En rekke land ble utsatt for WannaCry-angrepet. II: Wikimedia commons.
Publisert i %1$s KronikkTema

Hva er det verste som kan skje?

Det kan skje verre ting med journalen din enn at at uvedkommende får innsyn i den. Det mener kronikkforfatteren, som til daglig arbeider i Nasjonal sikkerhetsmyndighet.

Skribent person Roar Thon Fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet (NSM)  date_range Publisert 14.10.2017, oppdatert 22.10.2017

Flere britiske sykehus ble offer for «WannaCry-viruset» 12 mai i år. Skadevaren som ble spredt verden over krypterte innholdet på datamaskiner hvor eierne så ble avkrevd penger for å få informasjonen tilbake i lesbar tilstand.

Konsekvensen for flere britiske sykehus var å stenge driften. Pasienter ble avvist, operasjoner utsatt. De var ikke i stand til å levere helsetjenester til befolkningen.

WannaCry ble en alvorlig global påminnelse om at moderne samfunn er sårbare for digitale forstyrrelser. Betyd­ning av god informasjonssikkerhet bør også være tydelig. Men hva er god informasjonssikkerhet? Her er de tre begrepene konfidensialitet, integritet og tilgjengelighet sentrale.

  • Å hindre at uvedkommende får tilgang til informasjon de ikke burde ha tilgang til (konfidensialitet).
  • Å hindre at uvedkommende ikke kan endre informasjon (integritet).
  • Å ha tilgang til egen informasjon/systemer (tilgjengelighet).

Begrepene er like størrelser, og de er i utgangspunktet like viktige, selv om betyd­ningen kan variere fra situasjon til situasjon.

Det verste som kan skje?

Likevel ser det ut til at det er konfidensi­alitet som automatisk bekymrer de fleste av oss. At uvedkommende kan ha fått tak i informasjon de ikke burde hatt tilgang til, er ikke ønskelig. Men er det virkelig det verste som kan skje?

Diskusjonen rundt Helse Sør-Øst og deres tjenesteutsetting handler kun om konfidensialitet

Noen timer etter at de første britiske sykehusene stengte på grunn av
WannaCry, kunne den britiske statsministeren berolige befolkningen med at det ikke var grunn til å anta at sensitiv informasjon fra pasientjournaler hadde lekket ut. Det var altså konfidensialitet som var viktig. Men den var heller ikke truet av WannaCry. Pasientjournalene var så «sikre» at selv ikke de som hadde lovlig tilgang, kunne bruke informasjonen. Informa­sjonen var så «godt sikret» at sykehus måtte stenge. Men fokus var likevel at uvedkommende ikke hadde fått tilgang til pasientinformasjon.

– Debatten stanser der

Vi ser tendensen til samme fokus i Norge. Diskusjonen rundt Helse Sør-Øst og deres tjenesteutsetting handler kun om konfidensialitet. Uved­kommende kan ha hatt tilgang til 2.8 millioner norske pasientjournaler. Debatten stanser der.

Det er ingen grunn til å bagatellisere tap av personsensitiv informasjon. Dersom befolkningen ikke kan stole på myndighetenes og virksomheter evne til å beskytte deres sensitive informa­sjon, er det svært ødeleggende for både samfunnet og den enkelte innbygger.

Men det er også alvorlig om vi ikke er i stand til å se lengre enn pasientjournaler og helseopplysninger på avveie som verste samfunnsmessige konsekvens. Om det kun er konfidensialitet som opptar oss, vil ikke de eksisterende og fremtidige digitale sikker­hetsutfordringer og konsekvenser bli forstått eller håndtert godt nok.

Hva er viktigst for deg som pasient?

Tenk deg følgende; du blir innlagt på sykehus – det står om livet. Hva har størst konsekvens for deg som pasient?

  • At uvedkommende har lest journalen din (konfidensialitet)?
  • At noen har endret dine data (blodtype m.m.) (integritet)?
  • At sykehusets teknologi og systemer som kan redde livet ditt, ikke fungerer, fordi andre har tatt over kontrollen (tilgjengelighet)?

Integritet og tilgjengelighet i dette perspektivet er samfunnskritisk og har et betydelig større skadepotensiale.

Moderne informasjonssikkerhet i blant annet helsesektoren handler ikke bare om konfidensialitet. I 2017 bør det handle like mye om å beskytte samfunnskritiske systemer og teknologi mot uønsket adgang og kontrollovertakelse av krefter som ikke vil oss vel.

Del gjerne!

Legg inn en kommentar