Er hasteimplementert helseteknologi sikker nok?

Kronikk: Petter Ludvig Andersen, konsulent innen informasjonssikkerhet og personvern i Transcendent Group

TRENDENE HAR vært tydelig i årevis, men har trolig skutt fart under covid-19-pandemien: Å ta i bruk teknologi – enten i form av apper eller medisinsk utstyr, velferdsteknologi og lignende for å øke bruken av digital hjemmeoppfølging – eller på andre måter for å avlaste en presset helsetjeneste.

Spørsmålet er om vi har klart å sikre teknologiene man tar i bruk før de gis til pasient og helsepersonell?

FREMSKYNDET UTVIKLING. Den pågående pandemien har dyttet sykehus, kommuner og andre helsetilbydere til å ta i bruk økende antall apper og annen teknologi. Helsetjenesten må være tilgjengelig, og i dette rommet kobles flere teknologier og ulike utstyr til internett: Det tas i bruk skytjenester som aldri før – og teknologi plasseres i pasientens hjem.

Implementering av ny teknologi gjør det mulig for innovative løsninger som kan forbedre pasientens utfall. Men i takt med utviklingen oppstår det også flere nye sårbarheter som alle helsetilbydere må ta høyde for når de skal yte helsehjelp; ondsinnede hackere, programvarefeil, lange verdikjeder, uoversiktlig leverandørbilde og utfordringer knyttet til personvern.

SÅRBART. Flere analyser peker igjen på at apper og teknologi er sårbare for angrep hvor kritisk og sårbare helseopplysninger om oss venter på å bli utnyttet. Det skotske selskapet Approov har undersøkt 30 helseapper, og ifølge selskapets nylig publisert rapport hadde samtlige en eller annen sårbarhet som førte til eksponering av helseopplysninger.

Det vil ikke være overraskende om dette stemmer. Det er godt kjent at helseopplysninger er svært ettertraktet hos kriminelle. Senest i fjor ble et finsk psykolog-selskap hacket. Pasienter fikk sine helseopplysninger stjålet, og de ble i tillegg presset for penger.

Å sikre helseopplysninger, handler ikke lenger bare å sikre pasientjournalen eller det enkeltstående utstyret som sto innerst i et hjørne, men også alle andre systemer og teknologier man velger ta i bruk for å samle inn, lagre, utveksle eller på annen måte behandler helseopplysninger i. «Alt» er tilkoblet et nettverk i dag og mye overføres til sentrale servere/ applikasjoner.

RISIKOVURDERINGER. Når virksomheten velger å koble teknologi til internett, enten det er gjennom en app, medisinsk utstyr, velferdsteknologi eller annet, er det vesentlig å foreta gode risikovurderinger. Helsepersonell er gode på å vurdere hva som er forsvarlig helsehjelp, men mange glemmer at mangel på vurderinger om informasjonssikkerhet og personvern kan føre til brudd på pasientsikkerheten – på samme måte som å gi en sprøyte til feil pasient.

Disse elementene hører sammen. Pasientsikkerhet og informasjonssikkerhet vil bare bli tettere og tettere sammenvevd i årene fremover. Covid-19 har fremskyndet denne utfordringen.

KLART BUDSKAP. Budskapet er klart: Først må du vite hvilke verdier som benyttes – slik at virksomheten vet hva som skal beskyttes. Deretter bør virksomheten gå i gang med risikovurderinger basert på de verdiene som benyttes.

Det er viktig at virksomheten er kjent med truslene man står ovenfor. Etterpå må man etablere tiltak som minimerer sårbarhetene som er avdekket. Å sikre virksomhetens verdier på forhånd, som pasientens helseopplysninger, er alltid viktigere og billigere enn å måtte håndtere et vellykket cyberangrep.

Videre er det veldig viktig at teknologien virksomheten benytter, tas med inn i prosessen med risikostyringen, at ansvaret er tydelig plassert og at alle ansatte får god opplæring. Først da kan man bruke helseteknologi som er med på å understøtte forsvarlig helsehjelp.

Tilleggsinformasjon: Forfatteren oppgir ingen interessekonflikter, men presiserer at meningene i kronikken er hans egne, og ikke et utrykk for synspunkter til verken nåværende eller tidligere arbeidsgiver; Sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Direktoratet for e-helse.

Dagens Medisin, fra Kronikk og debattseksjonen i 05-utgaven