Informationssäkerhet

”Datorattack visar på dålig säkerhet i vården”

Helgens omfattande datorvirusattack, som ”kidnappade” hundratusentals datorer världen över, var lyckad för gärningsmännen – och visar tydligt på bristerna i vårdens informationssäkerhet.

Under slutet av förra veckan slog datorviruset Wannacry till. Runt om i världen, inklusive Sverige, blev servrar och datorer ”kidnappade”, krypterade av en skadlig kod som gjorde lagrad information oåtkomlig för ägaren. För att få tillbaka informationen pressades ägarna på pengar. Dramatiken förstärktes av att Wannacry på många ställen slog ut informationssystem inom sjukvården. Det är alltså inte bara ekonomiska konsekvenser som kommer att kunna analyseras i efterhand, utan även påverkan på liv och hälsa i en tidigare okänd omfattning.

En lyckad kupp för de som skapat den skadliga koden och ett tilltag som sannolikt kan inspirera efterföljare. Vi har därför all anledning att lära oss av Wannacry – givetvis för att undvika liknande utbrott, men särskilt för att tänka till om vår informationshantering. Kommuner och landsting behöver nu lägga i en ny och högre växel i informationssäkerhetsarbetet.

Vi är några stycken som i viss motvind under en längre tid pekat på att den svenska hälso- och sjukvården präglas av en olycklig matchning mellan insikt och avsikt.

För det första har sjukvården (inklusive den kommunala) samhällets kanske största behov av god informationssäkerhet. Behovet är tydligt för informationssäkerhetens samtliga dimensioner (sekretess, riktighet, spårbarhet och tillgänglighet) på ett sätt som saknar motsvarighet i andra verksamheter. Riskbilden har utvidgats i och med att personuppgifterna som sjukvården hanterar är mycket åtråvärda i olika kriminella sammanhang.

Wannacry gör samtliga aspekter tydliga. Den kriminella aktör (eller om det möjligen var fler) som skapade den skadliga koden ville uppenbarligen komma åt den här typen av information. I ett första skede har tillgängligheten drabbats, men med stor säkerhet kommer vi att märka att även patienters integritet tagit skada. Informationen kanske inte längre är korrekt och spårbar på det sätt som patientsäkerheten kräver. Wannacry kommer att ha långvariga efterverkningar.

För det andra har informationssäkerheten varit eftersatt under många år i den svenska sjukvården, både i intention och i utförande. Resultatet är att det idag finns ett mycket stort aggregerat behov av att förbättra informationssäkerheten. Även om kommuner och landsting undkommer Wannacry med blotta förskräckelsen får det inte leda till att sektorn invaggas i en falsk trygghet. Om Wannacrys upphovsmän var tämligen amatörmässiga kommer nästa ransomware sannolikt att vara mer utstuderat.

Vad bör då kommuner och landsting göra? Att kommuner med knappa resurser har ansvar för så känslig information måste hanteras genom en samordnad kollektiv kraftansträngning. Medan staten idag tycks vara inriktad på olika typer av övervakningsåtgärder måste den kommunala sektorn samla sig runt det normala tålamodsprövande systematiska säkerhetsarbetet.

Statliga myndigheter med säkerhetsansvar måste också bli bättre på att stötta kommuner och landsting genom att utveckla enhetliga verktyg och metoder där kollektiva vinster går att finna. Att det är det gråa arbetet som räknas visar sig i att de som skött sina uppdateringar klarade sig från Wannacry.

I Storbritannien förs redan en diskussion om hur nedskärningarna på den normala it-verksamheten inom vården banat väg för Wannacry. Även detta är ett memento för kommuner och landsting. De flashiga lösningarna i e-hälsa och välfärdsteknologi måste budgeteras, utvecklas och förvaltas så att de även blir säkra för patienterna och inte enbart plymer i politikerhattar.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.

Läs hela Dagens Samhälle

Dagens Samhälle vänder sig till beslutsfattarna på den offentliga marknaden. Tidningen kommer ut varje torsdag, 45 gånger per år. Prova gratis här.