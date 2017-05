Onsdag ble kjent at utenlandske IT-arbeidere har hatt tilgang til pasientdata om 2,8 millioner nordmenn.

Ifølge NRK, som kom med avsløringen, har IT-arbeidere kunnet gå inn og kopiere journaler til pasienter i Helse Sør-Øst, uten å legge igjen spor.

Pasientjournaler inneholder sensitive opplysninger om eksempelvis psykiske problemer, kjønnssykdommer, medisinbruk, aborter eller andre helseforhold.

Nå vurderer Nasjonal sikkerhetsmyndighet (NSM) å se på saken. Utflagging av IKT-tjenester er noe de har påpekt gjentatte ganger i sine årlige risikoanalyser. Siste gang var i vinter.

– Jeg er dessverre ikke overrasket over at dette skjer. Nå synes jeg vi har fått mange eksempler på dette. Det gjelder ikke bare helsesektoren. For ikke mange uker siden var det om at nødnettet hadde blitt driftet fra utlandet. Det har vist seg at det er mediene som fanger det opp. Det vitner om at det er for svak forståelse for sikkerhet, sier Hans Christian Pretorius, avdelingsdirektør i NSM.

– Hvem er det som har for svak forståelse for sikkerhet?

– Det er de i ulike ledelser som tar denne typen beslutninger, sier han.

Helse Sør-Øst innrømmer at utenlandske IT-arbeidere har hatt tilgang til pasientdata om 2,8 millioner nordmenn: Først skal de ha nektet for dette

NSM vurderer å se på saken

– Vi skal se om noe av dette kan dreie seg om objekter som burde vært utpekt som skjermingsverdige objekter etter sikkerhetsloven, sier han.

Definisjonen for et skjermingsverdi objekt etter sikkerhetsloven er «eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser».

– I journalene kan det være opplysninger om maktpersoner i Norge. Er dette noe dere ser på?

– Etter hva vi forstår, er ikke data på avveie i denne saken. Det er heller ikke bekreftet en slik type kompromittering, men vi påpeker at det er en økt risiko for det når dette driftes fra utlandet. Det synes jeg er riktig, sier Pretorius.

Kan være interessant for etterretning og kriminelle

Pretorius sier at de kjenner til tilfeller der utenlandsk etterretning har vært interessert i helseopplysninger.

– Vi har ikke konkrete eksempler på at dette har skjedd i Norge, men i USA har eksempelvis informasjon om ansatte i statsforvaltningen blitt brukt til utpressing, påpeker han.

Bjarte Malmedal, sikkerhetsrådgiver i Norsk senter for informasjonssikring (NorSIS), peker på at både presse, forsikringsselskaper og kriminelle har interesse av opplysninger om enkelte personer.

– Det er ikke vanskelig at tenke seg at det finnes helseopplysninger der, som kriminelle kan bruke som pressmiddel mot enkelte, sier han.

I likhet med Pretorius påpeker han at man ikke har opplysninger om at data er på avveie.

– Døren har stått ulåst, men ingen har gått inn og gjort noe, slik jeg leser saken. Men hvis de ikke har kontrollmekanismer på plass, kan man ikke ettergå dette. Her har de kanskje ikke det, så da lever man i uvisse. Jeg synes ikke at man etter denne saken skal rope varsku til pasienter om at data har kommet på avveie. Det er for tidlig å si, sier han.

Frykter offentlig IKT-krøll som følge av kommunereformen: IKT Norge er bekymret

Kritisk til utflagging

Malmedal mener at er vanskelig å løse utfordringene som kommer med utflagging av IKT-driften.

– Jeg tror ikke mange i vårt fag blir overrasket over dette, men det gjør ikke at saken blir mindre alvorlig. Det krever veldig mye av virksomheter å følge opp at norske lover og regler følges av dem som overtar arbeidet. Dette er mye mer utfordrende når disse sitter i en annen verdensdel, enn om de sitter i kjelleren i eget hus, sier han.

Samtidig har han forståelse for at det ligger flere hensyn til grunn når man flagger ut, og at det er mulig å ivareta sikkerheten også etter utflagging.

– Glipper som det her, kunne vært unngått. Sikkerhetsstyringen kan ikke ha vært tilfredsstillende. Hadde de gjort de riktige tingene, skulle ikke dette skjedd, sier han.

Pretorius peker på det samme.

– Vårt prinsipielle syn er at hver tjenesteutsetting øker risikoen, uavhengig av hvem det gjelder. Derfor må man ha på plass et sett med tiltak som forhindrer dette. Lar du andre få tilgang, må du ha sikkerhetsbarrièrer. Jeg vet ikke hva som er tilfelle i denne saken, men ut fra medieoppslaget har det sittet ressurser i utlandet med administratorrettigheter. Da er det naturlig å stille spørsmål om sikkerheten har vært god nok, sier han.