Säkerheten i nätverk- och informationssystem inom hälso- och sjukvården 2020

2021-04-22
IVO är tillsynsmyndighet vad avser säkerhet i nätverk och informationssystem inom hälso- och sjukvården (NIS-lagstiftningen).

 

Den 1 mars 2021 kom IVO med sin rapport Vad har IVO sett 2020? Så här skriver IVO om säkerheten i nätverk- och informationssystem inom hälso- och sjukvården:

Störningar i nätverk och informationssystem kan innebära betydande risker för patientsäkerheten

Nätverk och informationssystem spelar en allt viktigare roll i samhället och även inom vården och omsorgen. Det ställer höga krav på säkerheten i dessa system inom vård och omsorg så att hög patientsäkerhet bibehålls.

Svensk hälso- och sjukvård hanterar information av betydelse för patientsäkerheten för en stor del av befolkningen. För att patienter ska kunna få god och säker vård i rätt tid är det ofta avgörande att tillgängligheten till de informationssystem som används i vården är tillräcklig. Det är också avgörande att vårdens information om patienterna är korrekt och tillförlitlig. Om säkerheten i nätverk och informationssystem brister kan det medföra allvarliga patientsäkerhetsrisker. Om säkerheten brister finns det även allvarliga risker för att känsliga uppgifter om patienter röjs och kommer i orätta händer.

Leverantörer av samhällsviktiga och digitala tjänster inom hälso- och sjukvården (vårdgivare) måste sedan 2018 arbeta systematiskt och riskbaserat med informationssäkerhet och rapportera incidenter. Syftet med dessa krav är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för samhällsviktiga tjänster. Ytterst handlar det om patientsäkerhet.

IVO granskar säkerhet i nätverk och informationssystem inom hälso- och sjukvården

IVO är tillsynsmyndighet för säkerhet i nätverk och informationssystem inom hälso- och sjukvården. IVO har därför byggt upp sin interna kompetens och utvecklat metoder för tillsyn och samverkar med andra tillsynsmyndigheter vid behov. Med anledning av pandemin har IVO under 2020 gjort en kombination av i huvudsak dokumentgranskningar, men även digitala och fysiska tillsyner.

Leverantörer av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Leverantörerna ska vidare utforma och samordna sitt informationssäkerhetsarbete utifrån organisationens behov. Arbetet ska styra hur leverantörerna hanterar informationen i de nätverk och informationssystem som används för att tillhandahålla samhällsviktiga tjänster. IVO:s tillsyn har visat på flera utvecklingsområden inom hälso- och sjukvården.

Incidentrapporterna visar på betydande risker för patientsäkerheten

Leverantörer ska utan onödigt dröjsmål rapportera incidenter som tydligt försämrar kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller. De ska rapportera detta till Myndigheten för samhällsskydd och beredskap (MSB). IVO tar del av de incidentrapporter som gäller hälso- och sjukvården från MSB. Vi ser att många av incidentrapporterna handlar om störningar i nätverk som gör att leveransen i de samhällsviktiga systemen påverkas. Det kan exempelvis leda till att vårdpersonal inte kan ta emot larm från vårdtagare, inte komma åt information om medicinlistor eller inte läsa patientjournaler. I ett fall tvingades ett större sjukhus att stänga sin akutmottagning och dirigera om ambulanserna till andra mottagningar efter att störningar i nätverket gjorde verksamhetskritiska IT-system otillgängliga.

Brister i arbetet med riskanalyser och åtgärdsplaner

Leverantörer ska genomföra ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem. Leverantörerna ska göra en riskanalys för att kunna identifiera och prioritera de nödvändiga säkerhetsåtgärderna. Riskanalysen handlar om att identifiera vilka hot som finns mot systemet och som kan resultera i bristande tillgänglighet, riktighet och konfidentialitet. Riskanalysen ska uppdateras årligen och innehålla en åtgärdsplan.

Vi ser att vissa leverantörer inom vården brister i att genomföra och uppdatera riskanalyser och med att upprätta åtgärdsplaner. Dessa leverantörer riskerar att inte genomföra tillräckliga säkerhetsåtgärder. Vi har exempelvis sett bristande riskanalys i samband med att leverantörer uppdaterar journalsystem. Förändringar i kritiska system av det här slaget kräver ofta omfattande och komplexa åtgärder, inte sällan med hög grad av risk. I samband med uppdateringen slutade andra IT-system att fungera, eftersom de var beroende av att kunna kommunicera med journalsystemet. IVO bedömde att en bättre riskanalys hade kunnat identifiera att det behövdes förebyggande åtgärder.

Ledningens och den övriga organisationens ansvar är inte tydligt

Leverantörer ska utifrån identifierade risker och behov tydliggöra ledningens och övriga organisationens ansvar för informationssäkerhetsarbetet. Det är ledningen som ska styra det systematiska informationssäkerhetsarbetet. Ledningen behöver därför se till att det finns tydliga och dokumenterade arbetssätt.

Vi ser att ledningens och övriga organisationens ansvar inte alltid är tydliggjort. Det kan exempelvis vara otydligt hur mandat och befogenheter är fördelade i det systematiska informationsarbetet. Det kan i sin tur leda till att leverantören inte tillräckligt snabbt genomför tillräckliga säkerhetsåtgärder. Ett exempel gäller hur ansvaret för samverkan mellan olika delar av en organisation har reglerats och fungerar. Ett systematiskt informationssäkerhetsarbete kräver en hög grad av samverkan mellan olika funktioner, allt från IT-avdelningen till ledningen. Vi ser att brister i samverkan riskerar att inte sprida engagemanget för frågor om informationssäkerhet i verksamheten, vilket kan leda till att risker och åtgärder missas.

Det kan också finnas otydlighet när det gäller centrala rutiner. Vi har sett exempel på leverantörer som inte har infört arbetssätt som säkerställer att ledningen får information om inträffade incidenter, det vill säga händelser som faktiskt försämrar säkerheten i nätverk och informationssystem. Utan denna nödvändiga information kan en ledning inte fullgöra sitt ansvar. Inte heller kan ledningen fullgöra skyldigheten att utan onödigt dröjsmål rapportera incidenter som försämrar kontinuiteten i den samhällsviktiga tjänsten.