En ny rapport fra Rigsrevisionen, offentliggjort i januar 2025, fastslår, at regionernes indsats for at beskytte sundhedsdata mod cyberangreb stadig ikke er tilfredsstillende. Selvom der er sket fremskridt siden tidligere påtaler, peger rapporten på flere kritiske mangler, der efterlader borgernes sundhedsdata sårbare over for cybertrusler.
Kritikken er bl.a. interessant fordi vi tidligere på Regional-Indsigt har beskrevet, hvordan regionernes it-udgifter galoperer derudaf. I 2023 investerede regionerne samlet 3,1 mia. kr. i it og teknologi, hvilket er en stigning på 7% i forhold til 2022.
Rapporten vurderer regionernes indsats ift cybersikkerhed ud fra internationale standarder, herunder ISO 27001.
Konklusionen er, at ingen af de fem regioner opfylder alle kravene tilstrækkeligt. Rigsrevisionen fremhæver blandt andet manglende segmentering af netværk, utilstrækkelige beredskabsplaner og manglende test af backup-systemer som gentagne problemområder.
Det skal her bemærkes, at “ikke tilfredsstillende” er middel kritik på Rigsrevisionens karakterskala på fem, hvor der kun er et niveau for positiv, fremgår det af rapporten.
Tre regioner skiller sig ud, idet de ikke følger ISO 27001 og opfylder ikke anbefalingerne fra Center for Cybersikkerhed på en række punkter. De to af regionerne er dem, der skal fusioneres i den nye Region Østdanmark. ( Artiklen fortsætter efter figuren)
Tidligere kritik og gentagelse af problemer
Det er langt fra første gang, at regionernes cybersikkerhed er blevet kritiseret. To minutter i jul blev Region Syddanmark idømt en en millionbøde for uforsvarlig omgang med patientdata og brud på GDPR-reglerne ved Retten i Kolding.
Læs også: Et spørgsmål om rimelighed får region til at anke dom
Siden indførelsen af den fællesregionale informationssikkerhedspolitik i 2017 har flere rapporter fra Rigsrevisionen og anbefalinger fra Center for Cybersikkerhed (CFCS) påtalt regionernes manglende evne til at opfylde basale sikkerhedskrav.
Et særligt tilbagevendende kritikpunkt har været regionernes manglende segmentering af netværk, hvilket gør det muligt for hackere at sprede deres angreb på tværs af systemer, hvis de først opnår adgang. CFCS’ trusselsvurdering fra 2024 understreger, at sundhedssektoren er et attraktivt mål for cyberkriminelle og fremmede staters spionage.
“Ingen af regionerne har foretaget en tilstrækkelig segmentering af de it-systemer med sundhedsdata, som de selv vurderer er kritiske for hospitalsdriften,“ står der i den nyeste rapport fra Rigsrevisionen.
Derudover har tidligere rapporter påpeget utilstrækkelig opfølgning på resultaterne af sårbarhedsskanninger, hvilket stadig er et problem i flere regioner. For eksempel har Region Sjælland og Region Syddanmark ikke ført tilstrækkelig ledelsesmæssig opfølgning på deres cybersikkerhedstiltag.
I en anden analyse gennemgår vi en dugfrisk digitaliseringsstrategi fra Region Syddanmark, for at se om man forsøger at imødekomme kritikken.
Udfordringer og anbefalinger
Selvom der er taget skridt til forbedring i regionerne samlet set, er der fortsat en betydelig risiko for, at hackerangreb kan lamme hospitalsdriften eller føre til datalæk af borgeres sundhedsoplysninger. Rigsrevisionen anbefaler, at regionerne intensiverer arbejdet med:
- Regelmæssig test af backup og beredskabsplaner.
- Implementering af segmenterede netværk.
- Multifaktor-login for at beskytte mod uautoriseret adgang.
De gentagne påtaler viser, at problemerne med cybersikkerhed ikke er nye, men snarere et udtryk for at opfølgningen på tidligere anbefalinger ikke har været tilstrækkelig. Selvom flere regioner, herunder Region Nordjylland og Region Midtjylland, klarer sig bedre end andre, efterlader rapportens konklusioner ingen tvivl om, at der er behov for en samlet indsats.
Ifølge en udtalelse fra Center for Cybersikkerhed er der en konstant udvikling i trusselsbilledet, og sundhedssektoren skal være forberedt på at håndtere nye typer cyberangreb.
Senest har den private aktør `alles lægehus´ været udsat for et hackerangreb og i den sammenhæng, blev der rejst alvorlig kritik i medierne af virksomheden.
Med rapportens klare anbefalinger og fokus på forbedringer vil 2025 blive et vigtigt år for at sikre, at regionerne træder op ad stigen. Det er afgørende, at regionerne handler for at forhindre alvorlige konsekvenser af fremtidige cyberangreb ikke mindst i perspektiv, at det danske sundhedsvæsen er blandt verdens mest digitaliserede, men med denne styrke er man også et attraktivt mål for cyberkriminelle.
