Cyberhygiejne og patientsikkerhed

Det er begge store projekter med en dyb kompleksitet og med mange grænseflader til f.eks. andre IT-systemer, bygninger, renrum, ventilation, udstyr og personale. Det bliver yderligere forstærket af, at det selvfølgelig skal være patientsikkert og af den rigtige kvalitet: Apotekerne skal producere (og distribuere) medicin til patienter på hospitalet, eksempelvis chemo-medicin, antibiotika, pencillin m.v.

Leverancer til fortovskant

For snart fem år siden udtalte vi os til forskellige landsdækkende medier og fagblade i forhold til, at mange af de IT-løsninger, som dengang blev leveret til det offentlige sundhedsvæsen, ikke var af en den rette kvalitet i forhold til IT-sikkerhed. Dengang var vi vidne til for mange sikkerhedsmæssige brister og manglende opfyldelse af krav til lovgivning og praksis i løsningerne i forhold til produktion af lægemidler og medicinsk udstyr. Der blev ikke taget tilstrækkeligt ansvar fra IT-producentens side, som overlod det til sundhedsvæsenet selv at sikre det rette sikkerhedsniveau. Deraf fortovs-metaforen. For i sidste ende kan det blive en meget stor opgave, når IT-systemet et leveret, hvis man ikke har taget sine forholdsregler i forbindelse med indkøbet. Og det er en urimelig situation at stille en kunde i – specielt, når man tager patientleddet med i ligningen. Sikkerheden skal så at sige være bygget ind i løsningen på forhånd.

Rene(re) linjer

Fem år i en IT-virkelighed er en evighed. Nu er mange af de IT-løsninger, som blev projekteret dengang, ved at blive realiseret i dag, hvis de ikke allerede er det. Spørgsmålet er så: Blev løsningen leveret ”til fortovskant” af IT-producenten – eller tager producenten et ansvar for, at f.eks. sygehuset idriftsætter en stærk og IT-sikker løsning, både hvad angår hardware, infrastruktur og software? Er gældende lovgivning, standarder og praksis i forhold til cyber security overholdt, eller bliver der idriftsat sårbare løsninger?

Det korte svar er, at cyberhygiejnen så at sige er forbedret. Trods alt. Praksis og standarder bliver løbende opdateret, og dem skal IT-producenten dokumentere, som værende overholdt. Dokumentationen gennemgås nøje allerede i det øjeblik, producenten kvalificeres som mulig leverandør til f.eks. sundhedsvæsenet. Hvad angår selve lovgivningen, så er den ikke nødvendigvis opdateret. Eksempelvis er det seneste Annex 11 i EU-GMP-lovgivningen om Validering af Computer Systemer helt tilbage fra 2011. Det kan synes helt uvirkeligt i en tid, hvor IT-projekters varighed er skrumpet voldsomt ind pga. hastigheden i udviklingen, så teknologier hurtigt forældes. Men; praksis og udmøntning viser, at både sundhedsvæsenet selv, Lægemiddelstyrelsen og producenter af IT-løsninger i dag har væsentlig mere fokus på IT-sikkerhed end for fem år siden.

Cyber security er jo ikke nyt – men trusselsbilledet har aldrig udviklet sig med den hastighed, som vi ser i dag. Med flere digitale løsninger i sundhedsvæsnet og den private sektor de kommende år, skal vi holde fast i det store fokus på IT-sikkerhed. Det er en fortsat rejse i fokus og opmærksomhed, også for patientsikkerheden. Når cybertrusler udvikler sig, skal nye værn og teknologier udvikles og vores behov ændrer sig således løbende. Derfor er anbefalingen også, at vi løbende – f.eks. årligt – udarbejdes penetrations- og sårbarhedstests. De to tests kombinerer vi ofte for at opnå en mere komplet vurdering af sårbarheden – holdt op imod den konkrete cybertrussel – og således også virksomhedens cyberhygiejne. Cyberhygiejnen skal så at sige sikre patientsikkerheden.

I kan læse én af artiklerne lige her: https://itwatch.dk/ITNyt/Strategi/article10131920.ece

Seniorkonsulent og direktør, Henrik Johanning