Gå til hovedinnhold

Helsedata – valuta hackerne vil stjele

Det anslås med 90% sikkerhet at virksomheter i norsk helsesektor er et mål for spionasje og kan bli utsatt for økonomisk motiverte angrep. Hackerne ønsker å oppnå kontroll over systemer eller få tak i helsedata. Stjålne helseopplysninger eller svekkede IT-systemer kan brukes som pressmiddel for å oppnå et mål, noe som kan påvirke pasientbehandling og i verste fall være livstruende.

Publisert: 01.03.2023

Av: Signe Marie Cleveland og Jaan Klouman

Medical Internet of Things (mIoT) og datadeling – et attraktivt mål for cyberangrep

 

Stadig mer avansert teknologi inntar helsesektoren. Løsninger som elektroniske pasientjournaler kobler ulike helsevirksomheter som fastlege og sykehus sammen. Andre digitale helsetjenester og teknologi festet på pasientens kropp (mIoT) bidrar til større fleksibilitet for både pasient og helsepersonell. Den økende bruken av teknologi bidrar til at det genereres mer helsedata som dokumenteres i mange ulike systemer, noe som gjør både pasienter og helsepersonell avhengige av samhandling og datadeling på tvers av helsevirksomheter for en mest mulig effektiv og sikker pasientbehandling. Med dette oppstår flere potensielle sårbarheter når det kommer til sikkerhet.  

Økt satsning på datadeling og bedre utnyttelse av dataen som eksisterer er en del av den nasjonale e-helsestrategien frem mot 2030, og et av mange virkemiddel for å nå de helsepolitiske målene. API er én løsning for datadeling i helsesektoren. API (Application Programming Interface) betegner grensesnittet i en programvare som muliggjør automatiserte prosesser for kommunikasjon og datadeling mellom systemer, for eksempel mIoT. Dette er medisinsk utstyr som utnytter de moderne mulighetene for digital samhandling, som for eksempel insulinpumper. Hvordan samhandlingen utspiller seg i praksis varierer ut ifra typen utstyr og spesifikasjoner, men felles for mIoT er trådløs kommunikasjon gjennom API.  

Åpent API i helsesektoren gjør at relevante aktører kan dele relevant helsedata med relevante helsevirksomheter. At det er åpent betyr ikke at dataen er tilgjengelig for alle, men at spesifikasjonene for grensesnittet er tilgjengelig for å utvikle løsninger som muliggjør datadeling. Personvern og informasjonssikkerhet er fortsatt gjeldende, og det er viktig å ha tilstrekkelige sikkerhetstiltak for å sørge for at sensitive data ikke kommer på avveie. Selv om åpne API muliggjør datadeling på en sømløs og effektiv måte, gjør tilgangen på helsedata kan være eksponert og dermed et attraktivt mål for cyberangrep. Angrep på API skjer ofte ved at hackerne forsøker å utnytte svakheter hos en tredjepart og tilegne seg uautorisert tilgang til APIet. Noen av de mest kritiske cyberrisikoene er knyttet til dårlig eller mangel på tilgangskontroll (autentisering) og manglende anonymisering (kryptografi). 

Cyberangrep mot helsesektoren øker 

 

Etter invasjonen av Ukraina og flere år med pandemi har antallet cyberangrep økt med 42%.  Angrep rettet mot helsesektoren øker i takt med et mer krevende og avansert trusselbilde hvor hackerne raskt endrer både taktikk og metoder. Dette skaper et behov for økt cybersikkerhet og kompetanse til å håndtere komplekse problemstillinger.   

Senest i januar 2023 kunne man lese om russiske hackergrupper som utførte tjenestenektangrep (DDoS-angrep) mot en rekke norske sykehus. Ved et tjenestenektangrep, eller Distributed Denial of Service attack, forsøker hackerne å hindre brukere tilgang til en tjeneste eller informasjon. Den vanligste formen er å oversvømme nettsiden med trafikk og dermed overbelaste serveren. I dette tilfellet var det kun de eksterne nettsidene uten pasientinformasjon som ble satt ut av spill, og ingen pasienter var derfor i fare. Målet var derfor trolig å få oppmerksomhet i media.   

