Debatt
It-säkerhet
9 juli 2019 kl 14:01

”Vi måste göra skillnad på incidenter och incidenter”

Både privata och offentliga leverantörer av samhällsviktiga tjänster måste leva med att incidenter som 1177-läckan inte är organisationens interna ensak. Det är en självklarhet att de både ska redovisas och analyseras, slutreplikerar informationssäkerhetsexperten Fia Ewald. 

Det här är en opinionstext

Slutreplik. Det är bra att Sveriges Kommuner och Landsting (SKL) och Daniel Forslund (L) ser informationssäkerhet som ett fundament i det digitala välfärdsbygget. I övrigt har vi fortsatt har olika synsätt på grundläggande frågor.

Att en offentlig aktör redovisar sina incidenter får inte vara ett tecken på välvilja utan en självklarhet. Det är två år sedan skandalen vid Transportstyrelsen briserade, en händelse som har tydliga likheter med 1177-skandalen. Jag tror inte att det då var någon som uppfattade att det fanns ett alternativ till att öppet redovisa vad som hänt. Både privata och offentliga leverantörer av samhällsviktiga tjänster måste leva med att incidenter inte är organisationens interna ensak. Att analysera vad som hänt är inte att ”hudflänga”.

Vi måste göra skillnad på incidenter och incidenter. Det finns akuta incidenter som beror tekniska eller mänskliga brister som inte går att förutse och sedan finns de som går att förebygga. 1177-skandalen är av den senare typen. Orsaken var främst att regionerna inte ställde rimliga säkerhetskrav vid upphandlingen.

Daniel Forslund tycker jag lägger för stor betydelse vid 1177-händelsen. Jag håller inte med. Incidenten är i sig själv av en sådan magnitud att den förtjänar noggranna analyser men vad som är verkligt viktig och som KPMG:s rapport också pekar på är att den är en indikator på ett systemfel.

Region Stockholm har helt enkelt inte ett systematiskt informationssäkerhetsarbete på plats, något som det funnits krav på i föreskrift sedan 2008 och som också är en förutsättning för att kunna efterleva lagarna som följer av GDPR och NIS-direktivet

När en organisation lyckas göra en omfattande upphandling av en tjänst för att hantera mycket känslig information utan att göra en riskanalys, utan informationsklassning och utan att elementära säkerhetskrav ställs är det ett tydligt tecken på att det inte fungerar.

Digital välfärd måste innebära trygghet, att patienter kan känna sig trygga med att operationen bygger på rätt information, att det går att få hjälp även vid el-avbrott, att man får rätt läkemedel och att bara de som deltar i vården tar del av ens känsliga uppgifter.

Men sjukvårdshuvudmännen som leverantörer har inte lyckats skapa en sammanhängande styrning av informationssäkerheten. När digitaliseringen av samhällsviktig verksamhet accelererar behöver staten både ställa krav och stödja regionerna för att invånarna ska kunna få en trygg digitala välfärd. Säkerheten kan inte vara olika i olika regioner utan måste vara densamma oavsett var man bor.

De åtgärder som SKL:s företrädare och Daniel Forslund räknar upp är inte tillräckliga för att betala av den redan uppbyggda säkerhetsskulden, än mindre för att stödja de nya digitala lösningar som är i antågande. SKL som arbetsgivareorganisation är inte enligt min mening den lämpliga samordningsfunktionen utan här behövs en myndighetsstyrning som tillgodoser samhällsintresset.

Mitt förslag är därför att en analys görs av säkerheten i e-hälsan vilket inte gjorts och att denna analys sedan hålls uppdaterad. Detta är nödvändigt för att identifiera beroenden och för att göra rätt prioriteringar.

Regeringen bör ge Socialstyrelsen uppdrag och resurser för att utveckla kraven på informationssäkerhet i vården (gärna i en styrmodell som den norska Normen) för att hålla en tydlig koppling till patientsäkerhet. I uppdraget bör även ligga att tillsammans med eHälsomyndigheten ta fram en nationell säkerhetsarkitektur. Samverkan ska ske med sjukvårdshuvudmännen och andra leverantörer i samtliga delar.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.