Utviklingstrekk 6: «Det komplekse sikkerhetslandskapet krever høyere beredskap»
I 2023 beskriver Nasjonal sikkerhetsmyndighet (NSM) det norske trusselbildet som komplekst og uoversiktlig, med en ustabilitet som forventes å vedvare. Dette påvirker særlig helse- og omsorgssektoren, hvor det er økt behov for fokus på datasikkerhet.
Vi lever i usikre tider
Det er flere grunner til bekymring ifølge NSM, og mange av disse påvirker også helse- og omsorgssektoren. Erkjennelsen av at vi lever i usikre tider krever at det gis økt oppmerksomhet rundt hvordan vi håndterer og deler helseinformasjon. Siden stadig flere arbeidsprosesser i helsesektoren er avhengige av digitale verktøy og systemer, blir det nødvendig å kontinuerlig forbedre våre metoder for datasikkerhet for å forhindre uønskede digitale hendelser.
Nasjonal infrastruktur er særskilt utsatt
Det første momentet som NSM fremhever som årsak til det økte behovet for å hensynta sikkerhet i større grad enn tidligere, er flere tilfeller der nasjonal infrastruktur har vært utsatt for uønskede hendelser. Selv om vi ennå ikke har sett omfattende vellykkede angrep mot kritisk infrastruktur i helse- og omsorgssektoren, advarer flere sikkerhetsaktører i sektoren om at dette bare er et spørsmål om tid.
I den årlige sikkerhetsvurderingen fra den nasjonale tjenesteleverandøren Norsk helsenett SF vurderes det som meget sannsynlig at aktører vil forsøke å angripe den nasjonale helseinfrastrukturen. Dette støttes også i den første helseberedskapsmeldingen som kom ut i 2023, der to vesentlige risikoområder er nedetid av IKT-systemer og uautorisert tilgang til helseinformasjon.
Teknologisk utvikling åpner for nye ukjente sårbarheter
Et annet moment som krever sektorens oppmerksomhet, er hvordan den teknologiske utviklingen åpner opp for nye sårbarheter. Dette fenomenet blir spesielt tydelig i den raske utviklingen innen kunstig intelligens (KI) og generell mulighet til å håndtere store datamengder. Implementering av teknologi som baserer seg på KI kan forbedre helse- og omsorgssektorens evne til å levere mer effektive og bedre helsetjenester, som blant annet i Vestre Viken, der KI-støttet bildediagnostikk har blitt tatt i bruk for å spare tid for helsepersonell og innbyggere.
Samtidig kan kapasiteten til å gjennomføre digitale angrep øke blant aktører som ønsker å utnytte våre digitale sårbarheter ved hjelp av KI. På lengre sikt peker flere aktører også på at kvantedatamaskiner vil utfordre våre nåværende krypteringsalgoritmer. Den raske teknologiske utviklingen krever at aktørene i helse – og omsorgssektoren holder seg oppdatert på risikobildet og tilpasser sikkerhetsarbeidet til ny virkelighet. Dette krever kompetanse og tilstrekkelig ressurser. Ved innføring av ny teknologi er det viktig at sikkerhet og personvern blir vurdert og hensyntatt.
Digital sikkerhet forutsetter riktig kompetanse og prioritering av ressurser
For å sikre at vurderinger rundt digital sikkerhet og personvern blir ivaretatt, er det avgjørende at beslutningstakere har nødvendig kompetanse og ressurser for å forstå og håndtere truslene. En utfordring i denne sammenhengen er at særlig mindre organisasjoner ofte har begrensede ressurser tilgjengelig for digitalt sikkerhetsarbeid sammenlignet med større organisasjoner.
Fremover vil det komme sterkere reguleringsbestemmelser som stiller krav til arbeidet med digital sikkerhet i virksomhetene, for eksempel lov om digital sikkerhet og det kommende NIS2-direktivet. Det er sannsynlig at dette arbeidet vil bidra til bedre sikkerhet. Samtidig vil det kunne bli krevende for virksomhetene å ha nok ressurser og kompetanse til arbeidet med å oppfylle nye og flere krav.
På nasjonalt nivå har regjeringen styrket responsmiljøet til HelseCERT gjennom ekstraordinære bevilgninger og etablert et eget responsmiljø for å støtte kommunene gjennom KommuneCERT i 2023. Videre vil det bli opprettet et eget nasjonalt digitalt beredskapsutvalg for å samordne aktørene i sektoren.
Disse tiltakene er ment å styrke den digitale sikkerhetsberedskap for helse- og omsorgstjenesten i hele Norge. Ansvaret for å sikre informasjonssikkerhet ligger også hos den enkelte ansatte i helse- og omsorgssektoren. Økt søkelys på digital sikkerhet i helseutdanningene spiller derfor også en viktig rolle i arbeidet med å skape en god kultur for digital sikkerhet.
Tillit til ivaretakelse av helsedata er nødvendig
For at digitaliseringen av helse- og omsorgstjenesten skal lykkes, er det avgjørende at innbyggerne har tillit til at deres helsedata er trygge. I Helsedirektoratets innbyggerundersøkelse om e-helse for 2023 svarte 7 av 10 innbyggere at de har tillit til at deres helseopplysninger er trygge og utilgjengelige for uvedkommende. Hvordan vi håndterer kommende digitale sikkerhetsutfordringer vil i stor grad påvirke om denne tilliten opprettholdes.