Så här i sommartider är det svårt att inte tala om vädret. Efter en torr period i Stockholmsområdet så har vi ett efterlängtat sommarregn i skrivande stund. Samtidigt varnas det för extrem hetta i stora delar av Europa och det i sin tur kan leda till skyfall i norra Götaland och sydöstra Svealand när luftmassorna krockar. Sammantaget är det svårt att inte tro att klimatkrisen är i antågande. Detta kommer att leda till nya utmaningar även ur ett informations- och it-säkerhetsperspektiv. Det är inte osannolikt att tro att miljörelaterad säkerhet och mer specifikt skydd mot yttre och miljörelaterade hot får ett betydligt större fokus än idag. Inte minst mot bakgrund av ständigt ökade krav på tillgänglighet.
För det strukturerade informations och IT-säkerhetsarbetet så är detta i sig inte någon utmaning utan tvärtom, det strukturerade arbetet är en förutsättning för att göra rätt saker vid rätt tidpunkt i en allt mer föränderlig tillvaro.
Apropå ledningssystem, eller frånvaron av detsamma, så är det nu dags för rapportfloran avseende 1177-läckan Skäms!. Först ut är den revisionsrapport vars uppdrag var att ur informationssäkerhetsperspektiv granska Region Stockholms avtal med MedHelp som utför tjänsten 1177 Vårdguiden på telefon samt avtalsuppföljningen. Det är ingen oväntad läsning. Väldigt förutsägbar och jag ställer mig frågande flera gånger varför belysningen är så pass ytlig. Jag hade förväntat mig något mer krispigt med tanke på allvaret i händelsen.
Det finns några intressanta passager i rapporten. Exempelvis att informationssäkerhet ses som ett icke funktionellt krav. Det borde idag vara en självklarhet att ett system inte är funktionellt utan informationssäkerhet. Ett annat exempel är konstaterandet av den totala avsaknaden av ledningssystem för informationssäkerhet hos vårdgivaren, men att en certifiering ligger runt hörnet. Hur rimligt är det att gå från en total frånvaro till ett certifierat ledningssystem på långt mindre än ett år? Hur seriös är den analys som precis är gjord när detta faktum passerar obemärkt? Det är oerhört tråkigt att detta inte tas på större allvar.
En annan iakttagelse i rapporten är diskussionerna kring olika ledningssystem. Det faktum att det finns ett för GDPR lyfts fram som ett sundhetstecken. Sunt är ett ledningssystem, inte flera. Sunt är kanske inte heller fokus på dataskyddsförordningen då det inom vårdsektorn framför allt är patientdatalagen och patientsäkerhetslagen som tillämpas i första hand, även om dataskyddsförordningen till viss del kompletterar dessa regler.
En kritik som riktas mot beställaren är att kravställningen avseende informationssäkerhet är för allmänt hållen för att ge en trygghet i att vårdgivaren är införstådd samt tillämpar dem på ett ändamålsenligt sätt. Den kritiken sammanfattar väl hur vag granskningen är och hur allmänt hållen även rapporten är. Den kommer inte leda till den trygghet som är eftersträvansvärd.
Denna rapport är som sagt först ut och jag hoppas verkligen att de som kommer näst i tur har en högre detaljgrad. Denna härva förtjänar en riktig och trovärdig analys för att hela sektorns bästa. 1177-härvan är inte en engångshändelse, utan ska snarast ses som ett nuläge där lägsta nivån behöver lyftas rejält, annars har vi snart en ny härva runt hörnet.
Att lära av egna och andras misstag är en sund väg fram så försvåra den inte utan förenkla den. Grunden till det är ett bra analysarbete och utförliga rapporter med tydliga rekommendationer som kommer berörda till del. Vad är syftet annars? En ytterligare check-in-the-box?
PS! Det är i sammanhanget ett välkommet beslut att åklagaren nyligen lagt ner förundersökningen mot Computer Sweden som avslöjade 1177-härvan. Något annat än att lägga ner förundersökningen hade varit galenskap.
Thomas Nilsson
