeret adgang”, sideløbende mulighed for at være på internettet – og endda downloade og installere programmer, hvorved it-systemerne i princippet er pivåbne for virus, trojanske heste og anden malware, der kompromitterer datafortroligheden.
I Region Syddanmark har ledelsen ikke udstukket overordnede rammer for it-sikkerheden, og hos Region Hovedstaden og Region Syddanmark fandt Rigsrevisionen passwords, der ikke har været skiftet i op til ni år.
I ingen af de tre regioner sker der logning i betryggende omfang. Derved bliver det svært at opdage hackerangreb og opklare misbrug af rettigheder.
Rapporten fra Rigsrevisionen understreger situationens alvor og indskærper en række lavpraktiske og let forståelige forholdsregler, som regionerne bør tage, herunder udskiftning af forældet hardware og software samt løbende opdateringer, sikring af, at ingen medarbejdere har lokale administratorrettigheder og inddeling af netværker i segmenter, så et angreb ikke kan sprede sig ubegrænset.