Men dette er ikke første gang norsk helsesektor har vært utsatt for cyberangrep. I 2022 ble det avdekket datainnbrudd i programvare som benyttes for kommunikasjon mellom AMK-sentralen og ambulansene i Helse Nord. Selv om angrepet ikke påvirket ambulansenes evne til å gjennomføre oppdrag, inneholder systemet data som pasientens navn, adresse og medisinske tilstand. Et annet mye omtalt cyberangrep er angrepet mot Helse Sør-Øst i 2018. Gjennom en sårbar applikasjon klarte hackerne å skaffe seg uautorisert tilgang til systemene, som de videre utnyttet for å kompromittere og bevege seg inn i infrastrukturen. Dette gjorde at man var nødt til å stenge ned flere tjenester for å håndtere angrepet, noe som reduserte funksjonalitet og forstyrret kommunikasjon.   

Verdikjedeangrep – det svakeste ledd er en god inngang for hackere

 

Delte helsedatasystemer og bruk av eksterne leverandører som ivaretar datasikkerheten er ofte økonomisk gunstig for den enkelte virksomhet, men det utvider også verdikjeden. Ifølge helse- og omsorgsektorens nasjonale senter for cybersikkerhet (HelseCERT) er det også sannsynlig at norske helsevirksomheter blir utsatt for verdikjedeangrep. Trusselen er voksende fordi det forventes at volumet av slike angrep vil øke i tiden fremover.  

Verdikjedeangrep innebærer at et sikkerhetshull i ett system gir hackeren tilgang til et annet system ved å utnytte svakheter i kjeden for å skaffe seg tilganger. En verdikjede består av alt som bidrar til å skape virksomhetens tjenester og verdier, som leverandører og underleverandører av teknologi og programvare, medisinsk utstyr, helsepersonell og tilganger til ulike systemer. Verdikjeden til en virksomhet er ofte lang og uoversiktlig, og det kan derfor være vanskelig å danne et totalt risikobilde. Dette skaper en større angrepsflate og flere potensielle sårbarheter som kan utnyttes for cyberangrep. Hvordan kan et sikkerhetshull i en mIoT-enhet være en fare for pasienten? Kan dataen være så sensitiv at det kan påføre pasienten fysisk skade?   

I Norge har man ennå ikke opplevd at cyberangrep rettet mot helsesektoren har medført livstruende konsekvenser. Allikevel skal man ikke lenger enn til Tyskland i 2020 for å finne et tilfelle hvor en kvinne døde som en indirekte følge av et løsepengevirus på Düsseldorf Universitetssykehus.  

Felles ansvar for cybersikkerhet 

 

Cybertruslene ovenfor norske helsevirksomheter er reelle, og hackerne endrer stadig taktikk og metoder. Ved å følge HelseCERT sine anbefalte sikkerhetstiltak har virksomhetene i sektoren et godt utgangspunkt for å utvikle en forsvarlig cybersikkerhetsstrategi.

I tillegg anbefaler Deloitte at virksomhetene gjør følgende: 

  • Gjennomgang av IT-porteføljen og tilhørende verdikjede.  
  • Trusselvurdering for å avdekke risikoer og sårbarheter knyttet til systemene. 
  • Penetrasjonstester for å identifisere eksisterende sikkerhetshull. 
  • Konsekvensutredning av kompromitterte systemer og hacking. 
  • Tiltak for å dempe skadeomfanget ved eventuell hacking. 

Deloitte Helse
Vi satser på helsesektoren! Deloitte er Norges største kunnskapshus innenfor rådgivningstjenester i helsesektoren. Vi arbeider med nasjonale myndigheter, regionale helseforetak, helseforetak i alle landets regioner, og kommunal sektor. Vi er mer enn 100 personer som jobber med helse. Sammen med helsesektoren jobber vi for å skape helhetlige, trygge og nyskapende tjenester som fremmer helse og mestring. 

Les mer om Deloitte Helse

Var dette nyttig?

Takk for din tilbakemelding